データセキュリティとは?

データセキュリティとは、デジタル形式で保存され、合法か否かを問わずインターネット経由でアクセス可能な企業や個人のデータを保護することを指します。企業の観点からすると、企業秘密、顧客や患者のデータプライバシー法の遵守、社会的評価の維持など、企業がデータを強力に保護したいと考える理由は数多くあります。

企業は、攻撃者や悪質なアクターを阻止するための攻撃的手段と防御的手段の両方を含む堅牢なサイバーセキュリティプログラムを構築することで、重要なデータを保護することができます。

データセキュリティとデータセキュリティの比較

これらの概念の間には重要な違いがいくつかあります。一見同じようにも見えますが、データの保護とデータのプライバシーの維持とは必ずしも同義ではありません。セキュリティの保護が重要でありながら、公共のインターネット上で誰でも一部利用できるデータが存在する可能性もあります。

その点で、注意すべき主な違いは、データセキュリティがデジタル情報を保護するのに対し、データプライバシーはデジタル情報の所有者がそのデジタル情報の送信先とアクセス可能な人を制御する権限であるということです。

とはいえ、これらの概念は、特にデータ侵害の場合には混同される可能性があり、実際に混同されてもいます。こうしたシナリオでは、組織のデータのセキュリティが侵害されており、侵害された企業に以前に個人データを送信していた顧客は、個人情報の制御を失ったことになります。したがって、2つの概念は互いに非常に絡み合っており、企業と顧客/患者/ユーザーの両方に影響します。

データセキュリティが重要な理由

上述のとおり、データセキュリティは企業と、そのビジネスに関わる顧客、患者、ユーザー、請負業者、パートナーなどの両方に影響を与えるため、データセキュリティは重要です。個人が組織や企業にプライバシー情報(PII)を提出するとき、個人の側には、企業がその情報を保護するために全力を尽くしてくれるという一定の期待が持たれています。

シナリオによっては、企業の評判に悲惨な影響が及ぶ可能性があります。これには、影響を受ける当事者への個人情報漏洩の通知の遅れや、悪意のある攻撃者に悪用された欠陥のあるセキュリティ製品の使用などが含まれます。

データセキュリティのメリット

データセキュリティのメリットは数多く、いくら強調してもしすぎることはありませんが、まず、データセキュリティがビジネスにどう影響するかから見ていきましょう。社内外の規制基準との整合性の確保は、事業の継続にとって非常に重要です。適切なデータセキュリティを維持することは、HIPAAPCI DSSGDPRなどの特定の基準に関し、政府機関や社内のコンプライアンス監査人から良好な評価を受ける可能性が高いことを意味します。

クラウドサービスプロバイダー(CSP)に関しては、顧客企業のデータがクラウドに出入りするときに複数のプロトコルで保護されるのが標準です。転送中のデータの安全性とセキュリティの確保にはデータ暗号化の層が使用され、クラウド運用を行う企業は安心感が持てます。

評判の点については、欧州連合の中小企業向けデータ保護ガイドでは、「熱心なデータ保護対策で知られる組織は、ユーザーや顧客を維持できる可能性が高い」としています。

顧客にとっての主なメリットは明らかで、具体的には顧客のPIIが保護され、盗難されたデータが販売されたり、その他のさまざまな不正な目的に使用しようとする攻撃者の手に渡ってしまうことを心配する必要がない点です。

データセキュリティの種類

概念としてのデータセキュリティは非常に的確かつ明確で、被害者になりたくないのであれば、今日の個人や組織がデータセキュリティを真剣に受け止めるべきことは明白です。ここで問題となるのは、セキュリティ組織が攻撃者をより効果的に阻止するために、どうすればデータを包括的に保護できるかということです。

データ暗号化

暗号化により、データの元の形式が判読不能なものに変換されます。米国疾病管理予防センター(CDC)によると、暗号化されたデータは通常、ランダムな文字と数字の長いシーケンスのように見えますが、意図された受信者は通常、暗号化されたデータを読み取り可能なテキストに復号できるキーを所有しています。

データマスキング

データをマスクする脅威アクターは、データの元の構成の要素となる文字と数字の変更を試みます。これらの変更は、データが本物らしく見えることを意図したもので、ユーザーに信頼感を与えることを目的としています。データマスキングはもちろん、コード開発プロセスの保護やリスクの軽減にも役立ちます。

データ消去

このプロセスは、データが役目を終えた後にインターネットから消去されるという事実により、データが悪人の手に渡ることがないという安心感を確保するためのものです。もちろん、PIIなどの機密データのコピーがインターネットや脅威アクターのサーバーのどこかに残るリスクは常に存在します。

