データ・プロテクション:データの発見/分類/保護とコンテキストを考える

Data Protection: What Needs to Be Protected?

2022/01/03 SecurityIntelligence — あなたの組織のデータは、どこあるのだろうか?グローバルなデータセンター/PC/モバイルアプリなど、あらゆる場所にデータは散らばっている。では、そのすべてを保護するには、どうすればよいのだろう?すべてのデータを暗号化することは不可能だろう。膨大な予算と時間が必要になる。最も厳しい規制でさえ、そこまでのデータ保護を要求していない。たとえば、GDPR は主に個人を特定できる情報 (PII : Personal Identifiable Information) に焦点を当てるが、データ侵害から知的財産を保護することも必要だ。

どのデータを、保護する必要があるのだろう? どのように、企業は判断すれば良いのだろう?また、データ・セキュリティ戦略は、何に基づいて構築されるべきなのだろう?また、企業におけるデータ侵害を回避するための、ベスト・プラクティスは何なのだろう?その答えを見ていこう。

データの保護はデータの発見から始まる

データの所在が分からなければ、保護することはできない。データは、データセンター/ファイル共有/ラップトップ/デスクトップ/モバイルデバイス/クラウド・ストレージ/エッジ・コンピューティングなどに保存されている。そして、データを保護するためには、データの所在を確認する必要がある。

データの発見には、IT/セキュリティ/法務/プライバシーなどの、各チームの参加が好ましい。ユーザーが企業内で、データを作成/追加する際に、そのデータをサイロの中に隠したままにしてはならない。当面の目的は、既存のデータを見つけて、インデックスを付け、継続的にデータを表面化させていくシステムを開発することだ。データ・ディスカバリー・ソリューションを見る前に、次のステップを見てみよう。

データの分類

データを適切に分類し、タグやラベルを付けると、データ保護における優先順位の決定が容易になる。データを分類することで、データベースのセキュリティやガバナンスについて、全員が同じ考えを持てるようになる。情報セキュリティの観点から考えるなら、データの価値とリスクのレベルに基づいて、データの分類は行われるべきだ。データが漏洩/改竄/破壊などが生じた場合に、どのような影響が、組織におよぶのかを考えてほしい。

一部の組織では、カーネギーメロン大学の Information Security Office が定義した、以下のカテゴリを用いてデータを分類している。

  • 制限付きデータ:制限されたデータを侵害されると、組織や関係者に重大なリスクや損害を与えることになる。それらのデータは、プライバシー規制や機密保持契約により保護されている可能性がある。制限されたデータには、最高レベルのセキュリティが要求される。
  • プライベート・データ:プライベート・データの漏洩は、組織にとって中程度のリスクを意味する。デフォルトでは、制限ま付きやパブリックに分類されない全データが、プライベート・データとして分類されるべきだ。プライベート・データには、妥当なレベルのセキュリティを適用する必要がある。
  • パブリック・データ:パブリック・データが侵害されても、ほとんどリスクはなく、また、まったくない場合もある。たとえば、プレスリリース/ブログ記事/マーケティング・ビデオなどの、広く利用されるコンテンツなどが該当する。パブリック・データの場合、データの不正な変更や破壊を防ぐために、ある程度の管理が必要になる場合がある。

    また、データの分類には、個々のファイル/電子メール/データベース・フィールドなどの、データ・タイプが含まれることもある。正確な分類 (データが何であるかという感度のレベル) は、時間とともに進化していく。そのため、セキュリティを最新の状態に保つためには、体系的なデータ・ライフサイクル・アプローチが最も効果的となる。

    データの発見と分類が、大きな山のような作業に思えるとしたら、その通りである。ただし、ネットワーク分析や、AI/ML ベース・ツールが、このプロセスを合理化するために存在する。これらのツールは、可視性/コンテキスト/インサイトを提供し、機密データや保護されたデータを継続的に発見し、カタログ化していく。適切なデータ分類は、データ侵害対応計画の策定にも役立つ。

