データ保護とは？対策とソリューション

攻撃者は日々、企業から貴重な機密データを盗み出そうと狙っています。そのため、データ／情報保護戦略では、攻撃者を阻止するためのインフラとポリシーの構築に重点を置いています。データ保護は、サイバーセキュリティにおける主要な目標であり、コンプライアンスにおける主要な要素でもあります。適切な戦略とシステムにより、攻撃者によるデータの盗難を防ぎ、データ損失から組織を保護します。データ保護（データプロテクション）は、データを守り、組織に事業継続性を提供するために使用される一連の戦略です。

データの損失や破損は、毎年何千億もの損失を組織に与えています。サイバーセキュリティの事象は1件あたり10万ドル近くかかり、コストは上昇の一途をたどっています。データ侵害の被害者となった組織は、訴訟費用、コンプライアンスの罰金、新しいサイバーセキュリティ機器の購入などにお金を費やさなければならないため、事象を防ぐために適切な管理を行うことは、全体的なコストベネフィットにつながります。

データ保護の目的は、情報漏えいの被害に遭う前に、データの盗難を阻止することです。また、攻撃者にデータを奪われ、個人情報の盗難や詐欺の被害に遭う可能性からも顧客を保護することができます。情報漏えいを回避することだけがメリットではありません。データ保護は、企業が将来使用するためにデータをカタログ化することで、データの価値を見出すのに役立ちます。

データ保護とセキュリティには、ほとんどの組織がサイバーセキュリティ対策において認識すべき3つの基本要素があります。それは機密性、完全性、可用性です。これら3つの柱はCIAトライアドとして知られ、強固なデータ保護システムを支えるフレームワークとして機能します。

• 機密性：適切な認証と資格を持つ選ばれたユーザーのみにアクセスを許可し、不正アクセスからデータを確実に保護します。
• 完全性：データが偶発的な改変や変更なく、信頼でき、確実で、正確かつ完全な状態を維持します。
• 可用性：事業の継続性のために必要なときにデータにすぐにアクセスでき、利用可能な状態を確保します。

事業継続は、情報保護に依存します。企業が事業継続を維持するためには、サイバーセキュリティの事象から復旧する方法が必要です。例えば、設定ミスや予期せぬシステム障害により、データが破損することがあります。データ保護計画は、このような事象の後に効果を発揮することになります。

ダウンタイムからの復旧に要する時間は、収益に影響を及ぼします。システムのダウンタイムが長ければ長いほど、ビジネスの生産性を維持することができなくなります。生産性がなければ、ビジネスは収益を維持することができません。ダウンタイムは、将来の収益成長に影響を与え、ブランドにダメージを与える可能性があります。

データ保護、セキュリティ、プライバシーは、しばしば互いに置き換えて使用される関連用語ですが、それぞれ異なる意味と意図を持っています。

• データ保護：情報への不正アクセス、使用、開示、変更、破壊を防ぐための保護対策のことです。データ保護には、データを保護するためのすべての物理的、技術的、管理的、法的な取り組みが含まれます。
• セキュリティ：コンピューターシステム、ソフトウェア、ネットワークへのアクセス、使用、改ざん、破壊の侵害から保護するためのプロトコルです。セキュリティには、コンピュータとネットワークインフラを保護するための物理的、技術的、管理的なシステムが含まれます。
• プライバシー：データ保護の文脈において、プライバシーには、データへのアクセス制限、その収集・開示・使用に関する同意の取得、データの正確性と最新性の確保など、個人情報や機密情報を保護するためのすべての措置が含まれます。

データ保護導入時に企業が直面する困難のひとつに、効果的なプランを作成するために必要な障壁やハードルがあります。テクノロジーが進化し、クラウドを利用する企業が増えるにつれ、環境の攻撃対象が増え、攻撃から身を守ることがより難しくなっています。

考慮すべきいくつかの障壁は以下の通りです。

• 攻撃対象領域の拡大: バックアップ、アーカイブ、その他の環境コンポーネントを追加することで、データ保護は向上しますが、攻撃対象が増え、リスクも増加します。
• 一般的な脆弱性: 環境における設定ミスは依然として一般的であり、侵害の根本原因であることも少なくありません。その他の一般的な脆弱性も残っており、侵害を回避するために是正する必要があります。
• 進化する著作権侵害と報告要件: 組織は、データ保護を実施する際にコンプライアンスを考慮する必要があり、そのためには、あらゆるコンプライアンスルールを監査し、理解する必要があります。
• IoTとモバイル利用の増加: IoTやモバイルデバイスを許可すると、組織の攻撃対象が増え、特にデバイスがユーザー所有の場合、データ保護が難しくなります。

