データ保護とデータセキュリティ

データは現代社会の生命線であり、ビジネスの原動力となって、イノベーションを推進し、私たちの日々の生活を形作っています。その一方で、組織のデータは常に脅威にさらされています。サイバー攻撃とデータ侵害は一般的になりつつあり、破壊的な結果を招いています。2023年のIBMの報告によれば、世界のデータ侵害の平均被害額は445万ドルでした。米国では、2022年の平均は944万ドルで、世界平均の2倍以上となっています。

確実なデータセキュリティとデータの保護は、単なる不可欠なビジネスプラクティスではなく、多くの業界にとってはコンプライアンス要件でもあります。データ保護とデータセキュリティを詳しく見ていきましょう。それぞれがどのような内容を扱い、実践に活かしていくにはどうすればよいかを考えます。

データ保護とデータセキュリティの相違点

データ保護とデータセキュリティは区別なく使用されることが少なくありませんが、両者の重点分野と目的は明確に異なります。

データセキュリティは主に、組織のリスク戦略に沿って不正なアクセス、使用、開示からデジタルデータを保護することを中心に据えています。これには侵害、窃取、改ざん、破棄からデータを保護することも含まれます。

データ保護は、セキュリティにとどまりません。データの保護だけでなく、合法的かつ倫理的な使用を確実にするためのポリシー、手順、テクノロジーも扱います。これには、プライバシー法へのコンプライアンス、データの最小化、データ処理に関する同意の取得、個人による自分のデータの管理も含まれます。データ保護は、データセキュリティに含まれている技術的な側面と、データの取り扱いの法的および倫理的な側面に対処します。

簡単に言うと、データセキュリティはデータ保護のサブセットです。どちらもデータの信頼性と整合性を維持するうえできわめて重要ですが、データ保護は扱う範囲が広く、プライバシーとコンプライアンスに関わる広範囲の懸念を対象とします。組織は、今日のデジタルを取り巻く状況でデータを保護する包括的な戦略を策定するべく、データセキュリティとデータ保護の両方の対策を実装する必要があります。

両者を比較した以下の表では、データセキュリティとデータ保護とを区別する基本的な要素を挙げています。

データプライバシーとは

データプライバシーとは、個人から収集した個人データを組織が責任を持って倫理的に扱うことを指します。GDPRやCCPAなどの法律は、データプライバシーを監視して、組織が個人情報をどのように収集、保存、処理、共有するかを管理する役割を果たします。例えば、個人から状況を説明したうえでの同意を取得する、個人がデータを制御してアクセスする権利を尊重するといったことです。

データ保護により、組織が機密情報を保護し、プライバシー規制を遵守するために必要なセキュリティ対策を講じることが可能になります。このように、データ保護はデータプライバシーを実現するための基盤となります。

データを安全に維持するためのベストプラクティス

組織のデータを安全に維持することは、機密情報を保護し、信頼を維持して、データ保護規制を遵守するうえできわめて重要です。以下に、組織の機密データを保護する際に指針となるベストプラクティスをいくつか示します。