データのコンテキストを洞察

データが分類されると、データフローやデータ利用状況などの要因により、特定の保護方法が決定されていく。たとえば、制限付きデータの場所は特定できたとしても、誰がそのデータにアクセスしているのかを、どのように検知できるのだろうか?また、そのアクセス権を、どのように管理するのだろうか?このレベルでは、データの可視性/ポリシー/監視が、脆弱性やリスクの発見を手助けするポイントとなる。

また、オンプレミスやクラウドなど、データの保管場所によっても、セキュリティ対策の選択が変わってくる。最後に、個人情報保護法への対応は、データの種類やユースケースにより異なる。つまり、すべてを暗号化する必要はない。しかし、内部または外部のネットワークを通過する機密データなどの、暗号化が必要な状況を特定することは必要となる。

インテリジェントなセキュリティ対策の適用

この記事で、データ・セキュリティの全領域を網羅することは無理だが、最も効果的な方法をいくつか紹介する。上記のプロセスが重要であることに変わりないだ、以下の方法は、あらゆる組織における強固なセキュリティ確立に役立つ。また、データの発見と分類が成熟するまでの、ギャップを埋めることも可能になる。

Identity Access Management (IAM)

IAM は、ネットワークにアクセスしようとする人物の詳細を評価する。従業員/パートナー/顧客であっても、さらには脅威アクターであっても、関係なく評価する。AI の支援などにより、IAM は事前に確立されたアクセスルールに従い、アクセスの傾向に関するリアルタイムな洞察も提供する。IAM は、ユーザー/デバイス/場所/行動のパターンを考慮した、正確なコンテキスト認証を可能にする。たとえば、従業員がアクセス権限を保持するのではなく、従業員を識別して、その時点で必要なアクセス権のみを付与できる。IAM を導入すると、人間以外 (例:IoT デバイス) であっても、API やアプリケーション・セキュリティによる認証を通過することが求められる。

ゼロトラスト

ゼロトラスト・セキュリティの目標は、すべてのユーザー/デバイス/接続の周辺に、安全なレイヤを作ることだ。それは、最も重要な資産を保護し、脅威を積極的に管理するための、セキュリティ・ツールの統一と統合で構成される。ゼロトラストは、すべてのユーザーを脅威とみなし、継続的な検証を必要とするという前提で機能する。ゼロトラストの重要な側面の1つは、最小特権という原則である。それは、ユーザーが自分のタスクを完了するために必要な、最小限の IT リソースにアクセスできることを意味する。

データの廃棄

古いデータがサーバーに残っていることは、単なるストレージの問題ではない。古いデータの保管は、継続的なセキュリティ・リスクとなる。そのため、防衛的なデータ廃棄計画を立てることが賢明である。実際のビジネス上の利益/コンプライアンス上の義務/データ保全の義務 (調査/訴訟など) により、機密データが不要になった場合、そのデータは廃棄されるべきだ。つまり、データ・ストレージをオフラインにした後に、ハードウェアを完全に廃棄して処分するというプロセスを踏むことになる。

データの難読化

データの難読化には、抽象化/暗号化/トークン化/マスキングなどの、難読化テクノロジーが必要になる。データ・マスキングとは、クレジットカード番号/電子メールアドレス/識別子などの複雑なデータ要素を、そのコンテキスト上の意味を保持したまま変換することである。難読化されたデータは、復号化や復元が困難なため、ダークウェブのマーケットプレイスでは価値がなくなる。

ビッグデータ・セキュリティ

ビッグデータであっても、データの発見と分類を自動化することで、セキュリティを確保することが可能になる。また、データ・アクティビティの監視と機械学習により、異常なアクティビティを発見し、データ侵害のリスクを下げることが可能だ。高度なビッグデータ・セキュリティ・ツールにより、管理者による疑わしいユーザー ID のブロックや、事前に構築された規制テンプレートに基づくコンプライアンス準拠などを実現できる。

データの発見/分類/保護とコンテキストといっても、それを実践していくことは、たいへんな労力を伴うものになります。そして、制限付きデータ/プライベート・データ/パブリック・データと言う分類は、それぞれの組織の構造を反映するものになり、また、その内訳はビジネスの在り方とも絡み合ってきます。考えても切りがないというくらい、奥行きのあるテーマですね。

%d bloggers like this: