Trace Id is missing
メイン コンテンツへスキップ
Microsoft Security

データ保護とは?

データをその存在場所にかかわらず保護するとともに、機密性の高いビジネス クリティカルなデータをお客様の環境全体にわたって管理する方法を学びましょう。

データ保護の定義

データ保護とは、機密データを破損、侵害、損失から守るのに役立つセキュリティ戦略とプロセスのことです。機密データに対する脅威としては、データ侵害やデータ損失インシデントがあります。

データ侵害は、サイバー攻撃、内部関係者による脅威、人的エラーなどを原因とする、組織の情報、ネットワーク、またはデバイスへの無許可アクセスの結果として発生します。データが失われることに加えて、組織はコンプライアンス違反の罰金を科せられることや、個人情報流出について訴訟を起こされることや、ブランドの評判への長期的ダメージを被ることが考えられます。

データ損失インシデントとは、意図的か偶発的かを問わず、組織の正常な業務運営が妨害されることです。たとえば、ノート PC の紛失または盗難、ソフトウェアの破損、またはネットワークへのコンピューター ウイルス侵入です。セキュリティ ポリシーを規定しておくとともに、脅威の認識と、どのように対応するか (あるいは対応しないか) について従業員をトレーニングしておくことは、データ保護戦略においてきわめて重要です。

データ保護の主要原則

データ保護の主要原則は、データの可用性とデータ管理の 2 つです。

データの可用性が維持されていれば、従業員は日々の業務に必要なデータにアクセスできます。データの可用性を維持することは、組織の事業継続とディザスター リカバリーの計画に寄与します。これは、バックアップ コピーを別の場所に保存するという方法を取るデータ保護計画の重要な要素の 1 つです。このようなコピーにアクセス可能ならば、従業員の仕事が中断される時間が最小限になり、業務を通常どおりに進めることができます。

データ管理には、データ ライフサイクル管理と情報ライフサイクル管理が含まれます。

  • データ ライフサイクル管理の対象は、データの作成、ストレージ、使用と分析、およびアーカイブまたは廃棄です。このライフサイクルは、関連する規制に組織が確実に準拠することと、データを不必要に保存しないことに役立ちます。
  • 情報ライフサイクル管理とは、組織のデータセットから導出された情報のカタログ化と保存の戦略です。その目的は、その情報の関連性と正確さがどの程度かを特定することです。

データ保護が重要である理由

データ保護は、組織をデータの窃盗、漏洩、損失から安全に守るために重要です。これには、コンプライアンス規制に適合するプライバシー ポリシーを使用することと、組織の評判のダメージを防ぐことが含まれます。

データ保護戦略には、環境内のデータを監視して保護することと、データの可視性とアクセスについての継続的な制御を維持することが含まれます。

データ保護ポリシーを策定することによって、組織のリスク許容範囲をすべてのデータ カテゴリについて決定するとともに、適用される規制を遵守することができます。このポリシーは、認証と認可、つまり誰がどの情報へのアクセス権を、なぜ保有するかを決定することの確立にも役立ちます。

データ保護のソリューションの種類

データ保護のソリューションは、内外のアクティビティを監視すること、疑わしいまたは高リスクのデータ共有行動にフラグを立てること、および機密データに対するアクセスを制御することに役立ちます。

  • データ損失防止

    データ損失防止は組織が機密データの共有、転送、使用を防ぐためのセキュリティ ソリューションであり、これらの防止はデータ資産全体にわたって機密情報を監視するなどのアクションを通して行われます。これは、米国の医療保険の携行性と責任に関する法律 (HIPAA) や欧州連合 (EU) の一般データ保護規則 (GDPR) などの規制要件に確実に準拠するのにも役立ちます。

  • レプリケーション

    レプリケーションとは、継続的にデータをある場所から別の場所にコピーすることでデータの最新のコピーを作成し、保存することです。これで、主システムが停止した場合でもこのデータにフェールオーバーできるようになります。データ損失に対する保護に加えて、レプリケーションを行うとデータを最も近いサーバーから提供できるようになるため、許可されているユーザーがより速くアクセスすることができます。組織のデータの完全なコピーがあれば、データを必要とする日常業務に干渉することなく分析を実行することもできます。

