データ保護とは？対策とソリューション

攻撃者は日々、企業から貴重な機密データを盗み出そうと狙っています。そのため、データ／情報保護戦略では、攻撃者を阻止するためのインフラとポリシーの構築に重点を置いています。データ保護は、サイバーセキュリティにおける主要な目標であり、コンプライアンスにおける主要な要素でもあります。適切な戦略とシステムにより、攻撃者によるデータの盗難を防ぎ、データ損失から組織を保護します。データ保護は、データを守り、組織に事業継続性を提供するために使用される一連の戦略です。

データの損失や破損は、毎年何千億もの損失を組織に与えています。サイバーセキュリティの事象は1件あたり10万ドル近くかかり、コストは上昇の一途をたどっています。データ侵害の被害者となった組織は、訴訟費用、コンプライアンスの罰金、新しいサイバーセキュリティ機器の購入などにお金を費やさなければならないため、事象を防ぐために適切な管理を行うことは、全体的なコストベネフィットにつながります。

データ保護の目的は、情報漏えいの被害に遭う前に、データの盗難を阻止することです。また、攻撃者にデータを奪われ、個人情報の盗難や詐欺の被害に遭う可能性からも顧客を保護することができます。情報漏えいを回避することだけがメリットではありません。データ保護は、企業が将来使用するためにデータをカタログ化することで、データの価値を見出すのに役立ちます。

データ保護戦略における原則と実践は、コンプライアンスによって推進されますが、組織は手順を実行する前に、2つの主要なカテゴリーを認識する必要があります。カテゴリーは、データ保護の個別の計画を定義する独自の原則にさらに分かれています。

データ保護の2つのカテゴリーは以下の通りです。

• データマネジメント: ディザスタリカバリに必要なデータの発見、アーカイブ、バックアップを管理します。
• データの可用性: データは常に生産性のために利用可能である必要があり、このカテゴリーは日々のオペレーションに必要な方法を管理するものです。

事業継続は、情報保護に依存します。企業が事業継続を維持するためには、サイバーセキュリティの事象から復旧する方法が必要です。例えば、設定ミスや予期せぬシステム障害により、データが破損することがあります。データ保護計画は、このような事象の後に効果を発揮することになります。

ダウンタイムからの復旧に要する時間は、収益に影響を及ぼします。システムのダウンタイムが長ければ長いほど、ビジネスの生産性を維持することができなくなります。生産性がなければ、ビジネスは収益を維持することができません。ダウンタイムは、将来の収益成長に影響を与え、ブランドにダメージを与える可能性があります。

データ保護導入時に企業が直面する困難のひとつに、効果的なプランを作成するために必要な障壁やハードルがあります。テクノロジーが進化し、クラウドを利用する企業が増えるにつれ、環境の攻撃対象が増え、攻撃から身を守ることがより難しくなっています。

考慮すべきいくつかの障壁は以下の通りです。

• 攻撃対象領域の拡大: バックアップ、アーカイブ、その他の環境コンポーネントを追加することで、データ保護は向上しますが、攻撃対象が増え、リスクも増加します。
• 一般的な脆弱性: 環境における設定ミスは依然として一般的であり、侵害の根本原因であることも少なくありません。その他の一般的な脆弱性も残っており、侵害を回避するために是正する必要があります。
• 進化する著作権侵害と報告要件: 組織は、データ保護を実施する際にコンプライアンスを考慮する必要があり、そのためには、あらゆるコンプライアンスルールを監査し、理解する必要があります。
• IoTとモバイル利用の増加: IoTやモバイルデバイスを許可すると、組織の攻撃対象が増え、特にデバイスがユーザー所有の場合、データ保護が難しくなります。

データの暗号化は、攻撃者からデータを保護するための最初のステップです。暗号化は、保管中のデータと転送中のデータに対して実施する必要があります。データがインターネット上で転送される場合、盗聴や中間者攻撃を避けるために暗号化しなければなりません。コンプライアンス上、モバイル機器に保存されている機密情報など、一部のデータは保管中でも暗号化する必要があります。

暗号化されたデータは、攻撃者が盗んだデータを読み取ることを防ぎます。暗号化された保管中のデータを保有するモバイルデバイスは、物理的に盗まれたデバイスのデータを攻撃者が取り出すことを阻止します。コンプライアンスは、どのようなデータを暗号化するか、組織がどのように情報を保護するかに関しても規定しているため、計画を立てる前に必ず規制を確認してください。

