データ セキュリティとは?
データ セキュリティを実現するには、自分がどのようなデータを保有していてそれがどこにあるかを知ることと、自分のデータに関するリスクを特定することが必要です。データを安全に守る方法を学びましょう。
データ セキュリティの定義
データ セキュリティは、機密データをそのライフサイクル全体にわたって保護することと、ユーザー アクティビティおよびデータのコンテキストを理解すること、およびデータの無許可での使用または損失を防止することに役立ちます。
データ セキュリティの重要性が強調されるのは、サイバーセキュリティの脅威とインサイダー リスクが増加する現代においては当然のことです。これが必要であるのは、自分が保有するデータの種類を可視化し、無許可でのデータ使用を防止し、データに関するリスクを特定して軽減するためです。データ セキュリティに関連して、データ セキュリティ管理が組織のデータ セキュリティ活動の計画、組織化、制御における指針となり、これには適切に書かれたポリシーと手順が使用されます。
データ セキュリティの種類
データ セキュリティが効果を発揮するには、データセットの秘密度と、組織の規制コンプライアンス要件が考慮されていることが必要です。データ侵害に対する保護、規制要件の遵守、自社の評判のダメージ防止に役立つデータ セキュリティの種類には、次のものがあります。
- アクセス制御: オンプレミスとクラウドベースのデータへのアクセスのガバナンスを行います。
- ユーザーの認証: 手段としてはパスワード、アクセス カード、生体認証があります。
- バックアップと回復: システム障害、データの破損、または災害の発生後もデータにアクセスできるようにします。
- データ回復性: ディザスター リカバリーと事業継続に対する先回り型アプローチの 1 つです。
- データ消去: データを適切に廃棄して復旧不可能にします。
- データ マスキング ソフトウェア: 代替文字を使用して文字や数字を隠し、権限のないユーザーからは見えないようにします。
- データ損失防止ソリューション: 機密データの無許可使用に対して防御します。
- 暗号化: 権限のないユーザーがファイルを読めないようにします。
- 情報保護: ファイルやドキュメントの中の機密データを分類するのに役立ちます。
- インサイダー リスク管理: リスクの高いユーザー アクティビティを緩和します。
セキュリティ保護が必要なデータの種類
クレジット カード番号流出や、なりすましの被害に遭ったことのある人は誰でも、効果的なデータ保護のありがたみを深く実感しています。悪意のあるハッカーは絶えず、個人情報を盗んでその身代金を要求したり、売りさばいたり、さらなる詐欺を働いたりする方法を編み出しています。加えて、現職の従業員や元従業員がデータ損失を引き起こすことも多く、その結果としてインサイダー リスク管理が組織にとって必須となっています。
何をどのように保護するかについては、業界ごとに独自の要件がありますが、共通してセキュリティで保護する必要のあるデータの種類は次のとおりです。
- 従業員と顧客の個人情報。
- 金銭関連のデータ (クレジット カード番号、銀行取引情報、会社の財務諸表など)。
- 健康関連の情報 (利用したサービス、診断、検査結果など)。
- 知的財産権 (営業秘密、特許など)。
- ビジネス運営データ (サプライ チェーン情報、生産プロセスなど)。
データ セキュリティに対する脅威
職場でも家庭でも、インターネットはアカウントへのアクセスに使用されており、コミュニケーションや、情報の共有と使用の手段となっています。共有される情報は、さまざまな種類のサイバー攻撃とインサイダー リスクによって危険にさらされる可能性があります。
-
ハッキング
ハッキングとは、コンピューターを介してデータの盗み出しや、ネットワークまたはファイルの損壊、組織のデジタル環境の乗っ取り、またはそのデータと活動の混乱を試みることです。ハッキングの方法としては、フィッシング、マルウェア、コード ブレーク、分散サービス拒否攻撃などがあります。
-
ランサムウェア
ランサムウェアはマルウェアの一種であり、被害者のネットワークとファイルへのアクセスを、身代金 (ransom) が払われるまで妨害するというものです。メールの添付ファイルを開いたときや、広告をクリックしたときにランサムウェアが被害者のコンピューターにダウンロードされることがあります。通常は、被害者がファイルにアクセスできなくなったときや支払いを要求するメッセージを見たときに発見されます。
