データセキュリティとは

2023年5月14日

データセキュリティは、デジタル情報が盗難、漏洩、破損、削除されるリスクを未然に防ぐために、サイバー犯罪者や悪意のある内部関係者、ヒューマンエラーなどの不正アクセスから保護するための取り組みを指します。この取り組みは、デジタル情報のライフサイクル全体を通じて実施されます。データセキュリティの基盤には、一連のビジネス、組織、ITプロセスとテクノロジーが含まれます。これには、全てのハードウェアやソフトウェア、およびそれらを収容する物理的な構造へのアクセスも含まれます。

データセキュリティの基盤となる一般的なモデルとフレームワークは、機密性、完全性、可用性の三位一体です。データセキュリティにおける各要素の役割は次の通りです。

機密性
データセキュリティ対策を講じることで、適切な認証情報を有する認証済みユーザーのみが、情報にアクセスできるようにします。
完全性
データセキュリティシステムを実装することで、情報の信頼性、正確性を維持し、不当な変更を阻止します。
可用性
データセキュリティチェックを実施し、データにすぐにアクセスでき、認証済みユーザーのニーズに継続的に対応できるかどうかを確認します。

データセキュリティは、マルウェアや高度な標的型攻撃に関連するリスクだけでなく、次のような人的脅威も軽減することを目的としています。

ソーシャルエンジニアリングの策略
人間の心理的な隙につけ込んで人々から機密情報を引き出すソーシャルエンジニアリングという手法です。組織のデータセキュリティにおける最も脆弱な部分の人間を利用するため、最も効果的なサイバーセキュリティの脅威の一つです。これらの攻撃は、認証されたユーザーを操作して、資格情報や個人識別情報（PII）などの機密情報を共有させることで、データセキュリティの侵害を引き起こします
ヒューマンエラー
データ侵害は通常、サイバー犯罪者や悪意のある内部関係者によって引き起こされますが、単純なヒューマンエラーが機密情報漏洩の原因となることも多いです。そのようなヒューマンエラーの一例には、機密情報の偶発的な共有、アクセス権限の付与、紛失、または取り扱いミスが挙げられます。
悪意のある内部関係者
内部脅威には、データセキュリティを意図的に脅かす社員、契約社員、ベンダー、パートナーが含まれます。悪意のある内部関係者は、組織についての知識を利用してデータセキュリティ対策を無効にし、機密情報を窃盗、漏洩、損傷、破壊します。

データセキュリティには、サイバー犯罪者から情報を保護するだけでなく、次のような利点もあります。

組織は、機密情報のセキュリティ対策を講じていることを保証することで、顧客、パートナー、社員からの信頼を維持できます。
競争力を高め、情報漏洩が発生した企業との差別化を図ります。
認証済みシステムやユーザーが情報を利用できるようにします。

データセキュリティが重要である理由

リモートワーク、クラウドサービス、モノのIoT端末の増加に伴い、データセキュリティの重要性が大幅に高まっています。これらの傾向により攻撃の対象範囲が指数関数的に拡大し、不正アクセスの機会がこれまで以上に増えています。

また、組織が機密情報の保護に苦慮する中、前述の傾向も相まって、データセキュリティの需要は高まり続けています。一般的に、データセキュリティが重要である主な理由として、コンプライアンス要件、ブランドの資産価値、機密情報に関連しています。

1. コンプライアンスのためのデータセキュリティ要件

公的機関および民間企業は、厳しいデータセキュリティ要件を含む幅広い基準や規制の対象となっています。
- 業界特有の規制には以下が含まれます。
  - マネーロンダリング対策（AML）
  - 顧客デューデリジェンス（CDD）
  - 家庭教育の権利とプライバシーに関する法律（FERPA）
  - 2002年連邦情報セキュリティ管理法（FISMA）
  - グラム・リーチ・ブライリー法（GLBA）
  - 米国における医療保険の相互運用性と説明責任に関する法令（HIPAA法）
  - 顧客確認（KYC）
  - ペイメントカードインダストリーデータセキュリティ基準（PCI DSS）
  - サーベンス・オクスリー法（SOX）
- 特定の地域内のすべての組織に適用される規制には以下が含まれます。
  - カリフォルニア州消費者プライバシー法（CCPA）
  - 児童インターネット保護法（CIPA）
  - 児童オンラインプライバシー保護法（COPPA）
  - EU一般データ保護規則（GDPR）
  - 個人情報保護および電子文書法（PIPEDA）

