データセキュリティとは
デジタルデータは今日の企業を支える重要な存在となっており、ビッグデータ市場は2027年までに1,030億ドルという巨大な規模に達すると予測されています。
その一方で、市場の拡大に応じてデータ侵害の件数も増加しています。米国では、2005年の157件から2018年の1,244件へとデータ侵害の発生件数が増加しており、侵害によって4億4650万件のレコードが流出し、データを保護しようとしている企業にとって大きな懸念となっています。
ここでは、かつてないほど重要な位置を占めているデータセキュリティに関して、その意味と重要性、そして起こりうる攻撃からデータを保護する方法について説明します。
データセキュリティとは
データセキュリティとは、データが破壊されるのを防ぐために用いられる、一連の対策のことです。データを有害な方法や意図しない方法で使う可能性のある人がデータにアクセスできないようにする、システムの利用やプロセス、手順などが含まれます。データセキュリティの侵害は、封じ込めやすい小規模なものもあれば、甚大な被害を引き起こす大規模なものもあります。
データセキュリティは、個人と組織の両方に適用されます。個人の場合、起こりうる侵害としてはIDの盗難や、クレジットカード情報のような個人情報の窃取が考えられます。
組織レベルでは、起こりうる侵害は多岐にわたります。たとえば、ハッカーが金銭的見返りを期待して行うランサムウェア攻撃や、事業の妨害を目的とする単純なマルウェアによる攻撃などがあります。
現在多くの企業が、複数のシステムやプラットフォームに存在する断片化したデータに関連する課題に直面しています。大規模なクラウドへの移行やSaaSアプリケーションの利用によって、効率やコストの面で大きな利点がある一方、セキュリティに対するコントロールをサードパーティのプロバイダーに委ねることにもなります。
すなわち、ハッカーが侵入できる入り口が複数存在することになり、機密データの管理にほんの僅かな不備があるだけで、企業とその顧客データが危険にさらされる恐れがあるということを意味します。
データセキュリティの重要性
データ侵害を引き起こす数々の手法は、顧客離れや評判の低下、金銭的な損失といった形で、企業に対してかなりの損害をもたらします。データの損失が発生した場合、約60%の中小企業が6か月以内に廃業するという報告もあります。
これは、ブックマーク共有WebサイトMa.gnoliaの事例を見れば明らかです。このサイトを運営していた会社のデータベースサーバーがクラッシュし、すべてのユーザーデータが失われてしまいました。Ma.gnoliaではバックアップを取っていましたが、破損したファイルがバックアップにも同期されてしまい、使用できなくなりました。たった一度の恐ろしい出来事により、同社の魅力的でユーザーフレンドリーなWebサイトが消失してしまったのです。
侵害は大企業でも発生しています。たとえば、Yahooは2013年にデータ窃取の被害を受けました。当初、影響はそれほど大きくないと推定されていましたが、実際にはYahooを利用する30億人のユーザーのアカウントすべてが漏洩していたことが2017年に明らかとなりました。この事件により、当時Yahooを買収する準備を進めていたVerizonが、買収提示価格を当初の金額よりも大幅に引き下げるという影響もありました。
データセキュリティは評判や金銭面への影響だけでなく、GDPR(EU内のユーザーに関連するデータに適用)やHIPAA(ヘルスケアデータに適用)、サーベンス・オクスリー法(金融業界に適用)、PCI-DSS(クレジットカードおよび決済データに適用)などの規制に対して、コンプライアンスを徹底する上でも極めて重要です。コンプライアンス違反が起きると、政府に多額の違反金を支払うだけでなく、ビジネスの喪失にもつながります。
データセキュリティの5つのタイプ
ここまで、「なぜ」セキュリティが必要なのかを見てきましたので、次は「どのように」実現するのかを見ていきましょう。データセキュリティを導入する方法は多岐にわたるため、1つのアプローチですべての抜け穴をふさぐことはできません。
そのため、この問題を解決するためには複数の手法を用いることになります。一般的なデータセキュリティの種類についていくつか見てみましょう。
- ネットワーク層:保護の最初の段階として、企業はTCP/IP層をセキュリティで保護し、適切なユーザー集団のみがネットワークにアクセスできるようにする必要があります。メールゲートウェイやワイヤレスネットワーク、モバイルデバイス、VPN層の保護はネットワークセキュリティの範囲に含まれます。これを実現する方法としては、ファイアウォール、アクセスコントロール層、ネットワークセグメンテーション、アンチウイルスプログラムなどがあります。IPSecプロトコルおよび暗号化アルゴリズムによるデータパケットの暗号化も、ネットワーク保護の一例です。
- アプリケーションセキュリティ:モバイルデバイスに安全でないアプリケーションがインストールされた場合、デバイスに保管されているあらゆるプライベートな情報が流出する可能性があります。同様に、アプリケーションに脆弱性が存在する場合、攻撃者が企業の他のデータにアクセスするための入り口となる可能性があります。たとえば、ソースリポジトリ内にパスワードがハードコーディングされるという事象は、人々が考えるよりもずっと頻繁に発生しています。多くの企業では、オープンソースのコードや多数のサードパーティ製アプリケーションを利用しています。こうしたツールやアプリを企業に導入する前に、リスクがないかどうかを評価することは非常に重要です。
- データのマスキング:データがどのように永続的に保管され、システム間で受け渡しされるのかに注目する必要があります。機密データには常に難読化または暗号化を施し、悪意を持った人が乱用できないようにしなければなりません。データをマスキングおよび分割して保管すると、社内的にはデータに意味を持たせながら、ハッカーに対しては匿名化することができます。
