データセキュリティの定義
データセキュリティとは、組織のリスク戦略と一致する方法でデジタルデータを不正なアクセス、使用、開示から保護する取り組みです。これには中断、変更、破棄からのデータの保護も含まれます。
データはあらゆる組織の生命線であり、企業の成功に不可欠なものであるため、データの保護は規模を問わずあらゆる組織にとって重大な問題です。組織のデータの機密性、整合性、可用性を維持するうえで鍵となるのがデータセキュリティです。強固なデータセキュリティ対策を実装することで、貴重なアセットを保護し、関連するコンプライアス要件を満たして、企業のブランドに対する顧客の信頼を維持できるようになります。
データ保護のトピックにおいては、データセキュリティとデータプライバシーという2つの概念が混同されたり区別なく使用されたりすることがあります。両者は別の概念ですが連携し合って作用します。どのように連携するかについては、データ保護という点から両者を定義するとさらに深く理解できるようになります。
データセキュリティ、プライバシー、保護
データセキュリティとは、特にマルウェアや第三者が不正にアクセスしてデータを操作するのを防ぐために講じられる対策のことを指します。こうした対策はデータ保護プロセス全体の一部です。組織のリスク戦略に沿うように組織内のデータの整合性を確保します。データプライバシーとは、クレジットカード番号、顧客リスト、会社の銀行口座取引明細書といった組織の個人情報や機密情報を誰が閲覧できるようにするかを制御するものです。また、アクセスできた情報に対し何を許可するかについても制御します。データ保護とは、データを不正アクセス、改ざん、破棄から保護するのに使用されるポリシー、手順、手法を含むプロセスです。このプロセスによって、最終的にデータセキュリティとデータプライバシーが実現されます。
データセキュリティの重要性
デジタルトランスフォーメーションをきっかけに、組織は顧客にどう向き合い、顧客をどう引きつけるかを見直すようになりました。データ量が急増したことで、データセキュリティが必要不可欠なものとなり、企業はデータの安全性と整合性を的確に確保し、悪意を持つ何者かの手にデータが渡らないように必要なツールとプラクティスを導入しなければならなくなりました。
ここ数年、リモートワークが普及し、技術スタックと予算に関わる懸念が高まったことで、セキュリティチームに過度の負担がかかり、人員が不足する事態が増えて、データセキュリティの重要性がさらに増しています。また、コンプライアンスという観点から優れたデータセキュリティを実践することの重要性が高まり、地域的にも世界的にもコンプライアンスの対象範囲が絶えず更新され、拡大しています。
データセキュリティの利点
データは組織にとって非常に重要なものです。組織の業績を促進し、イノベーション、新たな製品とサービスの開発、新たな市場機会への対応、高品質のカスタマーサービスの提供を実現できるようにするのに役立ちます。その重要性と、会社のデータにとって脅威となるものが数多く存在するという現実を考えると、組織は優れたデータセキュリティプラクティスを導入する必要があります。
| 利点 | 説明 |
|---|---|
| 情報を安全に維持する | データセキュリティは、会社のデータを安全に維持します。優れたビジネスプラクティスであり、組織が機密データや顧客データを責任を持って扱える優秀な管理人であることを実証するものです。 |
| ブランドの信頼を維持する | 顧客は、自身のデータを組織が安全に維持しているという確信を持てなければなりません。組織が過去にデータ侵害を受けたことがあり、消費者が個人情報を預けても安全だと感じることができなけば、利用者は情報の提供を拒むでしょう。事実、2023年の調査によると、米国の消費者の60%がデータ侵害を受けたことがあるブランドの利用を控えるとし、90%がベンダーのセキュリティが貧弱であれば自分の生活に悪影響が及ぶと考えています。 |
| 競争優位性を獲得する | 企業の情報を保護することは、事業を運営し、競争優位性を築くための重要な要素です。実際、ベンダーがデータ侵害を受けたら競合ブランドに乗り換えるだろうと、消費者の21%が述べています。顧客データが安全に維持されているという評判を築くことができれば、顧客基盤を維持できるだけでなく、侵害を受けた競合ブランドから乗り換えたいと考えている新規顧客を引きつけることもできます。 |
| 財務上の損失を防ぐ | 2023年に発生した侵害1件あたりの世界の平均コストは445万ドルと推定されたことで、データ侵害に伴うコストへの関心が高まっています。データセキュリティに投資することで、企業は身代金を支払うコスト、事業中断による収益の損失、インシデント対応費用、弁護士費用、規制当局への罰金といった財務上の損失のリスクを軽減できます。 |
