Merkle Improves Customer Experiences While Providing Data Governance and Security
電通傘下の企業であるMerkleは、機密データをSnowflakeに統合し、クライアントとのコラボレーションを行っています。これにより、より効率的で信頼性の高いデータ環境が実現し、データアクセスが促進され、リスクが軽減されました。
データセキュリティとは:包括的ガイド
データセキュリティの概要と重要性について説明します。機密情報を守るためのデータセキュリティサービス、ソリューション、および保護手法について詳しくご紹介します。
- 概要
- データセキュリティとは
- データセキュリティとデータプライバシーの比較
- データセキュリティの種類
- データセキュリティが重要な理由
- データセキュリティのメリット
- よくある4つのデータセキュリティリスク
- データセキュリティ戦略
- データセキュリティ規制とコンプライアンス
- データセキュリティの強化方法:4つのベストプラクティス
- データセキュリティツールとソリューション
- データセキュリティの新たなトレンド
- 結論
- データセキュリティに関するよくある質問
- Snowflakeを使用しているお客様の事例
- セキュリティとガバナンスの関連リソース
概要
データセキュリティは、デジタルアセットの場所、使用または共有の方法、リスクの有無など、ライフサイクル全体にわたってデジタルアセットを保護するための基礎的実践です。データセキュリティのプロセスは、不正アクセスの防止、コンプライアンスの維持、事業継続性の維持にとって不可欠です。以下に、データセキュリティのプロセスと種類、重要性とリスクについて説明します。
データセキュリティとは
データセキュリティは幅広い分野で、物理環境、デジタル環境、クラウド環境にまたがるデジタルアセットを対象としています。これは、情報セキュリティのより広範な実践の一部です。データセキュリティの目標は、デジタル情報を不正アクセス、破損、盗難、紛失から保護することです。データセキュリティに対する一般的な脅威は、サイバー攻撃、ハッカー、マルウェア、ランサムウェア、フィッシング攻撃、人的エラー、インサイダー脅威、テクノロジーの脆弱性など、外部ソースからのものもあれば、内部から発生するものもあります。
データセキュリティには、アクセス制御、ファイアウォール、暗号化などの技術的な制御と、セキュリティトレーニング、インシデント対応計画、データ分類ポリシーなどの組織のセキュリティポリシーの両方が含まれます。
両者は似ていますが、データセキュリティとデータプライバシーは別個の(とはいえ関連性のある)実践項目です。データセキュリティは機密データの保護に焦点を当てていますが、データプライバシーは、組織がデータを収集、保存、共有、使用する方法を決定します。
データセキュリティという用語をサイバーセキュリティと混同しないことも重要です。データセキュリティは、システム全体、ネットワーク、クラウド、施設を保護するサイバーセキュリティのより広範な領域の一部です。
データセキュリティとデータプライバシーの比較
データは、(デジタルまたは物理の)どこかに存在する機密情報または価値ある情報であると考えてください。どちらも安全に保持され、適切な人だけがアクセスする必要があります。秘密情報を含むファイルキャビネットの簡単な例を見てみましょう。データセキュリティとは、キャビネットに施錠または制限して、盗難などの不正アクセスから情報を保護することです。データプライバシーとは、そのファイルがどのように取得され、キャビネットの鍵を誰が持ち、そのファイルの使用を許可されているかという方法を意味します。
この例では、コンピューター、サーバー、クラウド上のデジタル世界のデータということになります。データセキュリティは、データを読み取れなくする暗号化、閲覧者を制限するアクセス制御、悪意のある行為を防ぐファイアウォールやアンチウイルスソフトウェアなど、デジタルアセットを保護します。データプライバシーは、データへのアクセスと制御を扱い、個人にデータの使用、保存、共有に関する権利を付与します。データプライバシーは、倫理的および法的ガイドラインによって推進されます。最も広く知られている法律としては、EU一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)などがありますが、いずれも住民のデータの取り扱いに関する包括的なデータプライバシー法です。
データセキュリティの種類
データセキュリティのアプローチは、環境によってさまざまな種類を使用できます。限定されませんが、以下が含まれる場合があります。
暗号化
暗号化は、読み取り可能なデータ(プレーンテキスト)を読み取り不可能なスクランブル形式に変換するプロセスです。これには、数学アルゴリズムと秘密キー(機密ファイルのあるキャビネットを保護するキーなど)を使用します。正しいキーを持っている人のみがデータを復号できるため、不正な関係者がデータを盗んだとしても、そのデータは使用できません。データの保存時と送信時の両方でデータを保護するための基本的な方法です。
