EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

デジタルシフトの成功を支えるセキュリティ――データ基盤構築ステップとCISOの役割 マクニカネットワークス株式会社 星野 喬氏 講演

edited by Security Online   2021/04/14 08:00

EC 電子商取引とセキュリティ

 ECにおけるセキュリティは、新型コロナウイルスの影響を受けて加速した市場です。これまでリアルな取引では、商品を確認し対面で取引をし、店舗という場所が売上に大きく影響する、また店舗での接客・サービスがお客様の満足度に直結する世界でした。ECはECサイト上で商品を確認し、取引もサイト上で行います。店舗の場所は問わない。その代わりに店舗ではなかった新しい価値が生まれます。つまり安全な取引や円滑な発送ということです。

 一方、ECはこれまでリアル店舗ではなかったリスクが存在します。クレジットカード番号やアカウント情報を盗まれる被害や、サービス停止、レスポンス悪化でECが成り立たなくなる被害、またオンライン不正利用(チャージバック)があります。犯罪者に商品を盗られ、売上も商品も帰ってこないEC加盟店の二重苦になる被害も増えています。

 これらに対応するセキュリティソリューションの必要があります。このセキュリティ投資は防盗のコストや防御という側面はありますが、むしろECを展開することでお客様に新しい価値や信頼を獲得するためのセキュリティ投資として考えられると思います。

[クリックして拡大]

 お客様情報を盗む攻撃に対して、Webアプリケーションセキュリティの観点でさまざまな領域に対応するソリューションが必要です。またサービス停止やレスポンス悪化に関しては不正な大量のトラフィックからのサービス保護が求められます。オンラインの不正利用に関してはユーザーと犯罪者を識別して詐欺を防止するソリューションが必要です。

データドリブンとセキュリティ

 DXにむけて多くの企業・組織が取り組み始めているのが、データを可視化、分析して、費用対効果の高い活動を策定するデータドリブンによるビジネスです。これまで事業の意思決定は取締役会などで行われましたが、データドリブンを推進することで、営業部門ではデータに基づいた最適な営業戦略を策定でき、マーケティング部門では費用対効果を最大にする施策やその活動の効果測定がデータを使って簡単にできます。また開発部門はユーザーの満足や要望を活かした製品開発が可能です。データドリブンを推進するためには、データのデジタル化の推進力を向上させる必要があります。またデータドリブンを推進する原動力となるテクノロジープラットフォームが重要です。

 データドリブンを実現するためのテクノロジープラットフォームには3つの要素が求められます。1つ目がデータの利活用を効果的に推進できる基盤の構築です。2つ目がデータプラットフォームの最適な運用、3つ目がさまざまなパートナーとの共創を視野に入れた基盤構築と運用です。これにはセキュリティの概念も入ってきます。

 テクノロジープラットフォームのセキュリティはデジタル化の推進力となる投資であり、セキュリティがあるからデータドリブンに踏み切れるという意味でも原動力になると考えます。

データ基盤構築ステップ

[クリックして拡大]
  1. 収集
    「構造データ」いわゆるデータベースのみならず、パワーポイントやアプリケーションのデータのような非構造のデータを含む全てのデータをさまざまな場所から収集し、メタデータを付与して、管理していきます。
  2. 分類
    データの種類や目的に応じて適切に分類する、こちらでは機械学習や正規表現が利用されます。
  3. クレンジング
    データは重複や類似データがあると正しい分析結果を得られないケースもあり、重複や類似したデータを可視化して削除してデータを整理します。
  4. 相関分析
    紐づけ、意味づけされた横断的データから分析、推論を実施ができるプロセスです。

 データ基盤構築のステップにおけるセキュリティをみていきます。ポイントはリスクの可視化、法令順序、情報漏えい対策です。

 収集ステップではメタデータにセキュリティの情報が付与されています。アクセス権、編集権限や暗号化の保存先という情報です。これらの情報が正しく収集されているか確認をしなければいけません。