組織データに対する脅威
今日のデジタル世界では、サイバー攻撃の脅威がなくなることがありません。企業は、データを侵害し、財務上の損失を招きうる大量のサイバー攻撃に常に直面しています。また、企業が心配しなければならないのは外部の脅威だけにとどまりません。従業員の過失や悪意のあるアクターといった内部の脅威も、データ侵害といったセキュリティの問題をもたらします。企業のデータに対する脅威は数多くあり、以下にその一部を挙げます。
| 脅威 | 説明 |
|---|---|
| 偶発的な露出 | 会社データの使用中に、Eメールの悪意ある添付ファイルをクリックする、デバイスを紛失する、人為的なミスをするといった小さなインシデントが1つ起きただけでも、大きな問題になります。 |
| ソーシャルエンジニアリング | ソーシャルエンジニアリングは蔓延している脅威の1つで、侵害の74%を占めています。サイバー犯罪者にとって、多くの場合、企業のネットワークをハッキングするよりも、疑いを抱いていない従業員に働きかけて目的の措置を講させるほうが簡単であるため、ソーシャルエンジニアリングがよく使用される戦術となっています。 |
| インサイダー脅威 | 内部の脅威とは通常、会社のネットワークへのアクセスが許可された現在または以前の従業員、請負業者、パートナーのことです。インサイダーは、悪意なく誤ってデータを公開することがあります。その一方で、付与された特権アクセスを悪用して悪意ある脅威を引き起こし、スパイ活動、詐欺、知的財産の窃取、妨害工作などの行為を自身の利益のために悪意を持って行うこともあります。 |
| マルウェア | マルウェアとは、コンピューター、ネットワーク、サーバーに害を与える狙いで作成されたプログラムやコードのことです。ランサムウェア、トロイの木馬、スパイウェア、ウイルスなど数多くのサブセットがあり、悪意を持ってソフトウェアを利用するタイプの攻撃がマルウェアに分類されます。 |
| ランサムウェア | ランサムウェアは、データに対してこのところ増大している大きな脅威であり、2022年のデータ侵害の25%を占めています。サイバー犯罪者は、ランサムウェア攻撃を使用して、デバイスを感染させ、データを暗号化します。次に、復号化キーがほしければ身代金を支払うよう要求し、応じなければデータを公開すると脅迫します。 |
| クラウドデータストレージ | 組織がクラウドの利点を活かそうとすると、データはクラウドに移動されて保存されることになります。クラウドを導入すると攻撃対象領域が広がり、クラウドデータを保護しないままにしておくと、攻撃者に侵入口を開いていることになります。 |
データセキュリティソリューションの主要なコンポーネント
脅威アクターの行動の速さ、人数の多さ、巧妙化に加え、脅威対象領域が急速に拡大したことで、組織はデータをできる限り安全に維持するために強固なセキュリティ対策を導入しなければならなくなっています。以下に、セキュリティポスチャを改善し、価値の高い機密データを保護するために組織が実装できるデータセキュリティの主な要素を10個示します。
アクセス制御
データアクセス制御を使用すると、組織内のファイルへの従業員のアクセスを調整できるため、誰にどのデータへのアクセスを許可するかをITチームが簡単に制御できるようになります。従業員に特定のジョブやタスクを行うのに必要なデータへの最小限のアクセス権限のみを付与し、それ以上は何もしないアクセス制御を実現するには、最小特権の原則 (POLP) を適用するのがベストプラクティスアプローチです。
クラウドデータセキュリティ
クラウドセキュリティは、クラウドコンピューティングシステム内の組織の機密データ、アプリケーション、環境を保護するためのテクノロジー、ポリシー、サービス、セキュリティコントロールのコレクションです。クラウド環境全体にわたってデータのプライバシーと保護を確保するには、クラウドセキュリティが組織のサイバーセキュリティ戦略の不可欠な要素となります。
データ損失防止(DLP)
DLPは、組織の使用中のデータ、移動中のデータ、保存データの損失、漏洩、誤用を検知して防御することに焦点を当てた総合的なセキュリティ戦略です。また、重要なビジネス情報を分類し、社内のデータポリシーが関連する規制を確実に遵守できるようにする手段でもあります。
Eメールセキュリティ