データマスキング
データマスキングは、機密データや秘密データを保護するために使用される手法です。元のデータ値を難読化または非表示にします。 たとえば、クレジットカード番号や氏名などの機密情報を、構造的には似ているが架空のデータに置き換える、現実的で合成的なデータの作成などが考えられます。目標は、実際の機密情報を公開することなく、ソフトウェアテストや従業員トレーニングなどの非実稼働環境で使用可能なデータセットを提供することです。これにより、システムが機能し、テストできる状態を維持したまま、偶発的なデータ漏洩を防止できます。
アクセス制御
アクセス制御とは、アクセスできるデータやシステムを制御する作業です。アクセス制御は2つのステップで構成されます。認証は、パスワードや生体認証データなどを用いてユーザーのIDを検証し、認可は、認証されたユーザーに許可されるデータ操作を決定します。最小権限アクセス制御の概念は、従業員、請負業者、顧客に対して、それぞれのタスクや役割に必要な最小限のアクセスのみを付与し、それ以上のアクセスは付与しないことを意味します。
侵入検知と侵入防止
侵入検知システム(IDS)は、ネットワークトラフィックを監視し、疑わしいアクティビティや既知の脅威がないか確認します。何かを検知すると、管理者にアラートを送信します。侵入防止システム(IPS)でも同様の確認を行いますが、悪意のあるネットワークパケットのドロップや送信元IPアドレスのブロックなど、脅威が被害を及ぼす前に迅速にブロックするアクションを実行することもできます。
データセキュリティが重要な理由
データセキュリティは、あらゆる規模の組織にとって非常に重要であり、さまざまな意味で重要です。その主な役割は、機密データをあらゆる種類の脅威や不正アクセスから保護することです。外部からの攻撃、悪意のあるインサイダー、人的エラーから保護することも可能です。データセキュリティプロセスは、暗号化やアクセス制御などのツールを使用して、顧客の支払い情報、医療記録、知的財産などのデータを保護します。
顧客の信頼を構築し維持することも、データセキュリティの重要な役割です。多くの場合、企業の評判はデータ保護能力と結びついています。つまり、信頼できる企業として取引が増えるのであれば、競争優位性を獲得できます。
また、データセキュリティは単なるビジネス慣行ではありません。法律で定められた必須事項です。消費者データを保護するための具体的なセキュリティ対策を組織に義務付ける世界的な規制(GDPRや医療保険の相互運用性とアカウンタビリティに関する法律(HIPAA)など)はますます増加しています。
強力なデータセキュリティを実装できない場合のリスクは深刻です。経済的損害は甚大であり、インシデント対応のための直接費、弁護士費用、規制罰金、ダウンタイムによる事業や業務の損失などに及ぶ可能性があります。評判としては、データ侵害はメディアの否定的な注目や顧客の信頼の失墜につながり得ます 。また、時間の経過とともに、ビジネスの損失による経済的影響は、当初の金銭的な罰則よりも深刻になる可能性があります。データ保護が不十分な場合、データが侵害された影響を受けた個人からの訴訟や、規制当局からの罰則や制限などの法的トラブルにもつながります。
データセキュリティのメリット
以下に、強力なデータセキュリティの実践の主なメリットを示します。
1.侵害からの保護
強力なデータセキュリティは、サイバー攻撃や侵害に対する堅牢な防御を提供し、機密情報を不正アクセスや盗難から保護します。
2.規制コンプライアンス
組織は、必須の法的要件と業界標準を満たすために強力なデータセキュリティ対策を実施し、データを保護し、高額な罰金や罰則を回避する必要があります。
3.顧客の信頼とブランド評価
企業はデータセキュリティを優先させることで、顧客との信頼関係を築き、信頼できるセキュアな企業というブランド評価を高めます。
4.運用の継続性
サイバー攻撃やその他の侵害は業務に混乱や損失をもたらしますが、企業は効果的なデータセキュリティを確保することで、スムーズに業務を継続するためのシステムやデータの可用性を確保できます。
5.競争優位性
新しい顧客やパートナーは、データセキュリティを優先する企業により強く魅力を感じ、既存の顧客は長く留まります。顧客データの堅牢な保護は、競合他社との差別化要因となり、より高いビジネス価値をもたらします。
よくある4つのデータセキュリティリスク
データセキュリティのプロシージャにはリスクが伴い、脆弱性がさまざまな影響を引き起こす可能性があります。こうしたリスクには以下が含まれる場合がありますが、これらだけに限定されません。
外部攻撃
悪意のある部外者は、フィッシング、マルウェア、その他のハッキングによってシステムの脆弱性を悪用し、組織の機密データに不正アクセスできます。
インサイダー脅威
悪意のあるアクター、侵害されたインサイダー、人的エラーなど、さまざまなリスクが内部から生じます。従業員、元従業員、請負業者、その他のパートナーがアクセス権限を持つ場合、意図的または偶発的に機密データを暴露し、組織に重大なリスクをもたらします。