データの回復力

攻撃が100%避けられないわけではありませんが、インターネット上でのデータ送信やトランザクションの完了を行う人であれば、早かれ遅かれそうしたデータの侵害に遭遇する可能性が高くなります。そして、そうした侵害が組織の防御を極度に妨げるものとなった場合に、問題となるのがデータの回復力で、企業や組織がどれくらい早く業務を通常のベースラインに戻せるかということになります。

データセキュリティのリスク

プロバイダーは常にデータを保護し、顧客にできる限りの信頼を与えようとしていますが、絶えずリスクに直面しています。脅威アクターはなりすましが得意であり、単純な人為的ミスが原因となる可能性は常に存在しますが、具体的なリスクシナリオをいくつか見てみましょう。

偶発的なデータ漏洩

意図的にデータを公開し、脅威アクターに対して脆弱な状態にするような人はいませんが、場合によっては、悪意のない純粋な偶然や反復的な行為(パスワードの再利用など)によって侵害が発生することがあります。誤ってデータを漏洩させることは、図らずも攻撃者の攻撃を可能にすることと同義となるため、適切なデータセキュリティ管理が常にベストプラクティスとなります。

フィッシングとソーシャルエンジニアリング

フィッシング攻撃は通常、メールやテキストメッセージのリンクのクリックなどの特定の反応を期待したメッセージでユーザーの関心を喚起するのもので、ユーザーは気づかないうちに携帯電話やエンドポイントにマルウェアをダウンロードする可能性があります。そのエンドポイントが大規模な企業ネットワークの一部である場合、企業全体が脆弱になる可能性があります。

インサイダーの脅威

内部関係者の脅威は、従業員、請負業者、経営幹部、または当面のビジネスに関係するその他の人物から発生する可能性があります。たった一人の人であっても、意図があろうとなかろうと、ネットワークに侵入や攻撃の隙を与え、さらにそれらを助長してしまう可能性があります。

マルウェア

マルウェア攻撃は通常、ユーザーのシステム上で不正なアクションを実行します。悪意のあるソフトウェアは、ランサムウェアやスパイウェアなどの形式で発生する可能性があります。理論的には、セキュリティ組織は適切なトレーニングを受け、マルウェア攻撃がネットワーク全体に影響を与える前に阻止するのに十分な経験を積んでいるはずです。

ランサムウェア

脅威アクターは悪意のあるコードを展開して組織の業務を妨害し、身代金が支払われるまでデータを人質に取ることができます。攻撃者が狙うのは、通常の業務運営を回復したいという願望が非常に強いことから、企業が身代金の支払いで事態の収集を図ることにあります。

クラウドデータストレージ

この場合、データはクラウドネットワークを通過するため、組織がオンプレミスのデータセンターのみを運用している場合よりも、データが傍受されたり盗まれたりするリスクがより高くなりますが、今日の世界ではオンプレミスのみという選択肢はますます制限されてきています。クラウドプロバイダーは、エンタープライズレベルでの高速スケーリングと低コストでの運用を可能にします。したがって、クラウドとクラウドに含まれるデータを保護するには、クラウドサービスプロバイダーとその顧客の両方が責任共有モデルに基づき協力する必要があります。

データセキュリティソリューションのコンポーネント

組織が効果的なデータセキュリティソリューションを導入する上で必要となるコンポーネントには以下のようなものがあります。これが全てではありませんが、組織の基盤となる意味でいずれも重要な要素です。

認証と承認

前述のように、IAMやMFAなどの認証方法は、適切なユーザーのみがシステム、ネットワーク、アプリケーションにアクセスできるようにする上で役立ちます。

クラウドセキュリティ

クラウドデータセキュリティとは、パブリッククラウドプラットフォームとプライベートクラウドプラットフォーム上の情報とアプリケーションを保護する原則を指し、クラウドインフラストラクチャにサイバーセキュリティを適用することで実現されます。結果として、こうした一時的な環境でのクラウドセキュリティ実現に向けた基礎が構築されます。

データ損失防止(DLP)

DLP(Data Loss Prevention) ツールは、侵害後の情報漏えいを検出するツールです。 ネットワーク エンドポイント デバイスを監視し、トラフィックやデータのやり取りを分析し、不審なアクティビティを検出します。 ユーザーとエンドポイントの認証と高度な ID チェックを導入することで、情報漏えいリスクを軽減できます。

Eメールセキュリティ

未承認のユーザーからの企業のメールの保護は、大昔にすでに解決された課題のようにも思えます。しかし、フィッシング攻撃やデータ侵害が蔓延する現在、メールは依然として脅威アクターにとって格好の機会となっています。

ガバナンス、リスク、コンプライアンス(GRC)