Eメールのセキュリティは、組織のデジタル情報を保護するうえで重要です。これは、企業のEメールのアカウント、内容、通信を不正アクセス、損失、侵害から保護するプロセスです。これにより、フィッシングやハッキングなどの悪意ある攻撃からデータを保護できます。Eメールのセキュリティにはこのほか、Eメールを安全に配信し、承認されていない個人に機密情報が公開されないようにする働きもあります。
キー管理
キー管理は、その生成、交換、保管、削除、更新を管理することで、暗号化キーを安全に保護します。これにより、機密データが安全に維持され、不正アクセスを防ぐことができます。キー管理にはこのほか、すべてのユーザーが適切なキーに適宜アクセスできるようにする働きもあります。これでデータへの制御が維持され、許可された人のみがデータにアクセスできるようになります。キー管理を利用すると、誰がどのキーにいつアクセスしたかを追跡することもできます。
ガバナンス、リスク、コンプライアンス (GRC)
GRCは、企業がリスクを管理し、関連する規制要件を満たすとともに、ビジネス目標を達成するために使用する一連のポリシーとプロセスです。GRCを使用すると、会社のITチームはビジネス目標に沿って活動し、すべてのステークホルダーがそれぞれの責任を認識できるようになります。GRCを導入すると、業務に伴うリスクを最小限に抑えつつ、業界のベストプラクティスとコンプライアンス義務を守れるようになります。
パスワードハイジーン
パスワードハイジーンによって、企業のアカウントとデータをサイバー犯罪者から安全に維持できます。組織のアカウントとデータを保護できるよう、優れたパスワードプラクティスを選択、管理、維持します。セキュリティを最大限に高めるためには、すべてのオンラインアカウントに一意で強力なパスワードを使用することが重要です。これにより、あるパスワードが侵害されても、他のパスワードは安全に維持されます。
認証と承認
認証と承認は、コンピューターリソース(およびコンピューター上のデータ)へのアクセスを制御するために使用されます。認証と承認のツールを使用することで、誤用や盗難からデータを保護するとともに、承認されたユーザーのみが必要とするリソースにアクセスできるようになります。また、ユーザーアクティビティをモニタリングし、組織のポリシーと手順を確実に遵守できます。
ゼロトラスト
ゼロトラストとは、簡単に言い換えると「誰も信頼せず、常に検証せよ」ということです。組織のネットワークの内外を問わず、すべてのユーザーを認証、承認し、セキュリティ設定とセキュリティポスチャについて継続的に検証したうえで、アプリケーションやデータへのアクセスを許可または維持するセキュリティフレームワークのことです。ゼロトラストは、従来のネットワークエッジがないことを前提としています。ネットワークはオンプレミス、クラウド、あるいはその組み合わせであり、リソースと労働者はどこにでも存在可能です。
よく使用されるデータセキュリティのタイプ
いずれのデータセキュリティテクノロジーも、組織が次の3つの重要な側面を把握できるよう、組織のデータに直接アクセスします。
- データがどこに存在するか、どのデータの機密性が高いかを把握します。
- データ移動を制御し、データ中心の制御を使用してデータがどこにあるかにかかわらず保護します。
- 最小特権アクセスを有効にし、それを使用してデータを最適に保護します。
データセキュリティのタイプとしてよく使用されるものには、暗号化、データマスキング、データ消去、データレジリエンスなどがあります。
暗号化は、情報がシークレットコードなど真の意味が隠されたランダムなデータに見えるように変換することで、情報を秘匿します。暗号化では、高度なアルゴリズムを使用してデータをエンコードするため、キーを持たないユーザーにとっては意味のないものになります。権限を与えられたユーザーは、キーを使用してデータをデコードし、隠された情報を判読可能な形式に変換し直します。
データマスキング
データマスキングを使用すると、機密情報を認識できないものの使用可能な形にすることで保護して秘匿できます。データマスキングでは、特定の文字や数字を不明瞭化し置き換えることでデータを隠します。データは、攻撃者にとっては意味をなさないものとなりますが、承認された人にとっては引き続き有益なものとなります。
データ消去
特定のデータセットが必要がなくなった場合、データ消去を利用すると、データはシステムから完全に削除されます。ストレージデバイス上のデータを上書きすることで、データは復旧不能になり、データのサニタイズが実現されます。
データレジリエンス