データ侵害は、コンプライアンス要件で定められたデータセキュリティプロトコルが遵守されなかった場合に課される罰金を含む、重大な財務損失を引き起こす可能性があります。また、機密データの回収に関連する損失や損害の補償請求に対応するための法的費用も含まれます。

2. ブランドの資産価値の損害を防ぐデータセキュリティ

データセキュリティは、データ侵害に伴う評判リスクへの対応にも重要です。データ侵害により、顧客の信頼を失い、競合他社に市場シェアを奪われることにつながる可能性があります。

損害を受けた企業の代償は、計り知れません。大規模なデータ侵害は、数年から数十年にわたってブランドエクイティやブランド価値を破壊し、いかなる代償を払っても取り戻すことはできません。実際、データ侵害がもたらす最大の影響として、ブランドエクイティ、ブランド価値への損害が挙げられているため、データセキュリティの重要性がさらに増しています。

3. 機密情報を保護するデータセキュリティ

データセキュリティの核心は、知的財産、ネットワークとサーバー、および重要なインフラを含む組織のデジタル資産とシステムを保護することです。サイバー犯罪者は、金融犯罪に加えて、企業の機密情報や貴重な顧客情報を盗むことを常に狙っています。
また、ITインフラを標的としてオペレーションを妨害したり、電気や水道などの重要なインフラサービスに打撃を与えたりするなど、混乱を引き起こすことを目的とした攻撃もあります。データセキュリティは、そうした攻撃を阻止するために必要なセキュリティ対策を提供します。

データセキュリティの種類

情報、端末、ネットワーク、システム、ユーザーを保護するために使用される主なデータセキュリティは、データ暗号化データ消去、データマスキング、データレジリエンス、トークン化の5種類です。これらのデータセキュリティは、ユースケースに応じて個別に、または組み合わせて使用されます。

1. データ暗号化
データ暗号化では、アルゴリズムを使用して人間が読めるテキストを文字列に変換します。暗号化されたデータは、固有の復号キーを持つ認証済みユーザーによってのみプレーンテキストに戻すことができます。暗号化は、格納されているデータや転送中のデータを保護するために広く使用されている、効果的なデータセキュリティツールです。

2. データ消去
データ消去は、システムからデータを永久に削除するため、データワイプよりも安全な方法です。データ消去はデータセキュリティに不可欠な要素であり、端末に残された情報を完全に上書きし、復元できないようにします。

3. データマスキング
データマスキングを使用すると、組織は人間が読めるテキストをユーザーに提示しつつ、代替テキストを使用して機密情報を隠す手法です。つまり人間が判読できるテキストを代わりの特殊文字に置き換えることで、重要な情報を隠すことができます。この情報は、認証済みユーザーがコンテンツにアクセスすると、その元の形式に戻ります。

4. データレジリエンス
データレジリエンスはデータの可用性を保証するため、データセキュリティに不可欠な要素です。データバックアップなどのデータレジリエンスシステム、プロセスを導入することで、ランサムウェアやサイバー災害の場合に、データの偶発的な破壊や損失が発生しても、混乱を最小限に抑えることができます。

5. トークン化

データ暗号化と同様に、トークン化はプレーンテキストを文字列に置き換えます。あるデータのプレーンテキストを、読み取り不可能なバージョンに置き換えます。
そのような文字列は元のデータを表しており、安全なトークンボルトに保存されます。このデータセキュリティソリューションは、個人識別情報（PII）や保護された医療情報（PHI）などの機密情報を保護します。

データセキュリティのツールとソリューション

一般的に使用されるデータセキュリティのツールとソリューションには、次のようなものがあります。

アクセス権限管理、制御
認証（例：生体認証、シングルサインオン（SSO）、多要素認証（MFA））
データ、ファイルのアクティビティの監視
データの検索、分類
データ損失防止（DLP）
メールセキュリティ
IDアクセス管理（IAM）
ネットワークとエンドポイントの保護、監視、制御
リアルタイムのシステム、データの監視
脆弱性評価とリスク分析