  • 保護が組み込まれたストレージ

    ストレージのソリューションによって、データを保護するだけでなく、削除または改変されたデータを復旧できることも必要です。たとえば、複数レベルの冗長性によってデータをサービス停止、ハードウェアの問題、自然災害などから保護します。バージョン管理機能があれば、上書き操作によって新しいバージョンが作成されたときにその前のデータの状態を保存することができます。ロック (たとえば読み取り専用や削除不可) をストレージ アカウントに対して構成しておくと、偶発的か悪意によるものかを問わず削除から保護するのに役立ちます。

  • ファイアウォール

    ファイアウォールは、許可されているユーザーだけが組織のデータへのアクセス権を持つことを確実にするのに役立ちます。その具体的な働きは、組織のセキュリティ ルールに従ってネットワーク トラフィックを監視してフィルタリングするというものであり、ウイルスやランサムウェアなどの脅威を阻止するのに役立ちます。ファイアウォール設定には一般的に、インバウンドとアウトバウンドの規則の作成、接続セキュリティ規則の指定、監視ログの表示のオプションが含まれており、ファイアウォールによって何かがブロックされたときに通知を受け取ることもできます。

  • データ検出

    データ検出とは、どのようなデータ セットが組織のデータセンター、ノート PC とデスクトップ コンピューター、各種モバイル デバイス、およびクラウド プラットフォームに存在するかを見つけるプロセスです。その次のステップは、データのカテゴリ分類 (たとえば制限付き、プライベート、またはパブリックの印を付ける) と、規制コンプライアンスを満たしていることの確認です。

  • 認証と認可

    認証と認可のコントロールによって、ユーザー資格情報が検証され、アクセス特権の正しい割り当てと適用が確実に行われます。ロールベースのアクセス制御は、仕事で必要としている人々のみにアクセス権を付与する方法の一例です。これを ID およびアクセス管理と組み合わせて使用すると、組織のリソース (アプリ、ファイル、データなど) をさらに安全に守ることを目的として、どの従業員がアクセスできるか、あるいはできないかを制御することができます。

  • バックアップ

    バックアップはデータ管理というカテゴリに分類されます。頻度は必要に応じて決めることができ (たとえば、フル バックアップを毎晩行い、増分バックアップを日中全体にわたって行う)、データが失われたり破損したりしたときも、バックアップがあればすばやく復元できるので、ダウンタイムを最小限に抑えることができます。一般的なバックアップ戦略には、データのコピーを複数保存することと、フル コピー セットを別のサーバー上に保存し、別のコピーをオフサイトの場所に保存することが含まれます。バックアップ戦略は、ディザスター リカバリーの計画に沿ったものとなります。

  • 暗号化

    暗号化は、データのセキュリティ、秘密性、整合性を保つのに役立ちます。データが保管中か移動中かを問わずこれを使用していれば、許可のないユーザーがファイルの保管場所へのアクセスを獲得した場合でも内容の閲覧を防止することができます。プレーンテキストは判読不可能な暗号テキストに変換される (つまり、データがコードに変換される) ため、それを読んだり処理したりするには解読キーが必要です。

  • ディザスター リカバリー

    ディザスター リカバリーは情報セキュリティ (InfoSec) の要素の 1 つであり、災害 (たとえば自然災害、大規模な機器障害、サイバー攻撃など) の発生後に組織がどのようにバックアップを使用してデータを復元し、通常の業務運営状態に戻るかに焦点が当てられます。これは先回り型のアプローチであり、組織が予測不可能な事象の影響を縮小するとともに計画的または予定外の中断により速く応答するのに役立ちます。