-
フィッシング
フィッシングとは、個人または組織をだましてクレジット カード番号やパスワードなどの情報を差し出すように仕向ける行為です。その意図は機密データを盗んだり損傷を与えたりすることであり、その手法は、被害者がよく知っている信頼できる企業を偽装するというものです。
-
データ漏洩
データ漏洩とは、意図的か偶発的かを問わずデータが組織の内部から外部の受信者に転送されることです。これに使用されるものとしては、メール、インターネット、デバイス (ノート PC やポータブル ストレージ デバイスなど) があります。ファイルやドキュメントの持ち出しも、データ漏洩の形態の 1 つです。
-
過失
過失とは、従業員が故意にセキュリティ ポリシーに違反するものの、会社に損害を与えようとはしないことを指します。たとえば、機密データをアクセス権のない仕事仲間と共有することや、セキュリティが保証されていないワイヤレス接続を介して会社のリソースにサインインすることです。また、身分証を見せない人を建物の中に入れてしまうことも例の 1 つです。
-
詐欺
詐欺は、オンラインの匿名性とリアルタイムのアクセス可能性を利用しようとする巧妙なユーザーによって行われます。たとえば、侵害したアカウントや盗んだクレジット カード番号を使用して取引を作成します。組織は保証詐欺、返金詐欺、不正転売の被害者になることがあります。
-
窃盗
窃盗は内部関係者による脅威の 1 つであり、データ、金銭、または知的財産が盗まれます。その目的は個人的な利益を得ることと、組織に損害を与えることです。たとえば、信頼されているベンダーが顧客の社会保障番号をダーク Web で売ることや、顧客に関するインサイダー情報を使って自分で事業を始めることが考えられます。
-
自然災害
自然災害は予期できないこともあるため、万一に備えてデータを保護できるように前もって準備しておくことが賢明です。台風、地震、洪水など、どのような大災害に対しても、データを別の場所にバックアップしておくことは事業継続計画の実施に役立ちます。
データ セキュリティのテクノロジ
データ セキュリティのテクノロジは、より完全に近いデータ セキュリティ戦略の鍵となる構成要素です。さまざまなデータ損失防止ソリューションが提供されており、内外のアクティビティを検出すること、疑わしいまたは高リスクのデータ共有行動を阻止すること、および機密データに対するアクセスを制御することに役立っています。次のようなデータ セキュリティ テクノロジを導入することは、機密データが知らないうちに流出するのを防ぐのに役立ちます。
データ暗号化。暗号化とはデータをコードに変換することであり、データが保存中か移動中かを問わずこれを使用していれば、権限のないユーザーがファイルの保存場所へのアクセスを獲得した場合でも内容の閲覧を防止することができます。
ユーザーの認証と認可。ユーザー資格情報を検証し、アクセス特権の割り当てと適用が正しいことを確認します。ロールベースのアクセス制御を組織に導入すると、アクセス権を必要とする人に限定してアクセスを許可することができます。
インサイダー リスク検出。内部関係者のリスクまたは脅威を示している可能性のあるアクティビティを特定します。データ使用のコンテキストを理解して、特定のダウンロード、組織外部へのメール、および名前が変更されたファイルが疑わしい行動を示しているときに、そのことを知ることができます。
データ損失防止ポリシー。データをどのように管理して共有するかを定義するポリシーを作成して施行します。データの漏洩や盗難を防ぐために、さまざまなアクティビティについて、どのユーザー、アプリケーション、環境を許可するかを指定します。
データ バックアップ。組織のデータをそのままコピーしてバックアップしておくと、ストレージの障害、データ侵害、あるいは種類を問わず災害が発生した場合に、権限のある管理者が復元できるようになります。
リアルタイムのアラート。潜在的なデータ悪用についての通知を自動化しておき、セキュリティの問題の可能性のあるものについてアラートを受け取るようにしておくと、これらが組織のデータ、評判、従業員と顧客のプライバシーに悪影響を与える前に気づくことができます。
リスク評価。従業員、ベンダー、請負業者、パートナーが組織のデータとセキュリティ実践方法についての情報を持っていることを理解しましょう。悪用されるのを防ぐには、組織がどのようなデータを保有しており、組織内でどのように使用されているかを知る必要があります。