データセキュリティ戦略

包括的なデータセキュリティ戦略では、ツールやソリューションを、人に焦点を当てたプロセスと組み合わせて実施します。ここでは、ツールとソリューションとともに採用すべき重要なデータセキュリティ戦略をいくつか紹介します。

パッチを適用してソフトウェアを常に最新の状態に保つ
サイバー攻撃に備えるためのポリシーを策定
モバイルデータセキュリティを実装
データセキュリティの重要性に関する社員向け研修を実施
データ管理戦略には下記も含まれます。
- データ監査
- データの最小化
- データリスク評価
- 陳腐化したデータ、アプリケーションの削除
サーバーやユーザーデバイスの物理的セキュリティを確保
- 警備員の雇用
- キーカードまたは生体認証を使用したアクセス制御の実装
- ファイルキャビネットを常に施錠
- オフィスのドアを施錠
- 記録文書をシュレッダーにかける
- 監視カメラの利用
データがどこに存在するのかを把握
パーティション対応ファイル
高リスクのアクティビティを制限
プロセス、システムのテスト
ユーザーアクセスの追跡
行動ベースの権限を使用

データセキュリティのベストプラクティスでは、管理セキュリティとオペレーションセキュリティの実装も推奨されています。

管理セキュリティは、組織外部から発生するリスクに対処するために、以下のような対策を講じます。
- サードパーティのリスク評価を実施
- プライバシー、インシデント対応、および情報セキュリティの方針の策定
- サイバーセキュリティ保険への加入
- 監査管理の実施
- セキュリティに対する意識向上のための研修を実施
運用セキュリティは、内部から発生する脆弱性から情報を保護するために、以下のような対策を講じます。
- ログオン画面へのセキュリティメッセージの追加
- 社員の入社、退職手順の策定、実装
- セキュリティ文化の醸成
- ユーザー端末の監視
- 内部、外部ユーザーの研修

データセキュリティの傾向

IoT端末による攻撃対象領域の拡大

IoT端末は急速に増え続けており、その導入台数は世界中で数十億台にも及びます。これにより、重大なデータセキュリティリスクの一つをもたらしています。IoT端末はほぼあらゆる場所に存在し、その多くがネットワークに接続されているため、攻撃対象領域が飛躍的に増加しています。

IoT端末の導入台数が増え続けているだけでなく、その脆弱性もまた、データセキュリティに対する大きな脅威となっています。IoT端末はセキュリティを優先して設計されておらず、多くの場合、セキュリティ対策が施されないまま展開されています。

IoT端末の処理能力とストレージ能力は限られているため、データセキュリティソフトウェアを端末にインストールするのは困難です。さらに、IoT端末の数は増え続け、世界中に普及しているため、セキュリティシステムの更新やアップデート、セキュリティパッチのインストールを維持することも困難です。

ランサムウェアの脅威の増大

ランサムウェアは、1989年以来サイバー脅威の一つであり続けており、多くのサイバー犯罪者が好んで使用するマルウェアとなっています。その配布は他の一般的なマルウェアと同様に比較的容易です。

ランサムウェアは、ダークウェブでも広く取り引きされています。個人や小規模なサイバー犯罪グループでも、サービスとしてのランサムウェアを効果的に活用できます。

データセキュリティソリューションはランサムウェアに対処するために使用されます。しかし、ランサムウェアは一般的に、ソーシャルエンジニアリングを使用してこれらのソリューションを回避するため、データセキュリティシステムにとって対策が難しい問題となっています。

データセキュリティにおける人工知能（AI）の使用の増加

人工知能（AI）は、機械学習（ML）とともにデータセキュリティソリューションの有効性を向上させるためにますます利用されています。AIとMLを使用すれば、セキュリティプロセスと脅威の検出を自動化し、継続的に改善できます。収集したデータを使用して、不審な活動の特定を強化できます。データセキュリティにおいてAIが重要である理由は、AIが大量のデータを処理し、分析に基づいて迅速な意思決定を下すことで、インシデント対応を人間や基本的なソフトウェアよりも何千倍も速く行うことができる点です。