  • エンドポイント保護

    エンドポイントとは、ネットワークに接続する物理的なデバイスのことであり、その例としてはモバイル デバイス、デスクトップ コンピューター、仮想マシン、組み込みデバイス、サーバーがあります。脅威アクターは脆弱性や人的エラーを見つけてセキュリティの弱点を悪用しようとしますが、エンドポイント保護は組織がデバイスを監視してこのような脅威から安全に守るのに役立ちます。

  • スナップショット

    スナップショットとは、ファイル システムのある時点の状態を表すものであり、その状態が保存されて、その時点以降に行われた変更が追跡されます。このデータ保護ソリューションでは、サーバーの代わりにドライブのコレクションを使用するストレージ アレイが参照されます。アレイによって一般的に、データの場所を指すカタログが作成されます。スナップショットによってアレイのコピーが作成され、そのデータは読み取り専用になります。新しいエントリがカタログ内に作成され、古いカタログはそのまま維持されます。スナップショットには、サーバーを復旧するためのシステム構成も含まれています。

  • データ消去

    消去とは、保存されているデータのうち、組織に必要なくなったものを削除することです。このプロセスはデータ ワイプまたはデータ削除と呼ばれることもあり、規制の要件の 1 つとなっていることもよくあります。GDPR に関しては、個人が自分の個人データの消去を要求する権利が認められています。この消去の権利は "忘れられる権利" とも呼ばれています。

保護、セキュリティ、プライバシー

これらの用語は同じ意味を持つと思われることもありますが、データ保護、データ セキュリティ、データ プライバシーの目的はそれぞれ異なります。データ保護には、組織が機密データを破損、侵害、損失から守るために使用するセキュリティ戦略とプロセスが含まれます。データ セキュリティはデータの整合性に関係するものであり、無許可ユーザーや内部関係者による脅威による破損から保護する働きがあります。データ プライバシーとは、誰がデータにアクセスできるかを制御するとともに何を第三者と共有できるかを決定することです。

データ保護のベスト プラクティス

データ保護のベスト プラクティスは、データへのアクセスの制御、ネットワークと使用のアクティビティの監視、内部および外部の脅威への応答に役立つ、計画、ポリシー、戦略で構成されています。

  • 要件を常に把握する

    包括的なガバナンス計画では、規制の要件が特定されており、それが組織のデータにどのように適用されるかも明らかになっています。保有するすべてのデータが可視化され、適切に分類されていることを確認してください。お客様の業界のプライバシー規制に確実に従ってください。

  • アクセスを制限する

    アクセス制御では、そのユーザーが自称するとおりの人物かどうかを認証によって確認し、どの情報の閲覧と使用を許可するかを認可によって決定します。データ侵害が発生した場合に、最初に精査すべきポリシーの 1 つがアクセス制御であり、それが適切に実装されて維持されていたかが特定されます。

  • サイバーセキュリティ ポリシーを作成する

    サイバーセキュリティ ポリシーによって組織内の IT アクティビティが定義され、指示されます。これによって従業員が組織のデータに対する一般的な脅威を認識するようになり、安全とセキュリティについてさらに注意深くなります。また、データ保護戦略が明確になり、責任あるデータ使用の文化が促進されます。

  • アクティビティを監視する

    継続的な監視とテストは、潜在的リスクのある領域の特定に役立ちます。AI を使用してデータ監視タスクを自動化することで、すばやく効果的に脅威を見つけます。データとセキュリティの潜在的な問題が実際に損害を引き起こす前に、この早期警戒システムによってアラートを受け取ることができます。

  • インシデント応答計画を作成する

    データ侵害が発生する前にインシデント応答計画を作成しておくと、アクションを取る準備を整えることができます。これは対応チーム (たとえば組織内の IT 責任者、InfoSec、およびコミュニケーションの責任者) がシステムの整合性を維持することと、可能な限り速く組織の業務を元通りにすることに役立ちます。

  • リスクを特定する

    従業員、ベンダー、請負業者、パートナーはお客様のデータ、コンピューター システム、セキュリティ実践方法についての情報を持っています。データに対する無許可アクセスを特定するとともに、悪用から守るには、組織がどのようなデータを保有しているか、およびそれが組織のデジタル資産全体でどのように使用されているかを知る必要があります。