データの損失と設定ミス
また、人的エラーは、ファイルの誤った削除や不適切なデータベース設定など、データロスや不正露出の拡大にもつながります。
アプリケーションの脆弱性
組織は、自社のソフトウェアやアプリケーションに脆弱性があることを知らずに、攻撃者がセキュリティ制御を迂回してデータを侵害できる可能性があります。
データセキュリティ戦略
機密データを適切に保護することは複雑に感じられるかもしれませんが、朗報として、組織とってはレジリエントなデータセキュリティフレームワークを構築するために実行可能な多数の戦略があります。
定期的なリスク評価の実施
組織は、定期的なリスク評価を通じて脆弱性を特定し、優先順位を付けることができます。このようにして、セキュリティリソースが長期的な保護とコンプライアンスに対する最も重大な脅威に集中するようになります。
最小限の権限アクセス制御の実装
組織は、権限を持つユーザーアクセスをタスクやロールに必要なデータのみに制限することで、内部の脅威や侵害(悪意または偶発的)のリスクを最小化できます。これは、セキュリティと規制への長期的なコンプライアンスの両方にとって極めて重要です。
保存と転送時のデータの暗号化
保存時や送信時の機密データは脆弱な状態であるため、リスクにさらされる可能性が高くなります。暗号化することで、データを取得した人はキーなしでアクセスできなくなるため、不正アクセスからデータを保護できます。不正アクセスの防止は規制コンプライアンスの基本要件であり、システムが侵害された場合でも長期的なデータ保護に役立ちます。
インシデント対応および復旧計画の策定
組織は、事前に詳細な計画を準備することで、セキュリティインシデントに迅速かつ効果的に対応できます。この準備と対応により、損害を最小限に抑え、通常業務への迅速な復帰が可能になり、長期的な運用上のレジリエンスを確保できます。
システムアーキテクチャへのデータセキュリティの統合
セキュリティは、後付けではなくコアコンポーネントとなるように、最初からシステム設計に直接組み込む必要があります。統合されたデータセキュリティプロセスを構築することで、長期的な保護とコンプライアンスのためのより堅牢な基盤が構築されます。
ユーザー行動とシステムアクティビティの監視
継続的なモニタリングは、組織が疑わしいアクティビティを検知するのに役立ちます。これにより、潜在的な脅威へのプロアクティブな対応が可能になり、法的問題、財務問題、風評被害など、被害や損失を最小限に抑えることができます。継続的なモニタリングにより、大規模な侵害のリスクを低減できます。
データセキュリティ規制とコンプライアンス
データセキュリティ基準を遵守するための業界固有の規制は、組織が何をすべきかを導くだけでなく、法律で義務付けられています。以下に挙げるのは、プライバシーに焦点を当てた規制の一例です。しかし、こうした規制により、データセキュリティは組織の法的責任と運用責任の必須要素となっています。そのため、組織は個人データをどのように使用するのかについての透明性を確保し、個人に個人データの使用を制御する権利を付与する必要があります。
GDPR(EU一般データ保護規則)
GDPRは、データプライバシーとセキュリティを管理する世界で最も重要な規制の一つです。EU居住者の個人データを処理するすべての組織は、技術的および組織的な具体的な措置によってデータを保護する方法についての規則を遵守することを義務付けています。また、アクセスや削除など、組織の情報に関連する権利を個人に与えることも求められます。
HIPAA
HIPAAは、医療機関などの保護対象医療情報(PHI)を扱う組織とそのビジネス関係者を規制します。HIPAAセキュリティ規則では、データの秘密性、整合性、可用性を確保するための保護対策を実施することが義務付けられています。機密データを保護するための管理的、物理的、技術的な方法として以下があります。
PCI-DSS
決済カード業界データセキュリティ基準は、カード会員データの受け入れ、保存、処理、送信を行う組織に適用されます。この規格では、セキュアなネットワークの維持、カード会員データの保護、セキュリティシステムの定期的な監視とテストが義務付けられています。
CCPA
CCPAは、カリフォルニア州の企業が一定の収益、データ処理、データ共有の基準を満たしている場合に遵守しなければならない、もう一つの大規模な地域規制です。カリフォルニア州民の個人情報を保護するための合理的なセキュリティを実装し、その個人について収集された情報を知り、その情報の販売をオプトアウトするか、削除を依頼する権利を付与することを義務付けています。
データセキュリティの強化方法:4つのベストプラクティス
企業が機密データを保護するうえでは、規制やリスク、潜在的な弱点が存在しますが、データセキュリティの構築と維持には、実践可能な多くのステップとベストプラクティスがあります。限定されませんが、以下が含まれる場合があります。
1.リスク評価を実施する
システムを定期的に評価することで、組織は特定された脆弱性やセキュリティギャップに対処してサイバー攻撃やデータ侵害を未然に防止できます。リスク評価やペネトレーションテストを実施することで、ITインフラストラクチャの弱点を解消できます。
