データセキュリティとは、デジタル形式で保存され、合法か否かを問わずインターネット経由でアクセス可能な企業や個人のデータを保護することを指します。企業の観点からすると、企業秘密、顧客や患者のデータプライバシー法の遵守、社会的評価の維持など、企業がデータを強力に保護したいと考える理由は数多くあります。
企業は、攻撃者や悪質なアクターを阻止するための攻撃的手段と防御的手段の両方を含む堅牢なサイバーセキュリティプログラムを構築することで、重要なデータを保護することができます。
これらの概念の間には重要な違いがいくつかあります。一見同じようにも見えますが、データの保護とデータのプライバシーの維持とは必ずしも同義ではありません。セキュリティの保護が重要でありながら、公共のインターネット上で誰でも一部利用できるデータが存在する可能性もあります。
その点で、注意すべき主な違いは、データセキュリティがデジタル情報を保護するのに対し、データプライバシーはデジタル情報の所有者がそのデジタル情報の送信先とアクセス可能な人を制御する権限であるということです。
とはいえ、これらの概念は、特にデータ侵害の場合には混同される可能性があり、実際に混同されてもいます。こうしたシナリオでは、組織のデータのセキュリティが侵害されており、侵害された企業に以前に個人データを送信していた顧客は、個人情報の制御を失ったことになります。したがって、2つの概念は互いに非常に絡み合っており、企業と顧客/患者/ユーザーの両方に影響します。
上述のとおり、データセキュリティは企業と、そのビジネスに関わる顧客、患者、ユーザー、請負業者、パートナーなどの両方に影響を与えるため、データセキュリティは重要です。個人が組織や企業にプライバシー情報(PII)を提出するとき、個人の側には、企業がその情報を保護するために全力を尽くしてくれるという一定の期待が持たれています。
シナリオによっては、企業の評判に悲惨な影響が及ぶ可能性があります。これには、影響を受ける当事者への個人情報漏洩の通知の遅れや、悪意のある攻撃者に悪用された欠陥のあるセキュリティ製品の使用などが含まれます。
データセキュリティのメリットは数多く、いくら強調してもしすぎることはありませんが、まず、データセキュリティがビジネスにどう影響するかから見ていきましょう。社内外の規制基準との整合性の確保は、事業の継続にとって非常に重要です。適切なデータセキュリティを維持することは、HIPAA、PCI DSS、GDPRなどの特定の基準に関し、政府機関や社内のコンプライアンス監査人から良好な評価を受ける可能性が高いことを意味します。
クラウドサービスプロバイダー(CSP)に関しては、顧客企業のデータがクラウドに出入りするときに複数のプロトコルで保護されるのが標準です。転送中のデータの安全性とセキュリティの確保にはデータ暗号化の層が使用され、クラウド運用を行う企業は安心感が持てます。
評判の点については、欧州連合の中小企業向けデータ保護ガイドでは、「熱心なデータ保護対策で知られる組織は、ユーザーや顧客を維持できる可能性が高い」としています。
顧客にとっての主なメリットは明らかで、具体的には顧客のPIIが保護され、盗難されたデータが販売されたり、その他のさまざまな不正な目的に使用しようとする攻撃者の手に渡ってしまうことを心配する必要がない点です。
概念としてのデータセキュリティは非常に的確かつ明確で、被害者になりたくないのであれば、今日の個人や組織がデータセキュリティを真剣に受け止めるべきことは明白です。ここで問題となるのは、セキュリティ組織が攻撃者をより効果的に阻止するために、どうすればデータを包括的に保護できるかということです。
データ暗号化 は、データの元の形式を読み取り不能なものに変換します。 米国疾病管理予防センター(CDC)によると、暗号化されたデータは通常、ランダムな文字と数字の長いシーケンスのように見えますが、意図した受信者は通常、暗号化されたデータを読み取り可能なテキストに復号できるキーを所有しています。
データをマスクする脅威アクターは、データの元の構成の要素となる文字と数字の変更を試みます。これらの変更は、データが本物らしく見えることを意図したもので、ユーザーに信頼感を与えることを目的としています。データマスキングはもちろん、コード開発プロセスの保護やリスクの軽減にも役立ちます。
このプロセスは、データが役目を終えた後にインターネットから消去されるという事実により、データが悪人の手に渡ることがないという安心感を確保するためのものです。もちろん、PIIなどの機密データのコピーがインターネットや脅威アクターのサーバーのどこかに残るリスクは常に存在します。
攻撃が100%避けられないわけではありませんが、インターネット上でのデータ送信やトランザクションの完了を行う人であれば、早かれ遅かれそうしたデータの侵害に遭遇する可能性が高くなります。そして、そうした侵害が組織の防御を極度に妨げるものとなった場合に、問題となるのがデータの回復力で、企業や組織がどれくらい早く業務を通常のベースラインに戻せるかということになります。
プロバイダーは常にデータを保護し、顧客にできる限りの信頼を与えようとしていますが、絶えずリスクに直面しています。脅威アクターはなりすましが得意であり、単純な人為的ミスが原因となる可能性は常に存在しますが、具体的なリスクシナリオをいくつか見てみましょう。