  • データ ストレージのセキュリティを強化する

    データ ストレージのセキュリティとは、アクセス制御、暗号化、エンドポイント セキュリティなどの手法を使用して、保存されているデータの整合性と秘密性を守ることです。また、これによって意図的かどうかを問わず損傷のリスクが軽減されるとともに、データが常時使用可能な状態が保たれます。

  • 従業員をトレーニングする

    意図的かどうかにかかわらず、インサイダー リスクはデータ侵害の主な原因の 1 つです。組織のデータ防止ポリシーをすべてのレベルに明確に伝えることは、従業員の準拠に役立ちます。このトレーニングを頻繁に、再教育セッションで繰り返すとともに、特定の問題が生じたときはガイダンスを提示します。

データ保護のコンプライアンスと法令

どの組織も、関連するデータ保護の標準、法律、規制に従う必要があります。法的義務に含まれるものとしては、必要な情報だけを顧客または従業員から収集し、これを安全に保管し、適切に廃棄することが挙げられますが、これに限定されるわけではありません。プライバシー関連の法律の例を次に示します。

GDPR はデータ プライバシーとセキュリティに関する法律の中で最も厳格です。EU によって法案が作られ可決されましたが、全世界の組織が対象であり、EU 域内の市民または住民をターゲットとする、またはこれらの人々から個人データを収集する、またはこれらの人々に商品やサービスを提供する場合は、これに従うことが義務付けられます。

米国カリフォルニア州消費者プライバシー法 (CCPA) は、カリフォルニア州の消費者のプライバシーに関する権利を守ることを目的とするものであり、これに含まれるものとしては、企業が収集する個人情報について、およびそれがどのように使用されて共有されるかについて知る権利や、自分から収集された個人情報を削除する権利、および自分の個人情報の販売からオプトアウトする権利があります。

米国の HIPAA (医療保険の携行性と責任に関する法律) の目的は、患者の健康情報が、その患者による認知または同意なく開示されることの防止です。HIPAA プライバシー ルールは個人の健康情報を安全に守るものであり、HIPAA の要件を実施するために発行されました。HIPAA セキュリティ ルールの目的は、医療提供者が電子的に作成、受領、維持、または伝送する、特定可能な健康情報を保護することです。

米国のグラム リーチ ブライリー法 (GLBA)、別名 1999 年金融サービス近代化法では、金融機関が情報共有の実践について顧客に説明することと機密データを安全に守ることが求められています。

米国の連邦取引委員会は、米国における消費者保護の主たる機関です。商取引に影響を及ぼす、不公正な競争方法および不公正または欺瞞的な行為または慣行は不法であることが連邦取引委員会法によって宣言されています。

戦略とプロセスは進化しているため、組織はデータ保護における動向に注視する必要があります。これに含まれるものとしては、規制コンプライアンス、リスク管理、データ可搬性があります。

  • データ保護に関する規制の増加

    GDPR は、他の国が個人データを収集、開示、保存する方法のベンチマークとなりました。その発表以降に、米国 (カリフォルニア州) の CCPA とブラジルの一般個人データ保護法が登場しましたが、これらはオンライン消費者中心主義およびパーソナライズされた製品やサービスの増加に歩調を合わせるものとなっています。

  • モバイル データの保護

    無許可ユーザーによる組織のネットワークへのアクセスの防止には、ノート PC、タブレット、スマートフォンなどのポータブル デバイスに格納されている機密データの保護も含まれます。セキュリティ ソフトウェアでは本人確認が使用されており、デバイスの侵害を防ぐのに役立ちます。

  • 第三者のアクセス権を少なくする

    データ侵害をたどっていくと、第三者 (サプライヤー、パートナー、サービス プロバイダーなど) に組織のネットワークとデータへのアクセス権が過剰に与えられていたということもよくあります。第三者リスク管理は、第三者によるデータへのアクセスと使用を制限するコンプライアンス規制へと発展しています。