AIのもう一つの分野である自然言語処理（NLP）は、フィッシング攻撃に対処するために使用されます。AI、ML対応ツールは、悪意のあるメッセージを人間よりも的確に識別できるからです。AIは、顔認識、指紋認識、音声認識などの認証のための生体認証の精度と性能を向上させます。また、行動認識などの追加の生体認証方法を開発するためにも使用され、データセキュリティの向上に貢献しています。

エンタープライズデータセキュリティ

エンタープライズデータセキュリティには、データとアプリケーションが常に安全かつ利用可能であることを保証するための、多層的なアプローチが必要です。そうしたアプローチには、サイバー攻撃やサイバー災害が発生した場合のサービスの中断を最小限に抑えるための、事業継続への備えも含まれます。

在宅勤務の増加、モバイル端末の普及、IoT端末の爆発的な増加に伴い、エンタープライズデータセキュリティの範囲は拡大し続けています。これらのユースケースの全ては、機密性の高い情報に大きく依存しています。これらの要素が増加することで、システムの複雑性、ユーザー数 (人間と機械の両方)、攻撃対象領域が広がるため、企業データセキュリティの向上がこれまで以上に求められます。

クラウドデータセキュリティ

データセキュリティは社内ITだけにとどまらず、拡大するクラウドベースの基盤とサービスの利用範囲をもカバーするようになっています。通常、クラウドベースの基盤とサービスのデータセキュリティは、クラウドサービスプロバイダーや企業のIT部門と共同で提供されます。

クラウドコンピューティングには、オンプレミス環境と同様の脅威が多数存在します。データセキュリティソリューションは、クラウド環境を管理するように最適化されていますが、追加の予防措置を講じる必要があります。クラウドベースのインフラ、サービス向けのデータセキュリティに関するその他の考慮事項として、クラウド移行の保護や、脆弱性を生み出すクラウド設定ミスの回避が挙げられます。

データセキュリティとBYOD（Bring Your Own Device）

BYODとは、個人用パソコン、タブレット、スマートフォンなどの端末を企業の業務に利用することです。ITセキュリティ部門が十分な根拠を示したうえで、BYODがもたらすリスクを訴え続けているにもかかわらず、この慣行は定着、拡大し続けています。組織は、こうした端末を保護するために、データセキュリティ対策を継続的に強化しています。

BYODの脅威に対する保護を強化するために導入されるデータセキュリティプロトコルでは、私物端末を使用する社員に対して、企業ネットワークにアクセスするために、セキュリティソフトウェアをインストールすることを要求します。こうしたデータセキュリティ対策は、私物端末を使用したデータへのアクセス、移動を一元的に制御し、可視化することを目的としています。BYODのセキュリティ対策に役立つその他のデータセキュリティ戦術では、暗号化、強力なパスワード、MFA、定期的なパッチおよびソフトウェア更新のインストール、バックアップの使用が含まれます。

監視は、BYODリスクを軽減するために使用される、重要なデータセキュリティ対策の一つです。このアプローチでは、すべての端末を識別することで、未認可のBYODの使用にも対処します。

データセキュリティの進化を常に把握

情報化社会が到来して以来、データセキュリティは、初期の手動による暗号化から、機密情報を保存するための暗号化に至るまで、データの完全性と可用性を確保する上で重要な役割を果たしてきました。多くのテクノロジーと同様に、データセキュリティも進化し続けています。データセキュリティの力と有効性を最大限に活用するには、開発のトレンドと、それに伴うソリューションを常に把握する必要があります。

FAQ

よくある質問

データセキュリティとサイバーセキュリティの違いは何ですか？

データセキュリティは組織が管理している情報またはデータの保護に重点を置いていますが、サイバーセキュリティは、組織のIT資産を外部および内部のサイバー攻撃から保護することに重点を置いています。

データセキュリティの三大要素とは何ですか？

認証済みユーザーのみがアクセスする機密性、正しい状態のまま維持される完全性、いつでも利用可能な状態にある可用性の三大要素です。

クラウドプラットフォームを適切に制御します

SailPoint IDセキュリティの詳細をご覧ください。

デモのお申し込み

データセキュリティとは

データセキュリティが重要である理由

データセキュリティの種類

データセキュリティのツールとソリューション

データセキュリティ戦略