- データの削除:システム内には行先のわからないデータや不必要なデータが多く存在し、保守作業を困難にしています。スムーズなデータガバナンスを実現するためには、データのクリーニングを頻繁に行い、整合性を保つ必要があります。たとえば、ある銀行の顧客が口座を解約した場合には、クリーニング作業を行って顧客がアクセスできる可能性のあるすべてのサービスへのアクセス権を削除する必要があります。GDPRなどの規制では、企業やそのベンダーがこうした作業を実施することが義務付けられています。
- 失われたデータの回復:事業を継続するためには、災害や盗難などによるデータ喪失を予防することが極めて重要です。データセンターを世界各地に分散させることで、インシデントのイベント発生時にプライマリーの拠点を切り替えることができます。データ喪失が発生した場合でも事業を復旧できるように、バックアップと回復の仕組みを準備しておく必要もあります。
データ喪失を引き起こすサイバー攻撃が発生した場合でも、こうしたデータ回復手法を用いることで、巻き込まれた企業がさらされるリスクを軽減できます。
データセキュリティソリューション:欠かせない機能と特徴
データのセキュリティを確保する従来型のアプローチとして、個別の問題に対処するさまざまなツールが使用されてきました。しかし、今日の複雑なデータ環境では、データ統合機能を備えたクラウドネイティブなソリューションが求められています。
目標は、複数のソースからのデータを集約して検証とガバナンスのポリシーを施行する、単一のプラットフォームまたはツールを導入することです。このアプローチによって、冗長なデータや孤立したデータといった、企業を将来的に危険にさらす可能性のあるデータクオリティの問題を避けることができます。また、データ整合性を確保するための対策を取ることにより、顧客が自身のデータを完全に信頼できるようになります。
さらにこうしたツールは、増加するデータ量に合わせてスケールアップできるだけでなく、多くの企業が日々の業務に活用しているクラウドベースの各種アプリケーションとの互換性を促進できるものでなければなりません。
そして、GDPRやHIPAAといった各種規制へのコンプライアンスを自動的に達成できる、最先端のセキュリティソリューションであるという点が最も重要です。たとえば、個人識別情報(PII)のフィールドが暗号化されているかどうかを確認するなどです。
クラウドとデータセキュリティの未来
多くの企業が、自社のデータの大部分をクラウドに既に移行したか、現在移行を行っています。マルチクラウド環境を選択している企業さえあります。アプリケーションやハードウェア、データベースは、IaaS・PaaS・SaaSソリューションを組み合わせることでクラウド上に存在しています。さらに、これらはオンプレミスのシステムと連動して使用されているため、状況は複雑になっています。そのため、データとそのインフラストラクチャーのセキュリティの確保が、近年ますます困難になっています。
人々は、クラウドソリューションにコントロールを完全に委ねるか、あるいはクラウドセキュリティに極端な疑念を抱くかの間で揺れ動いているようです。しかしどちらかと言えば、クラウド時代のセキュリティの導入には、バランスの取れた視点が必要です。
クラウドの統合は避けられませんが、そのためには新しい環境に適応し、データセキュリティソリューションに適切な変更を加える必要があります。
まず、企業はクラウドソリューションを信頼する前に、徹底的な評価を行う必要があります。次のような質問により、クラウドソリューションを単なるブラックボックス以上に理解することができます。
- ベンダーが保証するデータの可用性やダウンタイムはどの程度か?
- どんな種類のバックアップソリューションが提供されているか?
- プライバシーポリシーはどうなっているか?機密データは暗号化されるか?データはサードパーティに共有されるか、それとも厳しく制限されているか?
- ソリューションのコンプライアンス規制への対応状況は?
- データセンターはどの地域にあるか?その地域ではどんな規制が適用されるか?
次に、企業にはデータの整合性をモニタリングするソリューションが必要です。データ整合性(データセキュリティとデータクオリティを包含します)は、データの精度と一貫性を確保する上で重要です。さらに、データ整合性は外部の脅威からデータを保護するのにも役立ちます。適切な人やシステムだけがデータを操作でき、脆弱性によってハードウェアやデータが危険にさらされていないことが確認できます。
クラウドベースのテクノロジーの継続的な成長にあわせて、データセキュリティソリューションの戦略を立てる必要もあります。そのためには、各ソースからデータを抽出して、統合、クレンジング、管理できるようにするコネクターを構築することにより、企業がデータを保護し、重要な意思決定を行えるようにする必要があります。
データセキュリティを始める
データセキュリティは、古くからある問題かもしれません。しかし、データの出所が複数あることと、社内外の攻撃の増加も相まって、最新のクラウドベースのアプローチが必要となっています。
Talend Data Fabricは、データ合とデータ整合性のための、一連のセルフサービス型アプリスイートを提供しています。ユーザーは、データを複数のシステム全体にわたって収集し、適切に使用されるように管理し、新しい形式に変換して品質を向上させ、社内外の利害関係者に共有できます。
その結果、Talend Data Fabricはデータバリューチェーンの中で最も複雑な部分のいくつかを解決して、信頼できるデータの実現までの時間を短縮します。つまり、データセキュリティを危険にさらす可能性のある根本的な問題を解決します。Talend Data Fabricを今すぐ始めましょう。