  • コピー データ管理

    コピー データ管理とは重複データを検出し、類似のデータを比較することであり、これを利用すると組織のデータのコピーのうち使用されていないものを削除することができます。このソリューションによって、重複するデータが原因の不整合を最小化することができ、ストレージ コストが縮小し、セキュリティとコンプライアンスを維持することができます。

  • データ可搬性

    クラウド コンピューティングの初期のころは、データ可搬性と他環境への大規模データセットの移行は困難でした。今日では、クラウド テクノロジによってデータの可搬性が向上し、組織のデータを環境間で、たとえばオンプレミスのデータセンターからパブリック クラウドへ、あるいはクラウド プロバイダー間で移動できるようになりました。

  • サービスとしてのディザスター リカバリー

    サービスとしてのディザスター リカバリーは、どの規模の組織にも役立ちます。コスト効果の高いクラウド サービスを使用してシステムをレプリケートし、大災害の発生後に業務運営を元に戻すことができます。クラウドベースのテクノロジの柔軟性とスケーラビリティが特長であり、サービス停止を回避するための効果的なソリューションとみなされています。

データの検出と分類

データ検出とデータ分類は別のプロセスですが、これらを組み合わせることで組織のデータの可視化が実現します。データ検出のツールによってデジタル資産全体をスキャンして、構造化および非構造化データがどこに存在するかを発見しますが、このことはデータ保護戦略において非常に重要です。データ分類によってデータ検出プロセスからのデータがファイルの種類、内容、その他のメタデータに基づいて整理されます。重複データの排除に役立ち、データの場所を突き止めて取り出すことも簡単になります。

保護されていないデータは、脆弱なデータです。自分がどのようなデータを保有しているか、およびそれがどこに存在するかを知ることは、データのプロセスとコントロールに関連する規制コンプライアンスの要件に従いながらデータを保護するのに役立ちます。

データ保護のソリューション

データ保護のソリューションは、データの損失に対して防衛するのに役立ちます。セキュリティ、データ バックアップ、復元が含まれており、これらによって組織のディザスター リカバリー計画が直接サポートされます。

お客様の組織が機密データを理解する方法をシンプルにしましょう。Microsoft Security のソリューションならば、すべてのデータを可視化し、さらに強力な保護をアプリ、クラウド、デバイスのすべてに対して適用し、規制の要件を管理することができます。

Microsoft Security についてさらに学ぶ

Microsoft Purview

組織のデータのガバナンス、保護、コンプライアンスのソリューションの詳細情報をご覧ください。

詳細情報

データ損失の防止に役立ちます

エンドポイント、アプリ、サービスにおける機密データの不適切な共有、転送、使用を特定することができます。

詳細情報

情報保護

組み込み型でインテリジェント、統合型で拡張性に優れたソリューションを利用してデータの保護とガバナンスを行うことができます。

詳細情報

コミュニケーション コンプライアンス

機械学習を使用してコミュニケーション違反を検出します。

詳細情報

よく寄せられる質問

  • データ保護の例としては、悪意のある、または偶発的な損害に対して防御すること、ディザスター リカバリー戦略を持つこと、データを必要とする人だけにアクセスを限定することが挙げられます。

  • データ保護の目的は、組織のデータを侵害、損傷、損失から安全に守ることです。

  • GDPR では、個人には自分の個人データの保護に関して基本的な権利と自由があると規定されています。個人データを収集する組織はすべて、個人から明示的な同意を得る必要があり、そのデータをどのように使用するかについて透明性を保つことが求められます。

  • データ保護ツールに含まれるものとしては、データ検出とインベントリ、暗号化、データ消去、アクセス管理、エンドポイント セキュリティがあります。

  • データの保護に役立てるために、企業は最初にセキュリティ ポリシーを確立し、承認された使い方や、インシデント報告などをこの中で定義するとよいでしょう。重要なデータをバックアップする、ソフトウェアを常に最新に保つ、データ保護について従業員を教育するといったことも、重要なアクションです。

Microsoft 365 をフォローする