企業がデータプライバシー保護のために知っておくべき7つのこと
データ侵害が急増し、プライバシー規制が進むなか、機密情報に当たる顧客データや従業員データの保護が多くの経営者にとって最重要の関心事となっている。米国では「Cybersecurity Awareness Month」(サイバーセキュリティ意識向上月間)に当たる10月、企業等の組織がデータ保護の向上のために注目すべき、大きな傾向がいくつか見られた。
データプライバシーの維持は今日、かつてないほど複雑なものになっている。企業は今やハイブリッドクラウド環境で業務を行い、オンプレミスの各種システム、事業者の異なる複数のクラウドの間をデータが流れている。有用なデータが従来型のデータベースやSaaS(Software as a Service)、クラウドのデータストアに散在しているケースもある。どのように機密情報の所在を把握し、適切に保護するかは大きな問題だ。
では、企業が機密情報の顧客データや従業員データを安全に保護するためには、具体的に何に注力すべきなのだろうか。主な傾向を見てみよう。
01データプライバシーとデータセキュリティが密接に関連
米IBMのデータセキュリティ製品管理担当バイスプレジデント、Akiba Saeedi(アキバ・サイーディ)氏がSDxCentralの取材で語ったところによると、企業等の組織がハイブリッドクラウド運用への移行をさらに進めるなか、データプライバシーとデータセキュリティの関連性がますます強まっているという。
氏はこの点を強調、データ侵害のほとんどが個人を特定できる機密情報(SPII)に関わるものであったとした。
02クラウドセキュリティの神話を打ち破ることがデータプライバシーの向上に
多くのビジネスリーダーがいまだに持っている誤った認識に、機密データをクラウドに保存すると、さらなるリスクが生じるというものがある。Saeedi氏の話では、クラウドのデータストアはセキュリティやコンプライアンスの要求水準を満たせないと思い込んでいる経営者もいるという。
「実際には、最新のデータセキュリティソリューションはオンプレミスとクラウドの間を行き来するデータを保護できるようにつくられており、環境を問わない強力なデータセキュリティ保護を実現しています」と語った。
03データ侵害によって連鎖的に悪影響が発生
データプライバシーのリスクの中でも、企業等の組織にとって最大級のリスクとなっているのがデータ侵害だ。氏によれば、データ侵害による損害は1件当たり450万ドル(約6億8,100万円)近くに上り、リソースや利益、評判にも連鎖的に悪影響が及ぶという。
たった1度の侵害が、財務にも評判にも壊滅的な打撃となることがある。クラウドへのデータ移行が進むなか、企業は何重にも防御策を講じ、データを侵害の脅威から厳重に保護する必要がある。
04全データの所在の把握が不可欠
データプライバシーに関しては、保有していると認識できていないデータを保護するのは容易ではない。保護すべきデータの爆発的な増加に対応していくには、オンプレミス・クラウドの両環境に存在する、機密情報や規制対象の構造化・非構造化データを検出、分類、カタログ化する仕組みの強化に力を入れる必要があるという。
機密データ、とりわけ新しく導入したクラウドアプリケーションの「シャドーデータ」が正確にどこにあるのかを把握することが不可欠だ。データの検出、分類、カタログ化は最優先事項とした方が良い。
05機密データに関わるユーザー行動を監視・分析
秘密にしておくべき機密データを、監視がない状態にしておくべきではない。データがどのように使用されているのかを把握していなければ、悪用に気づくことは難しいからだ。基準となる正常なデータアクセスのパターンを作成し、不審な異常を簡単に検知できるようにするのがベストプラクティスだ。
「データアクティビティの監視、高度なユーザー行動分析を実施すれば、機密データに関わる、通常とは異なるアクティビティを検出できます」
06データセキュリティポスチャ管理(DSPM)ツールの検討
最新のツールを導入すれば、自社のさまざまな環境を常時監視、見落としている可能性のある機密データや脆弱性を検出できる。
「データセキュリティポスチャ管理(DSPM)のような新しいテクノロジーを利用すれば、把握できていない機密データをクラウド環境全体から検出することが可能です。各社のクラウドサービスやSaaS、データレイクに存在する構造化・非構造データなどが対象です」
07複雑性を認識、対処すべし
データプライバシーの保護とコンプライアンスの遵守が今後も要求され続けることは明らかだ。Saeedi氏によると、ハイブリッドクラウド環境がありふれたものとなった現在、多くの企業が――とりわけ規制の厳しい業界で――データプライバシーとコンプライアンスの両方について、非常に複雑な規制要件に対応しなくてはならなくなっているという。
オンプレミスとクラウドを含む環境全体でこうした複雑な規制に対応していくことは、時と共にますます難しくなる一方だと思われる。規制の発展に合わせて、自社のデータプライバシー戦略が確実に対応できるようにしていく必要がありそうだ。
JOIN NEWSME ニュースレター購読
KCMEの革新的な技術情報を随時発信
5G・IoT・クラウド・セキュリティ・AIなどの注目領域のコンテンツをお届けします。
KCME注目の技術領域に関するテックブログを配信しています。
KCME注目の技術領域に関するテックブログを配信しています。
RELATED ARTICLE 関連記事
-
ネットワーク Sean Michael Kerner2024.08.20
DNSパフォーマンスの調査が、プロバイダー間の大きな格差を明らかに
IBMとCatchpoint Systemsが実施し…
-
セキュリティ Nancy Liu2024.08.05
フォーティネットのLacework買収がクラウドセキュリティを強化、CiscoやPalo Alto Networksと競合
フォーティネットは最近、クラウドセキュリティのスター…
-
5G Dan Meyer2024.07.30
企業のIT部門とOT部門は、プライベート5Gについて語る時期がきたのではないか?
プライベート5G市場は、採用というよりもチャンスに後…
-
ネットワーク SDxCentral Studios Sponsored by VMware2024.07.26
RANや5Gの運用を妨げている、5つの要因
通信業界では、RANからエッジ、コアに至るまで、エン…
HOT TAG 注目タグ
RANKING 閲覧ランキング
-
セキュリティ Nancy Liu
デル、データ侵害を確認=ハッカーが4900万件の顧客データ販売を主張
-
IT Dan Meyer
BroadcomによるVMware製品の価格/ライセンスの変更がどうなったか
-
IT Dan Meyer
Dell、HPE、LenovoはBroadcomがVMwareの顧客の懸念を和らげるのに役立つか?
-
IT Dan Meyer
BroadcomがVMwareパートナープログラムの詳細を発表
-
ネットワーク Sean Michael Kerner
2024年における10のネットワーキング技術予測
-
セキュリティ Tobias Mann
米CitrixはMcAfee社、FireEye社と同じ運命を辿るのか=買収合併の後に
-
セキュリティ Nancy Liu
SASE市場が急成長=第1四半期、首位はZscaler
-
スイッチング技術 Tobias Mann
コパッケージドオプティクスの実用化は何年も先=専門家談
-
IT Dan Meyer
米キーサイトがVIAVIのスパイレント買収に「待った」=15億ドルを提示
-
ネットワーク Sean Michael Kerner
2023年 ITネットワークのトレンドTOP10 現時点