乗り遅れるな!ゼロトラスト時代の本丸「データセキュリティ」~働き方変革に合わせた考え方~
3行でわかる本記事のサマリ
- 保護対象の限定と日常データの漏洩リスク
- データ分散と統合管理の困難さ
- 自動分類の必要性と外部漏洩リスク軽減
はじめに:境界防御型ネットワークにおけるデータセキュリティの限界
データが保存される領域の多様化や、取り扱うデータ量の増加に伴い、
境界防御型ネットワークでの現状のデータセキュリティ手法には、限界が来ています。
境界防御型ネットワークでは、保護対象のエリアを守るという考え方であるため、エリアの内側にあるものを漠然と守っており、
守るべき実態が何であるのかというところまで、具体的に検討の上、環境を構築している企業は多くはないでしょう。
ゼロトラストでは、"企業データを守る"ことが本質であり、保護の対象や条件など守るべきものを明確にする必要があります。
しかし現状では、クライアント端末やサーバーなどの機器、ネットワーク帯域、処理能力を守るだけで、
本質的な"企業データを守る"対策になっていません。
データを守るソリューションは、DLP(Data Loss Prevention)など数多くありますが、
ゼロトラスト化を進める必要がある環境変化のなかで、しっかり守るべきデータは守れているのか?と筆者自身疑問を感じています。
そこで、本ブログではいかに"企業データを守る"かについて、
現存する対策製品やソリューションを前提とせず、一から課題提起とあるべき姿を記載していきます。
なお、課題やあるべき姿を記載することにフォーカスしているため、
この課題をどう解決するのか?という解決策は含まれていませんので、その点はご了承ください。
目次
- 課題提起:データセキュリティの現状
- 1.【対象データ】守っているデータが限定的
- 2.【データ分散】SaaS利用によるデータ分散
- 3.【運用性】現場によるデータ分類ルールの運用
- スコープ:データ分類の自動化の必要性
- まとめ
課題提起:データセキュリティの現状
"企業データを守る"という観点で、企業のデータセキュリティを見ると、以下の3つの問題点があげられます。
1.【対象データ】守っているデータが限定的
• 個人情報保護法やGDPRなど法制度対応のために管理する個人情報データや
経営に関わるような一部の人のみがアクセス可能な機密データだけではなく、日々利用する日常的なデータの保護も重要
• 日々利用しているデータの保護の方が漏洩リスクが高く、漏洩した場合に影響がある
• 法制度対応のための予算は確保されているが、法制度範囲外のデータを保護するための予算は確保されにくい
2.【データ分散】SaaS利用によるデータ分散
• 個人情報データや機密データは特定の場所で厳密に管理されており把握が容易だが、
日々利用する日常的なデータは、データ保存領域(複数のSaaSやLocal File Serverなど)が分散していたり、
管理が現場に委ねられているため、統合的に管理/把握する仕組みがない
• データベースで管理されている構造化データ(顧客情報や個人情報など)ではなく、
多様なファイル形式で保存される非構造化データ(プレゼンテーション資料や動画など)の可視化手法が確立されてない
3.【運用性】現場によるデータ分類ルールの運用
• 非構造化データに対する分類ルールがない。もしくは、あいまいなルールになっている
• データ分類のルールがあっても、現場の判断でルールを独自解釈した運用になっており、適切な運用ができない
• 利用部署や状況(タイミング、緊急度など)によって判断が変化する可能性があり、
判断の揺らぎや誤りに起因した外部漏洩が潜在している
• 日々利用する日常的なデータに対して、分類等の制御を行うとビジネススピードに合わない。形骸化してしまう
スコープ:データ分類の自動化の必要性
構造化データは、DLPなどの既存のサービス/製品によって保護することができます。
しかし、非構造化データを保護するためには、データの分類が課題になっています。
そのため、前項の「2.【データ分散】SaaS化によるデータ分散」「3.【運用性】現場によるデータ分類ルールの運用」の課題に対応するためには、
非構造化データに対して一貫したポリシーに基づく自動的な分類付け=Classificationの仕組みが必要であると考えます。
• 分散したデータ保存領域側の機能に左右されない形で、
業務内で取り扱われるすべてのデータに分類を行う共通の仕組み
• 個人に依存する従来の手動型ではなく、システム側がデータそのものを読み取り分類を強制的に付与する仕組み
このような仕組みを実装することで、前項の「1.【対象データ】守っているデータが限定的」の解決策にもなり、
対象データスコープを広げられる現実味をもちます。
結果として、ゼロトラストを実施する本質的目的である、"企業データを守る"ことが実現できると考えます。
まとめ
これまでの内容を整理すると、法制度範囲外の非構造化データに対してのセキュリティアプローチは下記のようになります。
①対策検討を進めるべき
法制度範囲外のデータを保護するための予算を確保
予算確保までではなくても、検討チームの発足やプロジェクト化が必要
②ルールの作成
企業毎、部署毎、業務毎での分類ルールを策定
③棚卸し
分散したデータの保存場所に対応したデータ検索や、保管場所の特定を簡素化したデータ目録を作成
④運用性の考慮
現場判断に任せず、システムによって自動的に分類される仕組み作り
オンデマンド動画のご紹介
【ゼロトラWeeK】ゼロトラストの構想から実現に!
~ID編・SASE/SSE編・工場セキュリティ編・XDR/SIEM編~
「ゼロトラスト」がバズワードから、セキュリティの考え方としてすっかり定着してきました。
一方で、「ゼロトラスト」の実装に向かって走り出したものの、
多くのベンダーがゼロトラストソリューションを売り出している中で、
実際に自分の会社で何をやったらいいのか、どうやって整理したらいいのかわからないといった声をよく聞きます。
そんな課題を4つのカテゴリに分けて徹底解説!ご興味のある1カテゴリだけでもご視聴いただけます。
- ID編
IAM/IGA/PAMという3つの領域の製品を用いた、ID環境の管理を徹底解説 - SASE/SSE編
自社の課題・要件に合ったSASE/SSEを選定する際のポイントを徹底解説 - 工場セキュリティ編
将来的なゼロトラストの実現を見据え、今優先的に実施すべき対策とその対策をどのように実施していくべきなのかを徹底解説 - XDR/SIEM編
XDRの基本的な考え方や期待効果、XDRにおけるSIEMの位置づけを徹底解説