データセキュリティとは、データを盗難、削除、破損から保護することに関連したセキュリティの一分野です。ビッグデータの価値が急速に高まっている今日のビジネス環境で、データセキュリティの実践は不可欠になりつつあります。顧客情報、財務情報、知的財産など、いずれのデータであっても、データのセキュリティと完全性を維持することは基本的なビジネスプラクティスです。
データセキュリティに関するインシデントは増加傾向にあります。ハッキングの被害を受けたデータの件数は、2021年1月だけで2017年全体を上回ります。それ以降、2021年はデータ侵害に関する数々の負の記録を更新しています。今日、データはあらゆるビジネスの生命線であり、その喪失や盗難は甚大な被害をもたらす可能性があります。データの具体的な保護方法はさまざまですが、いずれにしても、データセキュリティには優れたビジネス戦略と適切なテクノロジーを組み合わせる必要があります。
この記事では、データセキュリティの重要性、データセキュリティに関する主な法規制、セキュリティとプライバシーが重なり合う領域、組織のデータを守るための具体的な方法とセキュリティ技術について説明します。
データセキュリティとは | 目次
データセキュリティが重要である理由は、データが計り知れない価値を生むからです。通常はどの組織も、戦略計画、顧客情報、競合分析、知的財産、個人情報などの機密情報をデジタル形式で保持しています。これらのデータが失われたり競合他社の手に渡ったりすると、同じデータを再び手に入れるには膨大なコストがかかります。
データはリスクに関するコストも生みます。データを漏えいまたは紛失すると、厳しい罰金が科される可能性があります。事業に支障をきたすような深刻なデータ漏えいが起こると、多大なコストが発生するだけでなく、ブランドイメージや評判の低下、顧客からの信頼の喪失、改善費用などの副次的なコストも膨らみます。
さらに、あらゆる組織が直面する問題として、ランサムウェアなどのサイバーセキュリティ攻撃があります。特にランサムウェア攻撃では、悪質なアルゴリズムによって組織のデータが暗号化され、それを「人質」として身代金が要求されます。身代金を支払えば(そして運が良ければ)暗号化が解除されデータを取り戻すことができます。身代金を支払うことを選択する組織もありますが(400万ドルもの大金を支払った例もあります)、支払いを拒み、データを自力で復元するか、そのデータなしで事業を続ける組織もあります。ランサムウェア攻撃を無視してもコストはかかります。米国メリーランド州ボルティモア市は、身代金7万6,000ドルの支払いを拒み、データを自力で復旧することを選択しましたが、その作業にかかった費用は1,820万ドルに上ると推定されます。
データを脅かすリスクは数多くあります。データセキュリティに関する特に重大な脅威には以下のものがあります。
企業ではデスクトップPC以外にもさまざまなモバイルデバイスが使用されるようになり、攻撃対象が拡大して、データの喪失や盗難のリスクが高まっています
データセキュリティは、金銭的な損害を防ぐだけでなく、組織の戦略的な意思決定を強化するためにも役立ちます。データが適切に保護されて破損や改ざんがないことを確信できれば、データに対する信頼が高まります。また、コンプライアンス違反を防止して、高い罰金を支払う事態を回避することもできます。さらに、信頼できるデータは、新製品の開発や新しい市場の開拓など、戦略的な意思決定の重要な土台になります。
データセキュリティは、あらゆるタイプのデータを攻撃や破損から守ることを目的としています。一方、データプライバシーは、個人情報を守ること、特に個人情報を適切に扱うことを目的としています。
データプライバシーとデータセキュリティは分けて考えられるケースが多くあります。たとえば、データを外部の脅威から完全に守ったとしても、内部で不正利用されれば、組織はEUの一般データ保護規則(GDPR)などのプライバシー規則に違反しているとみなされます。また、サイバー攻撃を受けて顧客情報が危険にさらされた場合、セキュリティ侵害には当たりますが、必ずしもプライバシー侵害には当たりません。
とはいえ、セキュリティとプライバシーは表裏一体です。攻撃者に顧客データベースに侵入され、クレジットカード番号や個人情報が盗まれれば、それはセキュリティ侵害でもありプライバシー侵害でもあります。
データセキュリティを確保するには、さまざまなツールとテクノロジーが必要です。たとえば以下のものがあります。