データの暗号化は、攻撃者からデータを保護するための最初のステップです。暗号化は、保管中のデータと転送中のデータに対して実施する必要があります。データがインターネット上で転送される場合、盗聴や中間者攻撃を避けるために暗号化しなければなりません。コンプライアンス上、モバイル機器に保存されている機密情報など、一部のデータは保管中でも暗号化する必要があります。

暗号化されたデータは、攻撃者が盗んだデータを読み取ることを防ぎます。暗号化された保管中のデータを保有するモバイルデバイスは、物理的に盗まれたデバイスのデータを攻撃者が取り出すことを阻止します。コンプライアンスは、どのようなデータを暗号化するか、組織がどのように情報を保護するかに関しても規定しているため、計画を立てる前に必ず規制を確認してください。

データ保護は、1つのステップを踏めば完了というわけではありません。完全な情報保護は、いくつかの要素で構成されています。ほとんどの大規模な組織では、データ保護に関するいくつかの原則を使用しています。しかし、コンプライアンス規制下にあり、機密性の高いデータ（金融や医療など）を扱う組織は、サイバーセキュリティ対策にすべてのカテゴリーを導入する必要があります。

データ保護におけるカテゴリーは以下の通りです。

• eDiscoveryとコンプライアンス: カタログ化、タグ付け、アクセス制御を行うべきデータを発見します。これは、eDiscovery分析ソリューションで行うことができます。
• アーカイブ: 古いデータを別の場所に保存してストレージスペースを確保しつつ、調査時に必要となるデータのコピーは残しておきます。これは、アーカイブソリューションで実現できます。
• バックアップ: データの漏洩や破損が発生した場合のディザスタリカバリのために、データのコピーを取っておきます。
• スナップショット: スナップショットはバックアップと似ていますが、サーバーを復旧させるためのすべてのシステム設定を含みます。
• レプリケーション: 環境間でデータを複製し、冗長性を確保します。
• 可用性: 収益拡大を維持するためには、あらゆる生産データが日々の業務に利用可能でなければなりません。
• ディザスタリカバリ: ディザスタリカバリ計画は、失われたデータを修復し、システムを正常な状態に戻すことで、ビジネスの生産性を維持し、ダウンタイムを最小限に抑えます。
• 事業継続性: 生産性を維持するために、データの安定性と可用性を確保するためのあらゆる努力が必要です。

今日のシステム環境は、クラウドを含む複数のOSやプラットフォームで構成されています。業務を継続するためには、各環境間でデータをポータブルにする必要があります。しかし、ポータビリティの利便性には、盗聴や盗難、破損からデータを保護することも含まれるべきです。

データのポータビリティに関する問題の一つは、クラウドとの統合を確実にすることです。クラウドがバックアップやアーカイブに最適であることを認識する企業は増えており、ディザスタリカバリ計画には、クラウドからオンプレミスのストレージにデータを移行する時間を含める必要があります。クラウドは安全ですが、管理者は、盗難から守るために必要なアクセス制御を含め、データ保護と可用性のために移行したデータを適切に構成しなければなりません。

バックアップは事業継続のために常に必要なものでしたが、今やディザスタリカバリのために不可欠な要素となっています。特定の頻度でバックアップを取るのではなく、データのバックアップは継続的に、より戦略的に、ビジネスをサイバー事象前と同じ状態に戻すために行われます。

大量のデータを保存することは高価であり、膨大なストレージスペースを必要とするため、組織は通常、オンプレミスでの出費を避けるためにクラウドを活用します。優れたディザスタリカバリ計画には、データの重複排除と、被災したシステムへのバックアップ移行中にデータが失われないようにすることが含まれます。

データ保護は、大小さまざまな組織で効果を発揮しますが、企業には、複数の可動部分、大きな攻撃対象、保護すべき膨大な量のデータが存在します。企業のデータ保護戦略は、攻撃対象が大きいため、小規模な企業とは異なる場合があります。