データ保護は、1つのステップを踏めば完了というわけではありません。完全な情報保護は、いくつかの要素で構成されています。ほとんどの大規模な組織では、データ保護に関するいくつかの原則を使用しています。しかし、コンプライアンス規制下にあり、機密性の高いデータ（金融や医療など）を扱う組織は、サイバーセキュリティ対策にすべてのカテゴリーを導入する必要があります。

データ保護におけるカテゴリーは以下の通りです。

• eDiscoveryとコンプライアンス: カタログ化、タグ付け、アクセス制御を行うべきデータを発見します。これは、eDiscovery分析ソリューションで行うことができます。
• アーカイブ: 古いデータを別の場所に保存してストレージスペースを確保しつつ、調査時に必要となるデータのコピーは残しておきます。これは、アーカイブソリューションで実現できます。
• バックアップ: データの漏洩や破損が発生した場合のディザスタリカバリのために、データのコピーを取っておきます。
• スナップショット: スナップショットはバックアップと似ていますが、サーバーを復旧させるためのすべてのシステム設定を含みます。
• レプリケーション: 環境間でデータを複製し、冗長性を確保します。
• 可用性: 収益拡大を維持するためには、あらゆる生産データが日々の業務に利用可能でなければなりません。
• ディザスタリカバリ: ディザスタリカバリ計画は、失われたデータを修復し、システムを正常な状態に戻すことで、ビジネスの生産性を維持し、ダウンタイムを最小限に抑えます。
• 事業継続性: 生産性を維持するために、データの安定性と可用性を確保するためのあらゆる努力が必要です。

今日のシステム環境は、クラウドを含む複数のOSやプラットフォームで構成されています。業務を継続するためには、各環境間でデータをポータブルにする必要があります。しかし、ポータビリティの利便性には、盗聴や盗難、破損からデータを保護することも含まれるべきです。

データのポータビリティに関する問題の一つは、クラウドとの統合を確実にすることです。クラウドがバックアップやアーカイブに最適であることを認識する企業は増えており、ディザスタリカバリ計画には、クラウドからオンプレミスのストレージにデータを移行する時間を含める必要があります。クラウドは安全ですが、管理者は、盗難から守るために必要なアクセス制御を含め、データ保護と可用性のために移行したデータを適切に構成しなければなりません。

バックアップは事業継続のために常に必要なものでしたが、今やディザスタリカバリのために不可欠な要素となっています。特定の頻度でバックアップを取るのではなく、データのバックアップは継続的に、より戦略的に、ビジネスをサイバー事象前と同じ状態に戻すために行われます。

大量のデータを保存することは高価であり、膨大なストレージスペースを必要とするため、組織は通常、オンプレミスでの出費を避けるためにクラウドを活用します。優れたディザスタリカバリ計画には、データの重複排除と、被災したシステムへのバックアップ移行中にデータが失われないようにすることが含まれます。

データ保護は、大小さまざまな組織で効果を発揮しますが、企業には、複数の可動部分、大きな攻撃対象、保護すべき膨大な量のデータが存在します。企業のデータ保護戦略は、攻撃対象が大きいため、小規模な企業とは異なる場合があります。

企業のデータ保護におけるいくつかのコンポーネントは以下の通りです。

• インテリジェントな可視性: 企業管理者は、環境全体のすべてのデータを把握し、監視と保護を行う必要があります。
• プロアクティブなミティゲーション: 反動的なサイバーセキュリティはコストがかかり、収益に大きなダメージを与えますが、プロアクティブな緩和ツールやサービスは、進行中の攻撃が完全な危険になる前に検知して阻止します。
• 継続的な管理: 管理者は、アクセスや可視性を継続的に制御できるデータ保護計画を作成する必要があります。

どのようなビジネスでも、増大する攻撃対象や野放しの新たな脅威に頭を悩ませています。これらの問題は、ビジネスが優れたデータ保護計画を作成することをより困難にしています。データ保護に必要なインフラと手順を計画する一方で、管理者は以下のようないくつかの潜在的な問題に備えなければなりません。

• データの破損: バックアップは安全かつ有効でなければなりません。つまり、バックアップが破損していないことを確認する必要があります。バックアップが破損していると、破損したバックアップはディザスタリカバリ計画を台無しにしてしまう可能性があります。
• ストレージシステムの障害: 生産性を維持するために、すべてのストレージシステムが利用可能であるべきです。また、ディザスタリカバリが必要なときにすぐに実行できるように、ストレージのバックアップロケーションも利用可能である必要があります。
• データセンターの障害: クラウドやデータセンターを利用する組織は、継続的で信頼性の高いクラウド接続が必要です。接続性が失われた場合に備えて、セカンダリーISPやフェイルオーバー接続が必要になることがよくあります。