コンプライアンスは、組織がさまざまな基準や規制に従う方法を示す広い意味を持つ言葉です。その中でデータセキュリティコンプライアンスは、データの使用と保護方法に関する法規制に従うことを指します。データセキュリティコンプライアンスの適用対象としては顧客データが最も一般的ですが、従業員データやその他のビジネスデータに適用される法規制もあります。
近年、大規模なプライバシー違反、データ漏えい、サイバー攻撃が世間を騒がせたことを受けて幅広い法規制が制定されたことで、規制コンプライアンス、つまりデータセキュリティコンプライアンスは企業にとって重要な課題になっています。今日では、GDPRやHIPAAをはじめとする多数の規制があります。いずれも、個人情報の悪用や誤用から消費者を守ることを目的とし、妥当なセキュリティを実現するために適切な対策を取らない企業には罰則が科されます。これらの規制では、データの保存時に取るべきセキュリティ対策、データの共有方法、データ漏えい時の対応に関する基本的な要件が定められています。
特に重要なデータセキュリティコンプライアンス規則には以下のものがあります。
PCI DSSは、ペイメントカード情報を処理、保管する企業を対象に幅広いデータセキュリティ基準を定めています
データを安全に保つために検討、実践すべきベストプラクティスには以下のものがあります。
多くの組織にとって、クラウドのデータセキュリティはさらに複雑です。その性質上、オンプレミスのデータセンターと比べてクラウドの安全性が低いということはありませんが、セキュリティの観点で新たな課題が生じることは確かです。
クラウドのセキュリティについて特に懸念されるのが、オブザーバビリティと可視性です。データセンターの場合は、より詳細なデータ管理が可能で、外部から遮断したいときはサーバーからネットワークケーブルを抜けばよく、ハードドライブが故障したときは物理的に交換できます。一方クラウドでは、通常はデータの保存先が不透明です。バックアップが適切に実行されているかや、プロバイダーが主張するレベルのセキュリティが本当に確保されているかを知ることは困難です。多くの場合、組織はベストプラクティスが守られていると信じるしかありません。
いくつかのセキュリティリスクはクラウドでもオンプレミスでも基本的に変わりません。たとえば、内部関係者による不正アクセスはオンサイトでもオンラインでも同様に脅威です。資格情報の管理が重要な点も同じで、クラウドベースのデータストレージでも適切なユーザーのみがアクセスできるように権限を設定する必要があります。
一方で、クラウド環境では、いわゆる「シャドーIT」のリスクが再燃します。どのクラウドサービスも低コストで簡単に利用できるため、組織のデータが無数のサイトに保存されるリスクが高まります。Netskope社の調査によると、2021年7月の時点で、一般的な企業(従業員数500~2,000人)は1カ月あたり805の異なるクラウドサービスを利用し、その97%がシャドーITアプリケーションによるものでした。
こうした懸念は確かにありますが、クラウドはデータの保存先として非常に安全性が高く、多くの場合は、サービスを簡単に使いこなすためのトレーニングツールが提供されています。そのため、クラウド導入済みの企業のほとんどは、オンプレミスのストレージよりもクラウドストレージの方が安全だと考えています。
組織のデータを保護するための主なツールには以下のものがあります。
SIEMツールでは、セキュリティインシデントをリアルタイムで分析して、環境内の状況を隅々まで可視化できます。
強力なデータセキュリティ戦略を導入するには、まず、データ保護のビジネスケースを定義します。すべての保存先のすべてのデータを洗い出し、データセットごとにリスクを評価して、リソース割り当ての優先順位とセキュリティを強化するための具体的な戦術を決めます。その後、データセキュリティを組織の重要な文化として根付かせるために、継続的なユーザートレーニングを実施し、セキュリティポリシーを強化します。最後に、SIEM、暗号化、バックアップなど、主なデータセキュリティソリューションを導入して、適切に運用します。
データは組織の規模を問わず重要な資産であるため、データセキュリティの確保は組織にとって重大な任務です。組織のデータを標的にする攻撃はかつてないほど増加、巧妙化しています。そのため、データを破損、喪失、漏えいから保護するための適切な対策を取らなければ、サービスが中断するか、最悪の場合は業務が停止する可能性があります。データセキュリティを強化するには、ツールの導入だけでなく、文化の醸成も必要です。その両方に取り組むことが、包括的なセキュリティ戦略の確立には不可欠です。