意図的にデータを公開し、脅威アクターに対して脆弱な状態にするような人はいませんが、場合によっては、悪意のない純粋な偶然や反復的な行為(パスワードの再利用など)によって侵害が発生することがあります。誤ってデータを漏洩させることは、図らずも攻撃者の攻撃を可能にすることと同義となるため、適切なデータセキュリティ管理が常にベストプラクティスとなります。
フィッシング攻撃は通常、メールやテキストメッセージのリンクのクリックなどの特定の反応を期待したメッセージでユーザーの関心を喚起するのもので、ユーザーは気づかないうちに携帯電話やエンドポイントにマルウェアをダウンロードする可能性があります。そのエンドポイントが大規模な企業ネットワークの一部である場合、企業全体が脆弱になる可能性があります。
内部関係者の脅威は、従業員、請負業者、経営幹部、または当面のビジネスに関係するその他の人物から発生する可能性があります。たった一人の人であっても、意図があろうとなかろうと、ネットワークに侵入や攻撃の隙を与え、さらにそれらを助長してしまう可能性があります。
マルウェア攻撃は通常、ユーザーのシステム上で不正なアクションを実行します。悪意のあるソフトウェアは、ランサムウェアやスパイウェアなどの形式で発生する可能性があります。理論的には、セキュリティ組織は適切なトレーニングを受け、マルウェア攻撃がネットワーク全体に影響を与える前に阻止するのに十分な経験を積んでいるはずです。
脅威アクターは悪意のあるコードを展開して組織の業務を妨害し、身代金が支払われるまでデータを人質に取ることができます。攻撃者が狙うのは、通常の業務運営を回復したいという願望が非常に強いことから、企業が身代金の支払いで事態の収集を図ることにあります。
この場合、データはクラウドネットワークを通過するため、組織がオンプレミスのデータセンターのみを運用している場合よりも、データが傍受されたり盗まれたりするリスクがより高くなりますが、今日の世界ではオンプレミスのみという選択肢はますます制限されてきています。クラウドプロバイダーは、エンタープライズレベルでの高速スケーリングと低コストでの運用を可能にします。したがって、クラウドとクラウドに含まれるデータを保護するには、クラウドサービスプロバイダーとその顧客の両方が責任共有モデルに基づき協力する必要があります。
組織が効果的なデータセキュリティソリューションを導入する上で必要となるコンポーネントには以下のようなものがあります。これが全てではありませんが、組織の基盤となる意味でいずれも重要な要素です。
前述のように、IAMやMFAなどの認証方法は、適切なユーザーのみがシステム、ネットワーク、アプリケーションにアクセスできるようにする上で役立ちます。
クラウドデータセキュリティとは、パブリッククラウドプラットフォームとプライベートクラウドプラットフォーム上の情報とアプリケーションを保護する原則を指し、クラウドインフラストラクチャにサイバーセキュリティを適用することで実現されます。結果として、こうした一時的な環境でのクラウドセキュリティ実現に向けた基礎が構築されます。
DLP(Data Loss Prevention) ツールは、侵害後の情報漏えいを検出するツールです。 ネットワーク エンドポイント デバイスを監視し、トラフィックやデータのやり取りを分析し、不審なアクティビティを検出します。 ユーザーとエンドポイントの認証と高度な ID チェックを導入することで、情報漏えいリスクを軽減できます。
未承認のユーザーからの企業のメールの保護は、大昔にすでに解決された課題のようにも思えます。しかし、フィッシング攻撃やデータ侵害が蔓延する現在、メールは依然として脅威アクターにとって格好の機会となっています。
セキュリティソリューションが、国、州、地方自治体や地域固有の統治機関によって定められた規制基準に確実に準拠していることを確認することが重要です。コンプライアンスの義務は常に変化するため、刻々と変化する規制を想定した計画を立てることが重要です。
キー管理により、暗号化の制御がユーザーに委ねられます。例えば、GoogleのKey Management Service(KMS)を使用すると、中央のクラウドサービスにおける暗号キー管理が可能となり、ユーザーが制御する対称キーや非対称キーを使用してデータを柔軟に暗号化できます。
簡単に言うと、ネットワークアクセス制御とは、企業の ネットワーク やシステムにアクセスできる人とできない人に関するものです。 ここでは、ユーザーを適切に認証できるように、IDおよびアクセス管理(IAM)チェックが機能します。
機密データを最大限に保護できるようパスワードと認証情報が最適化されていることを確認するための方法で、多要素認証(MFA)などのセキュリティプロトコル、パスワードの定期的な変更、組織全体での脆弱な認証情報の事前対応的なクリーンアップなどが含まれます。
ゼロトラストセキュリティモデルでは、すべての人間、エンドポイント、モバイルデバイス、サーバー、ネットワークコンポーネント、ネットワーク接続、アプリケーションワークロード、ビジネスプロセス、データフローを本質的に信頼せず、アクセスが許可されるためには認証プロセスを経る必要があります。
ここで、世界中のさまざまな業界や地域でのデータ保護を目的とした多くの規制コンプライアンス基準の一部を見てみましょう。
当然ながら、データ保護のために従うべきベストプラクティスは常に存在します。ここでは、組織が顧客に代わってデータの安全性を確保し、自社の評判を維持するために活用できる方法を見てみましょう。
事例:Exponent、Rapid7 InsightVMプラットフォームとマネージド検知・対応サービスを使用してクライアントのデータを保護