データ監査。データの保護、正確性、アクセス可能性などの主な懸念事項に対処するために、定期的なスケジュールでデータ監査を実施します。組織のデータを誰が使用しているか、およびどのように使用されているかを知ることができます。
データ セキュリティ管理戦略
データ セキュリティ管理戦略には、データの安全とセキュリティを強化するためのポリシー、手順、ガバナンスが含まれます。
-
パスワード管理のベスト プラクティスを実行する
使いやすいパスワード管理ソリューションを導入する。付箋やスプレッドシートは不要になり、独自のパスワードを記憶しておくという従業員にとっての負担もなくなります。
パスワードの代わりにパスフレーズを使用する。パスフレーズは従業員にとっては覚えやすく、サイバー犯罪者にとっては推測が難しくなる可能性があります。
2 要素認証 (2FA) を有効化する。2FA が導入されていれば、パスフレーズまたはパスワードが流出した場合でもログイン セキュリティが保たれます。第 2 のデバイスに届けられる追加コードがなければ、権限のないユーザーはアクセスできないからです。
侵害発生後にパスワードを変更する。変更の頻度が高いと、時とともにパスワードが弱くなっていくと考えられています。
パスフレーズやパスワードを再利用しない。いったん侵害されてしまうと、多くの場合は他のアカウントへの侵入にも使用されます。 -
防御計画を作成する
機密データを保護する。データの検出と分類を大規模に行うことで情報の量、種類、場所を理解します。情報がどこに存在するかにかかわらず、そのライフサイクル全体でこれを行います。
インサイダー リスクを管理する。ユーザー アクティビティとデータの使用意図を理解します。データ セキュリティ インシデントにつながる可能性のある、潜在的に高リスクのアクティビティを特定するためです。
適切なアクセス制御とポリシーを確立する。機密データの不適切な保存、保管、印刷などの行為を防止するためです。
-
データのセキュリティ保護のために暗号化を使用する
データを暗号化すると、権限のないユーザーは機密データを読めなくなります。組織のデータ環境へのアクセスを獲得した場合や、転送中のデータを見ることができた場合でも、そのデータは簡単に読んで理解できるわけではないため、悪用することはできません。
-
ソフトウェアとセキュリティの更新プログラムをインストールする
既知の脆弱性はサイバー犯罪者による機密情報の窃盗に悪用されることがよくありますが、ソフトウェアとセキュリティの更新プログラムによってこれに対処します。定期的な更新をインストールすることは、このような脆弱性に対処してシステムを侵害から守るのに役立ちます。
-
データ セキュリティについて従業員をトレーニングする
組織のデータの保護を IT 部門任せにしてはなりません。従業員がデータの開示、盗難、破損を認識できるようにトレーニングすることも必要です。データ セキュリティのベスト プラクティスは、オンラインのデータだけでなく紙に印刷されたデータについても意味を持ちます。正規のトレーニングは四半期ごと、半年ごと、年 1 回など、定期的に行う必要があります。
-
リモート ワークのためのセキュリティ プロトコルを実装する
リモート従業員用のセキュリティ プロトコルを実装するには、初めに組織のポリシーと手順を明確にします。これには一般的に、必須のセキュリティ トレーニングが含まれます。また、どのソフトウェア アプリケーションをどのように使用することが許容されるかを指定します。プロトコルには、従業員が使用するすべてのデバイスをセキュリティで保護するためのプロセスも含まれている必要があります。
規制とコンプライアンス
組織はデータ保護に関連する標準、法律、規制に従う必要があります。これに含まれるものとしては、必要な情報だけを顧客または従業員から収集し、これを安全に保管し、適切に廃棄することが挙げられますが、これに限定されるわけではありません。プライバシー関連の法律の例としては、EU の一般データ保護規則 (GDPR) や、米国の医療保険の携行性と責任に関する法律 (HIPAA)、カリフォルニア州消費者プライバシー法 (CCPA) があります。
GDPR はデータ プライバシーとセキュリティに関する法律の中で最も厳格です。欧州連合 (EU) によって法案が作られ可決されましたが、全世界の組織が対象であり、EU 域内の市民または住民をターゲットとする、またはこれらの人々から個人データを収集する、またはこれらの人々に商品やサービスを提供する場合は、これに従うことが義務付けられます。