セキュリティソリューションが、国、州、地方自治体や地域固有の統治機関によって定められた規制基準に確実に準拠していることを確認することが重要です。コンプライアンスの義務は常に変化するため、刻々と変化する規制を想定した計画を立てることが重要です。

キー管理

キー管理により、暗号化の制御がユーザーに委ねられます。例えば、GoogleのKey Management Service(KMS)を使用すると、中央のクラウドサービスにおける暗号キー管理が可能となり、ユーザーが制御する対称キーや非対称キーを使用してデータを柔軟に暗号化できます。

ネットワークアクセス制御

ネットワークアクセス制御とは、簡単に言えば、誰が企業ネットワークやシステムにアクセスでき、誰がアクセスできないかを管理することを指します。ここでは、ユーザーが適切に認証されるように、IDおよびアクセス管理(IAM)チェックが機能します。

パスワード管理

機密データを最大限に保護できるようパスワードと認証情報が最適化されていることを確認するための方法で、多要素認証(MFA)などのセキュリティプロトコル、パスワードの定期的な変更、組織全体での脆弱な認証情報の事前対応的なクリーンアップなどが含まれます。

ゼロトラスト

ゼロトラストセキュリティモデルでは、すべての人間、エンドポイント、モバイルデバイス、サーバー、ネットワークコンポーネント、ネットワーク接続、アプリケーションワークロード、ビジネスプロセス、データフローを本質的に信頼せず、アクセスが許可されるためには認証プロセスを経る必要があります。

データセキュリティに関する基準

ここで、世界中のさまざまな業界や地域でのデータ保護を目的とした多くの規制コンプライアンス基準の一部を見てみましょう。

  • 一般データ保護規制(GDPR) :欧州連合(EU)のGDPRでは、組織やデータの地理的位置に関係なく、EU加盟国民の個人データの保護が義務付けられています。これには、リスクを軽減するために定期的に更新される技術的・組織的なセキュリティ対策が含まれます。
  • ISO/IEC 27001:ISO/IEC 27001は、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で発行したセキュリティ管理標準で、一般的なセキュリティ管理のベストプラクティスと管理方法を規定しています。
  • カリフォルニア州消費者保護法(CCPA) :企業が収集する個人情報を消費者が詳細に管理し、法律の実施方法に関するガイダンスを提供する規定です。
  • 1医療保険の相互運用性と責任に関する法律(HIPAA)1: これは医療に特化した基準で、患者の医療記録やその他の保護されるべき医療情報(PHI)をセキュリティ侵害から保護することを義務付けています。
  • 1サーベンス・オクスリー法(SOX法)1: SOX法では、上場企業に対し、社内のビジネスプロセスが適切に監視・管理されていることを確認することが義務付けられています。これは、財務報告プロセスがITシステムによって推進されているためであり、ITシステムは安全に設定され、適切に維持されている必要がります。
  • Payment Card Industry Data Security Standard(PCI DSS) :小売企業が厳格なセキュリティ対策を通じてクレジットカード会員情報を保護する基準を遵守する上で役立つコンプライアンス基準です。

データセキュリティのベストプラクティス

当然ながら、データ保護のために従うべきベストプラクティスは常に存在します。ここでは、組織が顧客に代わってデータの安全性を確保し、自社の評判を維持するために活用できる方法を見てみましょう。

  • 可視性の拡大と統合:企業の大半において、デジタルサプライチェーンの各段階でチームが使用するすべてのクラウド・コンテナ環境を見通す可視性が不足しています。すべてのクラウドおよびコンテナサービスを継続的に監視するシステムを導入すると、関連するリスクについてより多くの洞察が得られます。
  • リスクの早期防止Infrastructure-as-Code(IaC)テンプレートスキャンを活用することで、セキュリティ組織はコンテキスト豊富な結果を取得し、データセキュリティ基盤の強化に役立てることができます。CI/CDパイプラインで問題を解決することで、実行時に問題を何度も修正する必要がなくなり、修正が1回で済むため、効率が向上します。
  • 人工知能(AI)の導入:セキュリティ担当者が直面する反復的で時間のかかるタスクの一部をAIベースのツールが担うことで、アナリストは最も重要なアラートと問題のみに集中しながら、より複雑で繊細なデータセキュリティの問題に取り組むことができます。
  • 統合と自動化の活用:統合により、チームは複数のベンダーシステムにまたがるアクションを迅速かつシームレスに調整できるようになり、一貫した管理セットで構成されるセキュリティ環境の構築が容易になります。こうした一連の制御で自動化されたアクション(または自己主導型ボット)により、疑わしいアクティビティにさらに効率的に対応できます。

データセキュリティの詳細

事例:Exponent、Rapid7 InsightVMプラットフォームとマネージド検知・対応サービスを使用してクライアントのデータを保護