データセキュリティとは?
定義と重要性、対策例を解説
データセキュリティは、企業のデジタル資産を不正アクセスや破壊から守るための活動です。ハードウェアからソフトウェア、そして企業のポリシーまで、幅広い範囲をカバーします。外部からのサイバー攻撃だけでなく、内部の脅威やヒューマンエラーからもデータを守ることが重要です。
データセキュリティとは?
企業データを社内外の脅威から守る重要な業務であり、デジタル情報のライフサイクルを通じて不正アクセス・破壊行為・盗難を防ぐ活動の全般を指します。その対象はハードウェアの物理的なセキュリティ、ストレージ保護、アクセス管理、アプリケーション保護から企業のポリシーやプロトコルまでと広範です。
正しく計画され実施されたデータセキュリティは、外部からのさまざまなサイバー攻撃から企業データを保護し、同時に社内からの脅威や、ヒューマンエラーなども防止します。特に、ヒューマンエラーはセキュリティ事故の大半の原因となっています。
企業は、データセキュリティの一環として、暗号化とデータマスキングなどのツールを用いて重要なデータを可視化し利用状況をモニタリングしています。また個人情報などのセンシティブデータの暗号化やレポーティング、オーディット対応の自動化などを使ってコンプライアンスを遵守しています。
データセキュリティが重要な理由
データセキュリティを高度化することは重要です。データの侵害はビジネスに深刻な影響をもたらすためです。多くの侵害は金銭的な動機によって行われ、損失は平均して数百万ドルに上ります。
セキュリティ侵害は金銭だけでなく、ブランド価値の毀損にもつながります。大企業の場合は数十億ドルに及ぶ損失に相当する場合もあります。消費者調査によると、消費者の多くはデータセキュリティ侵害を受けたブランドから離脱すると答えています。 このようにデータセキュリティ侵害は企業に莫大な影響を与えるため、継続的なセキュリティとそのための堅実な手順を整備することが必須だといえます。
データセキュリティのメリット
データセキュリティへの投資には多くのメリットがあります。
センシティブ情報の保護
企業の持つ顧客や取引先などの個人情報は、全社で共有すべきでないデータです。データセキュリティは、そうした情報を原則非公開とし、共有可能な範囲内でのみ公開します。顧客の個人情報が公開されてしまったら、ビジネスへの影響は甚大なものになります。
風評被害の防止
現代社会では非常にプライバシーを重視するため、強固なデータセキュリティは、社内だけでなく顧客との信頼関係においても重要です。
競争相手に対する優位性を提供する
機密情報をハッカーの目から守ることは競合に対する強みの維持につながります。もしもビジネスプランが他社に漏洩してしまえば、ビジネスプランは停滞せざるを得ません。
サポートコストの抑制
場当たり的なデータセキュリティを実施する場合、思わぬ不備によって損失を生じるリスクがあります。後手に回った対策は、より多くの費用がかかってしまい、長期的に見ればより高コストのセキュリティとなります。最初の段階から入念なセキュリティ計画を実施することがコスト面からも最善といえます。
罰金や訴訟の回避
企業がデータ侵害を受けた場合、もしその顧客に不利益が生じていれば賠償を請求されるでしょう。訴訟費用がかかることは言わずもがな、もしも訴訟においてコンプライアンス違反が発見されれば、国から罰金を課され、顧客への賠償も払わねばなりません。正しいデータセキュリティ手順を実施しておくことで、こうした事態を防ぐことができます。
評判を守る
顧客の個人情報保護は、最も重要な契約といえます。個人情報の漏洩は、顧客の信頼と商売の喪失につながります。データセキュリティ対策は、このような事態を防止するためのものです。
データ改竄の防止
サイバー犯罪者はデータを盗むだけではありません。データを削除したり、変更したり、破損させたり、改竄したりします。「トロイの木馬」によるプロセス乗っ取りやランサムウェアによるデータのロックなどもあります。データセキュリティ手順はそのような事態を防ぎ、ビジネスを保護します。杜撰なデータセキュリティシステムはビジネスに深刻な影響を与え、日常業務にも悪影響を与えます。ある事象がドミノ式にさまざまな問題を引き起こすかも知れません。強固なデータセキュリティ手順の確立が重要です。
データセキュリティの種類
データセキュリティ対策にはさまざまな種類があり、それぞれ実装方法やアプローチが異なります。
データ暗号化
文字列をアルゴリズムによってスクランブルをかけ解読不能にし、権限のある人のみが解読可能にします。量が多い場合はファイルやデータセット単位でスクランブルをかけ、暗号化や代替(トークナイズ)を行います。暗号化ツールには、暗号化に対するセキュリティキー管理機能も備わっています。
データの完全消去
データを削除しただけでは十分ではありません。データ消去は、デバイス上のデータを完全に上書きし、塗りつぶすことでデータの回復を不可能にします。これは、昔の「自動的に消滅する」メッセージの現代版に相当します。
そもそも消去をする必要のないソリューションもあります。データ仮想化ではデータを保存せず、参照した後ただちにデータが消滅するため、仮想データを消去する必要がありません。データ消去においてはソースシステムだけを考えればよいことになり、ガバナンスの労力が低減されます。
データマスキング
特定個人情報(PII : Personally Identifiable Information)をマスクすることで、アプリケーション開発や研修において実データに準拠したデータを使うことができます。