データレジリエンスは、侵害を受けてデータが損傷、削除、盗難された場合にデータを復旧できるように、デジタルデータやその他のビジネス情報のバックアップコピーを作成するプロセスです。データのバックアップは組織のレジリエンスに不可欠であり、自然災害やサイバー攻撃に遭ってもすぐに復旧できます。
データセキュリティのベストプラクティス
データセキュリティ市場には、そのライフサイクル全体を通してデジタルデータを保護するためのテクノロジーとベストプラクティスが幅広く揃っています。このライフサイクルは作成から破棄までを網羅し、ハードウェア、ソフトウェア、テクノロジー、プラットフォームがさまざまな層に分かれています。このほか、組織の運用ポリシーと手順も含まれています。以下に、データセキュリティに関して最もよく使用されるベストプラクティスをいくつか示します。
- アイデンティティを認証する:多要素認証 (MFA) を使用するといったIAM(アイデンティティおよびアクセス管理) 手順に従って、各ユーザーのアイデンティティを確認し、不正アクセスからデータを保護します。
- 最小特権の原則 (POLP) を適用する:POLPとも呼ばれる「最小特権アクセス」の原則により、データを操作する必要がある人にのみアクセスを提供することで、承認されていないユーザーからデータが安全に保護されます。対象外のユーザーはアクセスを拒否されます。
- 常にデータをバックアップする:データのバックアップはデータセキュリティに欠かせない要素であり、データのコピーを保持しておくと中断を最小限に抑えつつ通常の運用を継続できます。これにより、データが失われることはなくなります。
- エンドポイントセキュリティを実装する:リスクを軽減し、サイバー攻撃でデータが侵害されないようにするには、検知と対応の機能を利用してエンドポイントを保護する包括的なソリューションを実装する必要があります。
- 従業員をトレーニングする:従業員やその他のステークホルダーがポリシーとはどのようなもので、自分たちを保護するためにどのようなベストプラクティスに従うべきかをよく理解していなければ、どれほど強固なセキュリティ戦略であっても役に立ちません。サイバーセキュリティトレーニングプログラムを実装して、攻撃者がデータを取得しようとする場合に最もよく使用される手段と、データ損失が組織と従業員個人の生活に及ぼしうる悪影響について従業員を教育します。
- ポリシーを明確に定義する:従業員は、インシデントの発生時に各ユーザーが果たす役割や、各ユーザーがアクセスできるデータ/リソースのタイプなど、セキュリティポリシーを理解して従うことができるようになります。
- 接続されたすべてのデバイスを安全に保護する:攻撃者が機密データへのアクセスを獲得する際に最もよく使用する攻撃ベクトルとして、ラップトップと携帯電話があります。また、プリンター、カメラ、Bluetoothデバイスなど、多数のIoTデバイスがネットワークに接続されていることもあります。IoTデバイスを安全に保護することは、データセキュリティにとって欠かせません。
- 物理セキュリティとクラウドセキュリティを強化する:データの保存先がオンプレミスかクラウドかにかかわらず、攻撃者からデータを保護するためには、十分なセキュリティ対策が必要です。物理的な保護には、侵入者からの保護のほか、火事や水害や自然災害からの保護もあります。データがクラウドに保存されている場合は、クラウドセキュリティ対策を導入してください。
詳細
クラウドの脆弱性を悪用しようとする攻撃者からクラウド環境内の保存データと転送中のデータを安全に保護するために従うべきクラウドセキュリティに関する16個のベストプラクティスをこちらの記事でご確認ください。
データを安全に保護するための主要なフレームワーク
この数十年にわたり、個人について収集するデータの急増に伴って生じるプライバシーの問題に対処するために、世界的および地域的なデータ保護規制が導入されてきました。コンプライアンスを取り巻く状況は、今後も引き続き急速に拡大、変化しています。
以下に、コンプライアンス要件のコンテキストでデータのセキュリティについて考えるときに検討すべき主なデータプライバシー規制をいくつか示します。
ナレンドランは、CrowdStrikeのID保護およびゼロトラストの製品マーケティングディレクターです。同氏は、サイバーセキュリティのスタートアップ、およびHPやSolarWindsなどの大企業で製品マーケティングとGTM戦略の推進業務を17年以上努めてきました。以前は、CrowdStrikeが買収したPreempt Securityで製品マーケティングディレクターを務めていました。ナレンドランは、ドイツのキール大学でコンピューターサイエンスの修士号を取得しています。