企業のデータ保護におけるいくつかのコンポーネントは以下の通りです。

• インテリジェントな可視性: 企業管理者は、環境全体のすべてのデータを把握し、監視と保護を行う必要があります。
• プロアクティブなミティゲーション: 反動的なサイバーセキュリティはコストがかかり、収益に大きなダメージを与えますが、プロアクティブな緩和ツールやサービスは、進行中の攻撃が完全な危険になる前に検知して阻止します。
• 継続的な管理: 管理者は、アクセスや可視性を継続的に制御できるデータ保護計画を作成する必要があります。

どのようなビジネスでも、増大する攻撃対象や野放しの新たな脅威に頭を悩ませています。これらの問題は、ビジネスが優れたデータ保護計画を作成することをより困難にしています。データ保護に必要なインフラと手順を計画する一方で、管理者は以下のようないくつかの潜在的な問題に備えなければなりません。

• データの破損: バックアップは安全かつ有効でなければなりません。つまり、バックアップが破損していないことを確認する必要があります。バックアップが破損していると、破損したバックアップはディザスタリカバリ計画を台無しにしてしまう可能性があります。
• ストレージシステムの障害: 生産性を維持するために、すべてのストレージシステムが利用可能であるべきです。また、ディザスタリカバリが必要なときにすぐに実行できるように、ストレージのバックアップロケーションも利用可能である必要があります。
• データセンターの障害: クラウドやデータセンターを利用する組織は、継続的で信頼性の高いクラウド接続が必要です。接続性が失われた場合に備えて、セカンダリーISPやフェイルオーバー接続が必要になることがよくあります。

サイバーセキュリティは、新たな脅威の発見や攻撃者のセキュリティ回避方法の発見により日々変化しており、トレンドも脅威に合わせて変化し続けています。管理者は、データ保護に関するすべてのトレンドを導入する必要はありませんが、最新のテクノロジーを採用することで、最新の脅威を食い止めることができる場合が多くあります。

いくつかのトレンドを以下にご紹介します。

• ハイパーコンバージェンス: 現在、組織には仮想マシンと物理マシンが混在しており、すべての環境のバックアップが必要です。計画を立てる際には、仮想化されたサーバーとネットワークデバイスが含まれていることを確認する必要があります。
• ランサムウェア: 高度なランサムウェア攻撃から復旧するには、バックアップから復旧するのが唯一の方法です。ランサムウェアはバックアップを狙うので、データ保護計画にはバックアップファイルと保存場所のセキュリティが含まれていなければなりません。
• コピーデータの管理: 優れたデータ保護には冗長性が必要ですが、バックアップの管理を誤ると、データの損失や破損につながる悪夢となります。バックアップが一箇所に保存され、他のバックアップシステムによって上書きされないようにするために必要なステップを計画に含める必要があります。

組織のデバイスとサーバーは、組織が所有し、インストール可能なものを抑制できるため、より簡単に管理できます。一方、ユーザーのデバイスは、ユーザーの個人データやアプリケーションに干渉することなく企業データを保護する必要があるため、管理がより困難です。

従業員が所有する個人のモバイルデバイスの使用を許可すると、生産性が向上する反面、リスクも高まります。管理者は、モバイルセキュリティによってモバイルデータを確実に保護するための措置を講じなければなりません。しかし、サイバーセキュリティ管理のこのコンポーネントは、内部のサーバーやアプライアンスよりもはるかに管理が困難です。データはバックアップ戦略と同期させる必要があり、デバイスは物理的な盗難の後でもデータを保護する必要があります。

サイバーセキュリティのすべての構成要素は、データを保護する目的を果たしますが、コンプライアンス規制は、保護、セキュリティ、およびプライバシーを区別しています。組織は、これらの違いを理解して、コンプライアンスを維持し、罰則を回避するための適切な管理策を実施する必要があります。

• データ保護: サイバー攻撃を阻止し、盗難から保護するアプライアンスやアプリケーションは、データ保護に含まれます。
• データセキュリティ: 不正アクセスやデータの改ざん、破損から保護するサイバーセキュリティリソースは、データセキュリティのカテゴリーに含まれます。
• データプライバシー: データを監査し、アクセス権を持つべき者を決定し、アクセス要求を監視することは、データプライバシーの構成要素です。

各国には独自の個人情報保護法があり、これらの国の組織は規制に準拠する必要があります。データプライバシー法の代表的なものとして、2018年に施行されたEU一般データ保護規則（GDPR）と、米国のカリフォルニア州消費者プライバシー法（CCPA）があります。どちらの法律も、コンプライアンス違反には厳しい罰則が設けられています。2つのコンプライアンス規制にはそれぞれ要件があり、組織はそれらを確認し、コンプライアンス遵守を徹底する必要があります。