データ仮想化を使う場合は、同じデータであっても参照するユーザーによって行 (例: 他部署の売上)や列 (特定個人情報)などの参照可否をコントロールすることができます。
データレジリエンシー
データレジリエンシーとは障害からの回復を意味します。ハードウェア障害や停電などの事態から、データ可用性を回復することです。回復までの早さが業務への影響を左右します。
データセキュリティのベストプラクティス
データセキュリティ計画には多くの変数があります。それら変数の組合せがリアルタイムでシームレスに連携することが必要です。また計画の実行に当たっては、全社規模でITアーキテクチャ全体を考慮する必要があります。このように複雑なデータセキュリティにおいて、100%完璧な計画というものはありません。しかし以下のような重要な要素があります。
すべてのデータ形式にセキュリティをかける
データセキュリティで重要なことは、どこに保存されていようが、どんなデータについてもセキュリティを確保することです。以下はデジタルと物理の両面において優先的に実施すべき3つのベストプラクティスです。
- ユーザー毎のアクセス権限:センシティブな情報へのアクセスは、そのデータが必要で、アクセスを許されたユーザーだけが参照できるようにすることが、シンプルで効果的な方法です。もしユーザー名やログイン情報が盗まれても、より少ないリスクになります。
- 暗号化の多用:暗号化は定番の優れた方法です。保存されたデータだけでなく、連携中のデータも暗号化することでよりセキュリティを強化できます。
- 認証プロトコルの導入:大元におけるセキュリティの強化です。多段階認証やソーシャルログインなどの認証プロトコル追加には、大きな手間がかかります。プロセスを単純化することで、センシティブデータを何箇所にも分散するのではなく、一箇所にまとめて保存することが容易になります。
新たな脅威への対応
サイバー犯罪者は、攻撃手段を常に進化させています。サイバー犯罪には絶えず新しいソリューションが生まれ、その攻撃はより洗練されたものになります。ビジネスにおいては、その都度データセキュリティ面で追いつかなくてはなりません。以下は、そうした攻撃に対する準備および侵害への迅速な対応を行うためのベストプラクティスを紹介します。
定期的なストレステスト
自社に対して攻撃を行います。その上で安全なデータ回復プロセスを通じ、データが失われない状態を確保します。いくら洗練されていても、自動化されたプロセスだけでは侵入者の創造性には追いつけません。社内にストレステストのためのチームを設置する、外部に委託するなどの方法があります。
従業員の教育
外部からの攻撃は、まずUSBトラップやフィッシングメールなど、従業員をターゲットにします。しかしすべての従業員がすべての脅威や侵入テクニックに詳しいわけではないため、企業のデータに大きな損害を与えるおそれがあります。さまざまな攻撃について定期的なトレーニングや情報提供を行うことが、リスク軽減には有効です。
攻撃への対応計画
攻撃に備えて、常に準備しておくことが重要です。できるだけ多くのケースに対応していること、また必要なすべての人のタスクが明示されている必要があります。準備された対応計画を迅速に実行することで、攻撃の悪影響を最小限にすることができるようになります。ITをはじめ、管理部門、幹部、他部門までの全員が対応計画を把握している必要があります。
すべてのデータのバックアップ
データの回復は、包括的で堅牢なバックアップにかかっています。バックアップを使い、データが消去や破壊された可能性のあるブロックすべてを現状復帰します。バックアップは、通常使用するデータシステムと独立していることが重要です。
不要なデータを消去する
自社ではもう不要なデータであっても、外部に漏洩した場合には危険な場合があります。理想的な対策は、不要になったデータをすべて消去することです。たとえばユーザーの古いパスワード情報などが典型です。人は複数箇所で同じパスワードを使いまわすものなので、過去のパスワードが漏洩したことから現在のセキュリティが危険にさらされてしまいます。
- データ消去:すべてのデータに有効期限を設定する。期限はデータの種類ごとに決めていきます。データの有効期限が終了したら、そのデータを参照した先やバックアップすべて含めて確実にデータを消去してください。データの存在状況と使用状況を逐一追跡することが、確実にすべてのデータを削除するためのベストな方法です。
- 物理的なストレージの把握:外付けドライブ、USBドライブ、紙のファイルや文書などに残されたデータが忘れられがちですが、データ侵害の主要な手段となっています。物理データをすべて洗い出し、網羅的に削除する必要があります。
コンプライアンスのための定期的なオーディットの実施
データマネジメントに関する規制は国やビジネス形態によって異なりますが、データマネジメント管理の標準や法律に従うことは、データ漏洩の可能性を減らすのに役立ちます。社内にコンプライアンスチームを設置したり、定期的なコンプライアンスチェックを行うことも有効です。こうしたオーディットの実施により、データセキュリティにおける隙を発見したり、対処法を検討できたりします。
高品質のデータは、ビジネスで競争優位に立つために必須です。データセキュリティは攻撃への防御や、影響の軽減に重要です。セキュリティ投資は、攻撃の高度化とともに年々増加していく傾向がありますが、データセキュリティプロトコルが強固であること、データが常に安全であることの価値も高まっています。