 分類ステップはデータを目的や種別に応じて分類しますが、セキュリティの観点でも、たとえば個人情報や法規制、業界基準などに沿ったカテゴリーで分類をする必要があります。

 クレンジングステップでは収集されたメタデータが一部足りない、事業部門ごとにポリシーが異なる場合など、これを再度付与し直しポリシーを統一して、セキュリティ情報をクレンジングしていきます。

 相関分析ステップでは個人情報を利活用する場合など、削除依頼などに対し、インベントリーを作成し、レポートをテンプレート化することによって対応を迅速に行うことができます。

 データ分析の基盤構築が終わった後にセキュリティを検討するのではなく、同じプロセスを踏む必要があるということです。セキュリティを後回しにすると二重のコストがかかります。

データプラットフォームの最適な運用

[クリックして拡大]

 データプラットフォームは情報が集約されているので漏えい時のリスクはこれまで以上に高まります。事業で使うものですから利便性は維持しなければなりません。利便性を保ちながら情報保全、データガバナンスを実現できる必要があります。これらを支援するソリューションを3つ紹介します。

 その1つは「権限管理」です。これまで権限は会社に入社すると自動的、永久的に付与されたり、所属で自動的に付与されたりしていました。データプラットフォーム上の権限は事業が立ち上がれば必要、取りやめになれば不要ということで、一時的に付与します。また役割に応じて付与します。従前よりもダイナミックで柔軟に権限を管理していくイメージです。

 「アクセス制御」は、今まで基本アクセスは社内から社内でしたが、これからは社外からのアクセスや個人の持っている別の端末でアクセスするケースも出てきます。より細分のルール、ポリシーを決めることや個人単位で制御するコンセプトも非常に重要になります。

 「行動監視」はこれまではプラットフォームのアクセスログを取っておくことや禁止されているアクションをブロックする、USBに書き込むようなことをブロックする「点をブロックする」イメージでした。今後求められるのは「線で防ぐ」イメージです。通常の正常な行動を把握して、そこから逸脱した時にアラートするアプローチがデータプラットフォーム周りのセキュリティとして有効です。

 深夜にデータプラットフォームにアクセスして閲覧しているが、コピー&ペーストを繰り返し、複数のエクセルファイルをメールで外に送っている、しかも送付先がGmailである。このプロセスを点で見るとセキュリティ違反は全くないですが、明らかに普段と違う行動です。こういう行動を閲覧することによって内部不正なども迅速に検知することができます。情報が集約されているのでリスクが高まるデータプラットフォームに対してこうした運営をすることでセキュリティを保つ考え方です。

パートナー共創基盤

[クリックして拡大]

 データドリブンの三番目はパートナー共創基盤です。近年SDGsでも提唱されていますが、今まで競合関係だった企業、組織と共創活動をする。自社の組織能力とパートナーが保有している組織能力をかけあわせて共創活動し、新しい価値やビジネスを作ってくと言うものです。そこで注目されているのが自社の事業で得られた情報資産とパートナーの事業で得られた情報資産をかけあわせ、データプラットフォームでこの新しい共創を加速させていくという考え方です。
一方で検討、考慮するポイントが存在します。一つは法令遵守です。個人情報は共創パートナーと言っても他社なので簡単に提供することができない。また一方で競合してしまうケースは共創活動でも残っている状況で、全てのデータは開示できないことも起こります。この分野においても、新しいテクノロジーが出てきています。

 Maskingは、機密情報から特定可能な情報を削除し、または変更するような匿名化の技術、Tokenizationは機密情報をトークンと呼ばれるランダムデータに置き換えて保存利用する技術、そしてHomomorphic encryption という技術は暗号化したまま計算できる技術です。これらのセキュリティ機能の技術を使うことによって共創活動を加速することができます。


著者プロフィール

バックナンバー

連載:【MET2020】Macnica Exponential Technology 2020 レポート
All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5