2.アクセス制御と暗号化の実装
機密データは、アクセス制限を設けるとともに暗号化によるスクランブルを実行することで、アクセスできるユーザーを制限することで保護できます。これにより、データの窃盗や悪用を防ぐ基本的な防御レイヤーが構築されます。
3.システムと監査ログを監視する
異常なアクティビティや疑わしいアクティビティを継続的に監視し、システムログを確認することで、組織は脅威を検知して対応できるため、軽微なインシデントが大きな侵害になるのを阻止できます。
4.従業員のトレーニングとポリシーの適用
組織は、フィッシング攻撃、パスワードセキュリティ、データ暗号化など、攻撃やデータ侵害の防止に役立つサイバーセキュリティのトピックを扱うトレーニングモジュールの受講を従業員に義務付けることができます。コンプライアンス要件についてスタッフを教育し、セキュリティリスクを認識して対処することで、堅牢なデータセキュリティの実践をサポートします。
データセキュリティツールとソリューション
組織はさまざまな種類のデータセキュリティツールを利用でき、多層防御戦略に貢献できます。以下に、データセキュリティソリューションの例を示します。
データ暗号化ツール
機密データを暗号化すると、適切なキーがなければ読み取れなくなります。これは、他のセキュリティ対策が失敗して攻撃者がデータにアクセスできなくなっても、データは引き続き使用できないという最後の防御策となる可能性があります。
データ損失防止(DLP)システム
DLPシステムは、機密情報(Eメールやクラウドアップロードなど)を自動的に検出してネットワーク外に出ないようにすることで、ゲートキーパーとして機能します。
IDおよびアクセス管理(IAM)プラットフォーム
IAMプラットフォームは、認証および認可ポリシーとテクノロジーを使用して、誰が何にアクセスできるかを制御します。機密データやシステムへの不正アクセスに対する防御の最前線です。
バックアップとデータレジリエンシーのプラットフォーム
機密データをバックアップするためのシステムがあれば、確実に復元できます。バックアップとデータレジリエンシーのプラットフォームは、データのセキュアなコピーを作成します。これにより、侵害や攻撃が発生しても、組織は情報を保持したまま、迅速に業務を再開できます。
データセキュリティの新たなトレンド
データセキュリティは進化する分野であり、常に新しいトレンドが生まれています。以下に、データセキュリティの未来を形作るトレンドの例を示します。
AIドリブンなセキュリティ
AIドリブンなセキュリティは、機械学習を使用して膨大なデータを分析することで、人間よりも高速で正確な脅威検知を実現します。このパターンの異常の迅速かつ早期発見により、潜在的な侵害を未然に防止できます。脅威検知と対応を自動化することで、システムが学習して新しい攻撃方法に適応できるようになります。
非構造化データの保護
従来のデータベースでフォーマットされていない、または保存されていないデータは非構造化データと呼ばれ、Eメール、チャット、その他のドキュメントから取得されます。従来、非構造化データのセキュリティ確保は困難でした。機械学習は、こうしたファイルの発見、分類、保護を可能にします。これにより、組織の情報の大部分を保護できるようになり、データセキュリティが根本的に変化します。
高度なランサムウェア脅威
通常、ランサムウェア攻撃では、組織のデータを暗号化し、データの復元と引き換えに恐喝するという手法がとられます。新世代のランサムウェア攻撃には、データの窃盗や外部への露出などがあります。組織は、こうした複雑な攻撃を恒久的な損害が発生する前に検知できるレジリエントなバックアップやアナリティクスへの投資を余儀なくされるため、こうした動きが、データセキュリティの将来を形作っています。
マルチクラウドセキュリティの導入
企業は複数のクラウドプロバイダーにまたがってデータを保有している可能性があるため、こうした別々の環境にまたがってデータセキュリティポリシーを一元管理する必要があります。これにより、異なるクラウドプラットフォーム間でデータを移動しても一貫した保護を提供できる、複雑なセキュリティ管理が簡素化されます。
ゼロトラストとID管理
ゼロトラストは、ネットワーク内にいてもユーザーやデバイスが安全であるとは考えない原則です。そのため、「決して信頼せず、常に検証する」ことが前提となっています。そのため、IDおよびアクセス管理(IAM)はあらゆるセキュリティ意思決定の中核となり、あらゆる角度からデータを保護するために継続的な検証が必要になります。
結論
強力なデータセキュリティの実践は、企業が法律、財務、コンプライアンスへの影響を防ぐうえで不可欠です。また、顧客の信頼と運用上のレジリエンスの構築もサポートします。脅威と実践が進化するなかで、組織は多層的なプロアクティブなアプローチを採用して、機密情報をさまざまな角度から攻撃から保護できるように準備する必要があります。
データセキュリティに関するよくある質問
データセキュリティを確保するための5つの方法とは何ですか?