EUのGDPRとCCPAは、違反した場合に厳しい罰則を伴う最も重要なプライバシー法の2つです。これらのプライバシー保護措置により、消費者は自身のデータに対するより大きな管理権限と、組織によるデータ利用に関する透明性を得られます。両法において、ユーザーには以下の権利があることが明確にされるべきです。

• データの利用方法について知らされる権利、または知る権利
• 自身のデータにアクセスし、閲覧する権利
• データを修正する権利、または訂正する能力
• データを消去する権利、または完全に削除やオプトアウトする権利る。

すべての組織には、データを保護するための基本的な規格に従うべき独自のデータ保護計画があります。データ保護に使用するツールやアプライアンスは、組織のインフラやストレージの利用方法（オンプレミスとクラウドストレージなど）によって異なります。

データ保護に関するいくつかの例を挙げます。

• データの安全性: データへのアクセスには認証が必要です。
• アクセス制御: ユーザーがデータを閲覧するためには権限が必要です。
• ストレージの要件: 保管中のデータと転送中のデータが保護されているかを確認します。

デジタル トランスフォーメーションとデータセキュリティの多くのトレンドが、組織のデータ保護への取り組みに影響を与えています。

• リモートワーク： リモートワークへの移行により、従業員がオフィスネットワーク外から企業データにアクセスすることで、新たなセキュリティ上の課題が生まれています。
• バックアップとディザスタリカバリのサービス化： 組織は、セキュリティ侵害やその他の災害に備えて、クラウドベースのバックアップとディザスタリカバリ ソリューションの利用を増やしています。
• 規制コンプライアンス： 組織がコンプライアンス違反に対して高額な罰金を科されるようになる中、GDPRやCCPAなどのデータプライバシー規制への準拠がますます重要になっています。
• AI ガバナンス： 人工知能の普及に伴い、組織はAIの倫理的な利用とAIモデルの学習に使用されるデータの保護を確実にするため、ガバナンス フレームワークの開発に注力しています。
• ゼロパーティ データとファーストパーティ データ： サードパーティCookieが段階的に廃止される中、組織はデータ保護とセキュリティの実践を改善し、顧客をより良く理解するため、ゼロパーティ データとファーストパーティ データの収集に注目しています。

脅威がますます高度化・巧妙化する中、組織は最新のデータ保護ツールと情報セキュリティ手法に遅れを取らないようにしなければなりません。代表的なツールや手法を以下に示します。

• データバックアップと復旧システム：重要なデータを自動的にバックアップし、セキュリティ侵害やその他の災害時に迅速に復旧できるツールです。
• 暗号化と暗号技術：認証された担当者のみがアクセスできるよう、機密データを符号化して保護する技術です。
• データ特定と分類ソフトウェア：組織が機密データを特定し分類して、より良く保護できるようにするソフトウェア プラットフォームです。
• エンドポイント セキュリティ：ラップトップ、デスクトップ、携帯電話などの個別デバイスをセキュリティ脅威から保護するシステムです。
• 情報漏洩対策：データへのアクセスと使用を監視・制御することで、データの紛失、盗難、漏洩を防止するためのプロトコルです。
• ファイアウォール：受信・送信ネットワークトラフィックをフィルタリングして、コンピュータ ネットワークへの不正アクセスを防ぐために構築された技術です。
• アクセス管理：認証された担当者のみがアクセスできるよう、機密データとシステムへのユーザーアクセスを制御する対策です。
• データ消去：不正な担当者によるアクセスを防ぐため、ストレージデバイスからデータを安全に消去するツールです。
• 従業員監視ソフトウェア：セキュリティ侵害を検知・防止するため、企業ネットワーク上の従業員の活動を監視・監督するように設計されたプラットフォームです。
• アンチウイルス、アンチマルウェア、アンチランサムウェア ソフトウェア：データ侵害や漏洩の脅威となるウイルス、マルウェア、ランサムウェア攻撃からコンピューターシステムを保護します。

組織にとって、データを監査し、環境全体で適切な保護戦略を決定することは困難なことです。プルーフポイントのデータ保護ソリューションは、組織によるデータの監査と発見、GDPRなどのコンプライアンス規制に沿った戦略の策定、盗難や破壊からのデータ保護を支援します。インシデント対応を効率化し、クラウドプラットフォームを狙う脅威など、外部のリスクからデータを保護する環境を構築します。