米国の HIPAA (医療保険の携行性と責任に関する法律) の目的は、患者の健康情報が、その患者による認知または同意なく開示されることの防止です。HIPAA プライバシー ルールは個人の健康情報を安全に守るものであり、HIPAA の要件を実施するために発行されました。HIPAA セキュリティ ルールの目的は、医療提供者が電子的に作成、受領、維持、または伝送する、特定可能な健康情報を保護することです。
CCPA は、カリフォルニア州の消費者のプライバシーに関する権利を守ることを目的とするものであり、これに含まれるものとしては、収集される個人情報について、およびそれがどのように使用されて共有されるかについて知る権利や、自分から収集された個人情報を削除する権利、および自分の個人情報の販売からオプトアウトする権利があります。
データ保護責任者 (DPO) はリーダーシップに属する役割の 1 つであり、コンプライアンスを常時把握します。また、組織による個人情報の処理が確実にデータ保護関連法に従うようにするための活動を行います。たとえば、どのようにしてコンプライアンスを保つかをコンプライアンス チームに助言し、組織内のトレーニングを実施し、規則や規制への違反を報告します。
遵守違反が原因でデータ侵害が発生すると、多くの場合は組織が巨額の損害を被ることになります。その結果として、なりすまし、生産性の低下、顧客離れなどが起きます。
まとめ
データ セキュリティとデータ セキュリティ管理は、お客様のデータに対する脅威を特定して評価することと、規制要件に従うこと、およびデータの整合性を保つことに役立ちます。
必ず、データを頻繁にバックアップし、バックアップのコピーを遠く離れた場所に保管し、データ セキュリティ管理戦略を確立し、強力なパスワードまたはパスフレーズと 2FA を実施してください。
データをそのライフサイクル全体にわたって保護する手段を講じ、データがどのように使用されているかを理解し、データ漏洩を防止し、データ損失防止のポリシーを作成することは、お客様の組織内に強力な防御を築くための柱となります。
データ セキュリティの手順とツールを使ってお客様のデータをクラウド、アプリ、エンドポイントのすべてにわたって安全に守る方法を学びましょう。
よく寄せられる質問
-
データ セキュリティは、機密データをそのライフサイクル全体にわたって保護することと、ユーザー アクティビティおよびデータのコンテキストを理解すること、および無許可でのデータの使用を防止することに役立ちます。そのためには、自分がどのようなデータを保有していてそれがどこにあるかを知ることと、そのデータに対する脅威を特定することが必要です。
-
データ セキュリティの種類は次のとおりです。
- アクセス制御: オンプレミスとクラウドベースのデータに対してログイン資格情報を必須にします。
- ユーザーの認証: パスワード、アクセス カード、または生体認証を介して行います。
- バックアップと回復: システム障害、データの破損、または災害の発生後もデータにアクセスできるようにします。
- データ回復性: ディザスター リカバリーと事業継続に対する先回り型アプローチの 1 つです。
- データ消去: データを適切に廃棄して復旧不可能にします。
- データ マスキング ソフトウェア: 代替文字を使用して文字や数字を隠し、権限のないユーザーからは見えないようにします。
- データ損失防止ソリューション: 機密データの無許可使用に対して防御します。
- 暗号化: 権限のないユーザーがファイルを読めないようにします。
- 情報保護: ファイルやドキュメントの中の機密データを分類するのに役立ちます。
- インサイダー リスク管理: リスクの高いユーザー アクティビティを緩和します。
-
データ セキュリティの例としては、テクノロジを使用して組織内のどこに機密データが存在するかを知ることと、そのデータがどのようにアクセスされて使用されているかを知ることが挙げられます。
-
データ セキュリティが重要であるのは、お客様の組織がサイバー攻撃、内部関係者による脅威、人的エラーなど、データ侵害につながるものに対して防御するのに役立つからです。
-
データ セキュリティにおける 4 つの重要点とは、秘密性、整合性、可用性、コンプライアンスです。
Microsoft 365 をフォローする