1.プロアクティブな脆弱性評価:定期的にシステムを評価し、悪用される前にセキュリティギャップを特定して対処します。これには、徹底的なリスク評価とペネトレーションテストの実施が含まれます。
2.堅牢なアクセス制御と暗号化:機密データにアクセスできるユーザーを厳しく制限し、暗号化によって読み取り不能にすることで、機密データを保護します。これにより、不正アクセスが発生してもデータを確実に保護できます。
3.継続的なシステムモニタリング:システムアクティビティと監査ログに対する継続的な警戒を維持し、異常なイベントや疑わしいイベントをリアルタイムで検知して対応することで、軽微な脅威のエスカレートを防止します。
4.従業員トレーニングとポリシー適用:フィッシング、パスワードハイジーン、データハンドリングなどのトピックに関する定期的なトレーニングを通じて、従業員にサイバーセキュリティに関する基本的な知識を身につけさせます。明確なポリシーを徹底することで、強固なセキュリティ文化が定着します。
5.セキュアなサードパーティとの関係:セキュリティプロトコルをすべてのサードパーティベンダーやパートナーに拡張します。サプライチェーン全体でデータを保護するために、厳格なセキュリティ基準に準拠していることを確認します。
データセキュリティの4つの要素は何ですか?
データセキュリティの要素は、プロアクティブなセキュリティに焦点を当てた4つ目の要素と合わせて「CIAのトライアド(三原則)」と呼ばれることがよくあります。その要素は以下のとおりです。
秘密性:機密データを非公開にし、許可された個人のみがアクセスできるようにします。これは、暗号化とアクセス制御によって実現できます。
完全性:データが信頼できる正確な状態を保つこと。データの整合性を維持するためには、データに変更や破損がないかを監視するツールが必要です。
可用性:許可されたユーザーが必要なときに、データとデータにアクセスするシステムを信頼できる一貫した方法で利用できるようにします。可用性を確保するためには、システムの稼働を維持し、データバックアップと冗長システムを使用してダウンタイムやサービスの中断などの中断を回避する必要があります。
アカウンタビリティ(監査)は、3つの原則に最近追加された4つ目の項目です。システムを監視し、ログを監査することで、データに関連するあらゆるアクションやデータの使用方法を追跡できるため、ユーザーのアクションを追跡できます。誰がデータにアクセス、変更、削除したのかを記録することは、インシデントの検知と対応、規制コンプライアンスの維持にとって重要です。
データセキュリティに対する最も一般的な脅威は何ですか?
機密データに対する脅威や侵入口はさまざまですが、人間の脆弱性はデータセキュリティに対する最も一般的で被害の大きい脅威と考えられています。なぜなら、ソーシャルエンジニアリングやフィッシングのような攻撃は、システムが技術的に健全で侵害が困難な場合であっても、人間の心理を騙して悪用する可能性があるためです。攻撃者は機密情報を入手すると、マルウェア(ランサムウェアを含む)のインストールなどのセキュリティシステムを大規模に侵害し、機密データの検索と悪用に動きます。技術的な脅威はさまざまですが、データセキュリティインシデントの最も一般的な侵入口として、人間的な要素が多く見なされています。