サイバーセキュリティは、新たな脅威の発見や攻撃者のセキュリティ回避方法の発見により日々変化しており、トレンドも脅威に合わせて変化し続けています。管理者は、データ保護に関するすべてのトレンドを導入する必要はありませんが、最新のテクノロジーを採用することで、最新の脅威を食い止めることができる場合が多くあります。

いくつかのトレンドを以下にご紹介します。

• ハイパーコンバージェンス: 現在、組織には仮想マシンと物理マシンが混在しており、すべての環境のバックアップが必要です。計画を立てる際には、仮想化されたサーバーとネットワークデバイスが含まれていることを確認する必要があります。
• ランサムウェア: 高度なランサムウェア攻撃から復旧するには、バックアップから復旧するのが唯一の方法です。ランサムウェアはバックアップを狙うので、データ保護計画にはバックアップファイルと保存場所のセキュリティが含まれていなければなりません。
• コピーデータの管理: 優れたデータ保護には冗長性が必要ですが、バックアップの管理を誤ると、データの損失や破損につながる悪夢となります。バックアップが一箇所に保存され、他のバックアップシステムによって上書きされないようにするために必要なステップを計画に含める必要があります。

組織のデバイスとサーバーは、組織が所有し、インストール可能なものを抑制できるため、より簡単に管理できます。一方、ユーザーのデバイスは、ユーザーの個人データやアプリケーションに干渉することなく企業データを保護する必要があるため、管理がより困難です。

従業員が所有する個人のモバイルデバイスの使用を許可すると、生産性が向上する反面、リスクも高まります。管理者は、モバイルセキュリティによってモバイルデータを確実に保護するための措置を講じなければなりません。しかし、サイバーセキュリティ管理のこのコンポーネントは、内部のサーバーやアプライアンスよりもはるかに管理が困難です。データはバックアップ戦略と同期させる必要があり、デバイスは物理的な盗難の後でもデータを保護する必要があります。

サイバーセキュリティのすべての構成要素は、データを保護する目的を果たしますが、コンプライアンス規制は、保護、セキュリティ、およびプライバシーを区別しています。組織は、これらの違いを理解して、コンプライアンスを維持し、罰則を回避するための適切な管理策を実施する必要があります。

• データ保護: サイバー攻撃を阻止し、盗難から保護するアプライアンスやアプリケーションは、データ保護に含まれます。
• データセキュリティ: 不正アクセスやデータの改ざん、破損から保護するサイバーセキュリティリソースは、データセキュリティのカテゴリーに含まれます。
• データプライバシー: データを監査し、アクセス権を持つべき者を決定し、アクセス要求を監視することは、データプライバシーの構成要素です。

各国には独自の個人情報保護法があり、これらの国の組織は規制に準拠する必要があります。データプライバシー法の代表的なものとして、2018年に施行されたEU一般データ保護規則（GDPR）と、米国のカリフォルニア州消費者プライバシー法（CCPA）があります。どちらの法律も、コンプライアンス違反には厳しい罰則が設けられています。2つのコンプライアンス規制にはそれぞれ要件があり、組織はそれらを確認し、コンプライアンス遵守を徹底する必要があります。

EUのGDPRは、最も複雑な法律の一つであり、違反した場合の罰則も最も厳しいものです。GDPRの目標は、消費者が自分のデータをより自由に管理できるようにすることと、消費者が組織のデータ使用方法についてよりよく理解できるようにすることです。あなたの組織が欧州連合の消費者のために個人情報を保管する場合は、必ず要件に目を通してください。大まかな内容を以下にご紹介します。

• 組織はユーザーから明示的な同意を得る必要がある。
• データ侵害後、72時間以内に消費者に通知する。
• 組織が大量のデータを管理する場合、データのガバナンスを監督するデータ保護責任者を雇用する。

すべての組織には、データを保護するための基本的な規格に従うべき独自のデータ保護計画があります。データ保護に使用するツールやアプライアンスは、組織のインフラやストレージの利用方法（オンプレミスとクラウドストレージなど）によって異なります。

データ保護に関するいくつかの例を挙げます。

• データの安全性: データへのアクセスには認証が必要です。
• アクセス制御: ユーザーがデータを閲覧するためには権限が必要です。
• ストレージの要件: 保管中のデータと転送中のデータが保護されているかを確認します。

組織にとって、データを監査し、環境全体で適切な保護戦略を決定することは困難なことです。Proofpointの情報保護ソリューションは、組織によるデータの監査と発見、GDPRなどのコンプライアンス規制に沿った戦略の策定、盗難や破壊からのデータ保護を支援します。インシデント対応を効率化し、クラウドプラットフォームを狙う脅威など、外部のリスクからデータを保護する環境を構築します。