• データ分類：機密度と重要性に基づいてデータを分類します。よく使用される分類には、公開、非公開、お客様の個人を特定できる情報 (PII)、保護対象保健情報 (PHI)、内部使用のみ、機密、制限付きなどがあります。すべてのデータの価値や機密性が等しいとは限りません。そのため、各分類に基づいて適切なセキュリティ対策を割り当てることができます。
• アクセス制御：アクセス制御を使用すると、組織内のファイルへの従業員のアクセスを調整できるため、誰にどのデータへのアクセスを許可するかをITチームが簡単に制御できるようになります。従業員に特定のジョブやタスクを行うのに必要なデータへの最小限のアクセス権限のみを付与し、それ以上は何もしないアクセス制御を実現するには、最小特権の原則 (POLP) を適用するのがベストプラクティスアプローチです。
• セキュリティ意識向上トレーニング：データセキュリティのベストプラクティスと組織の機密データを安全に維持することの重要性について、従業員のトレーニングを実施します。一貫性のあるトレーニングを実施して最新の脅威とベストプラクティスについて従業員が最新の情報を常に把握できるようにすると、組織内にセキュリティ意識向上の文化が生まれます。
• 強力なパスワードと多要素認証 (MFA)：強力なパスワードポリシーを実装して適用し、MFAを使用してアカウントに新たに別のセキュリティ層を追加します。多要素認証は、複数の認証情報または認証要素でアイデンティティの確認を行った後にのみ、ネットワーク、システム、アプリケーションへのアクセスをユーザーに許可するマルチレイヤーセキュリティシステムです。
• データ暗号化：保存データと転送中のデータを暗号化します。これにより、たとえデータが窃取されても判読できなくなります。暗号化では、暗号化アルゴリズムを採用することにより、適切な復号化キーがなければデータをアクセスまたは解読できないようにします。
• データのバックアップ：データを定期的にバックアップし、サイバー攻撃やシステム障害といった災害が発生した場合にデータをすばやく復元できるようにプロセスをテストします。
• ゼロトラスト：ゼロトラストとは、組織のネットワークの内外を問わず、すべてのユーザーを認証、承認し、セキュリティ設定とセキュリティポスチャについて継続的に検証したうえで、アプリケーションやデータへのアクセスを許可または維持するセキュリティフレームワークのことです。ゼロトラストは、従来のネットワークエッジがないことを前提としています。ネットワークはローカル、クラウド、あるいはハイブリッド環境であり、リソースと作業者はどこにでも存在可能です。
• インシデント対応計画：データ侵害やセキュリティインシデントが発生した場合に講じるべき措置を説明した包括的なインシデント対応計画を策定します。この計画を定期的にテストおよび更新します。
• データ保護：データ保護は、侵害、流出、不正アクセスによるデータの損失、漏洩、誤用を検出して防止することに重点を置いた、企業の包括的なセキュリティ戦略の一部です。従来のデータ損失防止 (DLP) ツールにはパッチ適用、アプリケーションコントロール、デバイスコントロールなどがあり、いずれも脅威アクターが利用できる領域を制限することでデータを保護します。ただし、従来のDLP製品における実装上の課題、まとまりのない可視性、一貫性のないポリシーにより、攻撃者は、あまりにも簡単に攻撃を行うことができました。データ保護に対する最新のアプローチはコンテンツとコンテキストを組み合わせるというもので、機密データで今何が起きているかをリアルタイムで詳細に可視化できます。例えば、WebソースやエンドポイントからUSBへ、あるいはWebブラウザを介してクラウドやサービスとしてのソフトウェア (SaaS) アプリケーションへのデータアーティファクトの移動を可視化します。特筆すべき要素は次の2つです。
  • エンドポイントセキュリティ：データ引き出しの攻撃手法からデスクトップ、ラップトップ、モバイルデバイスなどのエンドポイントを保護することに焦点を当てたデータ保護の不可欠なコンポーネント。強力なエンドポイント保護対策を実装することで、組織は不正アクセスを防ぎ、これらのデバイスを介したデータ損失のリスクを軽減できます。
  • インサイダーリスク管理：組織のユーザーの振る舞いをモニタリングおよび分析し、悪意によるものであれ、偶発的なアクションによるものであれ、データ損失の可能性に対応します。効果的なインサイダーリスク管理戦略を実装することで、異常なアクティビティをより簡単に特定し、データの流出の試みをより適切に検知できます。
• データコンプライアンス：GDPR、CCPA、HIPAAといったデータ保護規制に関する情報を常に入手します。組織に関連している場合にはこうした規則を必ず遵守し、同意とデータの保持を管理するという重要なタスクを忘れずに実施してください。

クラウドストライクによるデータの保護

データ保護は、機密情報を保護し、お客様の信頼とロイヤルティを育み、コストのかかるデータ侵害を防ぐことから、規模を問わずあらゆる組織にとって何よりも重要です。強固なデータ保護プラクティスを導入すると、法的なリスクを軽減し、今日のデータ起点の社会で責任ある倫理的な事業者であるという会社の評判を高めることができるようになります。

CrowdStrike Falcon^® Data Protectionは、侵害を防止し、個人情報のプライバシーと整合性を保持する目的をもって精巧に作られています。Falconデータ保護は、CrowdStrike Falcon®プラットフォームに搭載されており、統一されたコンソールで移動中のデータをコンテンツとコンテキストの両方で分類して完全に可視化できるため、外向きデータをすばやく正確に調査できます。また、組織のデータリスクの最も重大な領域であるエンドポイント、ワークロード、データ、アイデンティティ全体にわたって包括的な可視化と保護を実現できます。

お問い合わせ