次世代ビジネスに向けた理想的なデータセキュリティ
はじめに
データを活用した次世代ビジネスに期待が集まる中、データの所在や形式が流動的になり、リスク管理とセキュリティ確保が企業の課題となっています。今回は、リモートワーク、グローバル化などで複雑化する経営に耐え、ガバナンスを強化しながら、データ利活用を最大化するためのポイントやソリューションを紹介します。
目次
- 次世代ビジネスに向けたデータセキュリティの課題
- データセキュリティ要件の整理 ~変化するビジネス環境への対応~
- 理想的なデータセキュリティとは ~データ資産の可視化の実践~
1. 次世代ビジネスに向けたデータセキュリティの課題
DX推進によるビジネスモデルの再構築、API公開によるサービス範囲の拡大など、データ利活用を通じて組織の価値を最大化する取り組みが注目を集めています。企業がこれまで「機密情報」として必要最小限の利用・公開にとどめていたデータが、活用範囲の拡大によって付加価値を生み出す時代となり、新たな収益モデルを創出する試みが広がっています。
同時に、ビジネス環境や企業そのものの変化により、データのセキュリティリスクはかつてなく高まっています。例えば、次のような状況に心当たりがある方も多いのではないでしょうか。
- コロナ禍でリモートワークが普及し、クラウド利用も増加して、管理者の目の届かない業務が増えている
- グローバル展開で人材が多様化し、従業員の価値観やコンプライアンス意識にばらつきが生じている
- 新たなサービスを事業部主体で開発することが増え、関連組織のサイロ化・複雑化によって、どこにどのようなデータがあるのか、一元的な把握が困難になっている
ビジネスの状況に合わせて、データ管理方法の選択が可能になる一方、IT部門によるデータの所在や内容の把握が困難になり、これまで多くの企業が取り組んできた「従業員のトレーニング」「データ運用ポリシーの策定」といったリスク管理は限界を迎えています。
特に懸念されるインシデントとして、次のような例が挙げられるでしょう。
▼懸念されるインシデントの例
- 設定ミスやガバナンス不徹底により、パブリッククラウド上のデータベースが意図せず公開されてしまう
- アプリケーションによっては、起動時に自動でデータベースが複製されることがあり、複製されたデータベースの存在を誰も把握していなかったために、防御しておらず、突然サイバー攻撃を受けてしまう
- 内部不正により、機密情報が大量に持ち出されてしまう
- 監査ログをただ蓄積するだけで適切に分析できていないため、不正アクセスの早期検知のチャンスを逃してしまう
- データベース構造が複雑で、インシデント対応に時間がかかってしまう
今後ますます複雑化する組織、人材、IT市場における「データセキュリティのあるべき姿」はどのようなものでしょうか。また、それをどのように実現すればよいのでしょうか。
2. データセキュリティ要件の整理 ~変化するビジネス環境への対応~
従来のデータセキュリティは、データの保管場所やアクセス元が限定的であることを前提に「アクセス主体をいかに制御するか」という視点で考えられてきました。しかし、これからはデータの最大活用に向けて積極的に流動性を高める必要があり、前提条件が大きく変化しています。
そこで、まず、次世代ビジネスを実現するデータセキュリティには、今どのような課題と要件があるのかを整理しましょう。
昨今のデータセキュリティの課題を4つの視点でまとめると、次のようになります。
課題ごとに、データセキュリティの要件を記載します。
①組織的課題 >部署や場面により異なる管理手法
リモートワークの浸透、さまざまなビジネスツールの導入により、データにアクセスする端末やIPアドレス、アプリケーションなどが流動的になり、部署や場面によって異なる管理手法への対応が必要になっています。
- データセキュリティの要件
- 1-A:データ監査の多様なログに対応し、一元的に可視化できること
- 1-B:データアクセス権を適切に把握できること
②人的課題 >リスク判定の基準が曖昧
グローバル化が進み、ビジネスに関わる人の立場や価値観が多様化しています。属人的判断に依存せず、データのリスクに応じて、統一した監視ルールを設けることが急務となっています。
- データセキュリティの要件
- 2-A:データのリスクに応じて、画一的な監視ルールを設けられること
③データの自由度の課題 >保存場所、保存形態が千差万別に
パブリッククラウドやDBaaS(Database as a Service)が普及し、ビジネスの状況に合わせた柔軟なデータ管理が可能になると同時に、データの保存場所や保存形態が千差万別になっています。また、データベースなど整形された構造化データに加えて、ファイルなどの非構造化データにも配慮が必要になっています。
- データセキュリティの要件
- 3-A:豊富なデータ保存場所に対応し、保存されたデータを監視できること
- 3-B:データ内容を識別し、リスクを判断できること
④データ管理の課題 >管理工数の増大
データの保管場所の分散、データ量の増加、求められる分析の高度化が同時に起きており、データセキュリティの監視・管理には膨大な工数が必要になります。すべてを人の手で行うことは極めて困難になっているのが実情です。
- データセキュリティの要件
- 4-A:AI解析により、人的工数をかけずに「不正が生じかねない状況」を発見できること
全部で4つの課題と6つの要件が浮き彫りになりました。
これらの要件すべてに対応できるセキュリティ体制が、次世代ビジネスにおける「データセキュリティのあるべき姿」だといえるでしょう。
3. 理想的なデータセキュリティとは ~データ資産の可視化の実践~
続いて、これらの要件を満たす「理想的なデータセキュリティ」について考えていきましょう。ここでは、実際のデータ管理の手順に沿って、必要なセキュリティ機能を紹介します。各要件に対応する機能と概要を把握しましょう。