最終的に死守すべき「データ」のセキュリティをいかに担保するか
前述したような状況を改善するためには、どのような課題を乗り越えなければいけないのか。柿澤氏は、限られた予算や人員を使って最大の効果を上げるために、まずは「何を守るべきかを明確化することが大切」だと指摘する。
「実にさまざまなセキュリティソリューションが存在しますが、『最終的に何を守らなければならないのか』を明確化した上で、その部分に対して重点的に対策を施すことが最も効果的です。そのように考えた場合、企業が失いたくないもの、そして攻撃者が最も盗み出したいものは言うまでもなく『データ』でしょう。したがって、“データそのもの”を守るデータセキュリティの優先度を上げるべきです」
とはいえ、世に知られているセキュリティ製品の多くはネットワーク型のものが多く、近年ではEDRなどエンドポイントセキュリティ製品も注目を集めているものの、データベース上に保管されているデータそのものを直接的に守るソリューションにはあまり注目されてこなかった。こうした実情について、同社 データセキュリティスペシャリスト 小野寺誠氏は次のように述べる。
「私自身、長らくデータベースの専門家としてキャリアを積み重ねてきましたが、概してデータベースエンジニアは、最新のテクノロジーの取り込み、性能チューニング、運用高度化などの取り組み、データ連携、ACLの設定管理などが業務の中心だと思います。一部のユーザーは、セキュリティ高度化も兼ねて、データガバナンスの高度化に取り組まれていると思いますが、データベースへの攻撃を想定し、そこにどう対応していくのかを検討している企業は限定的だと考えています。現状、顧客サービスを提供する最重要システムのデータのみを保護する手段として検討導入されるケースが多いですが、顧客サービスから情報系・分析系まで、エンドツーエンドでの顧客データのフローに対してセキュリティ対策を実施するケースは、それほど多くはありません。まずは、組織横断的にデータベース環境の棚卸・可視化を実施し、本格的な“全社規模でのデータセキュリティ”への取り組みが求められていると考えています」
このように依然としてデータセキュリティの認知度や優先度が高まらない理由の一つとして、伊藤氏は先に挙げた「データの在り処の散在」の問題とともに、「セキュリティの“管轄”の散在」という観点を挙げる。
「データに対する不正アクセスやサイバー攻撃への対処を担うのはIT部門ですが、データのコンプライアンスに関して責任を負うのは法務部門になりますし、データのプライバシーにまつわる問題はビジネス部門の所管になります。このように一口にデータセキュリティと言っても情報セキュリティとコンプライアンス、プライバシーのそれぞれで所管が異なるため、全社的な取り組みに発展しにくいという実情もあります」
時代の要請に応える「DSF(Data Security Fabric)」とは
こうした課題を克服して企業や組織が安心してデータ活用に取り組めるよう、Impervaではデータセキュリティソリューションに力を入れている。同社はこれまでWAF(Web Application Firewall)のベンダーとして広く知られており、現在も同領域においてトップクラスのシェアを誇るが、今日ではデータセキュリティ製品のベンダーとしても存在感を増しつつある。日本市場ではWAF関連製品の売り上げが約8割を占めるが、既に欧米市場ではWAF関連製品とデータセキュリティ製品の売り上げが半分ずつの状況にあるという。
実は同社のデータセキュリティソリューションの歴史は古く、10年以上前から取り組んではいるものの、これまでWAFベンダーとしての知名度が圧倒的に勝っていたこともあり、大きく注目を集めにくい状況があった。しかしながら、いまや世界中の企業がDXに取り組み、それにともないデータ活用にまつわる課題が次々と顕在化するようになった結果、同社のデータセキュリティソリューションが注目を集めているのだ。
具体的にImpervaは、異なるデータベースを一元的に管理することができる「Database Activity Monitoring(DAM)」、データに対する不正アクセスやコンプライアンス違反などを検知する「Data Risk Analytics(DRA)」、データベースに対するアクセス制御を行う「Database Firewall(DBF)」といった製品を提供している。
既に欧米を中心に多くの企業がこれらの製品を導入し、データセキュリティを強化している。その一方でここ数年、オンプレミス環境のデータベースだけでなく、クラウドのデータベースサービスにも多くのビジネスデータが配置されるようになっており、これらも含めたデータの監視やアクセス制御を一元的に行いたいというニーズが増えてきた。
そこでImpervaがこうしたニーズに応えるために2022年4月にリリースしたのが、「Data Security Fabric(DSF)」と呼ばれる新ソリューションだ。これはオンプレミスの異機種データベースはもちろん、パブリッククラウド上のさまざまなデータベースサービスも含めた多種多様なデータソースを統合的に管理できるようにするもの。たとえば、Oracle DatabaseとIBM Db2などオンプレミス環境上で稼働するさまざまなデータベース、そしてAmazon RDSやAzure SQL Blob Storageなど各クラウドサービス上で稼働するデータベースサービスを、まとめて単一の管理コンソール上で管理できる。
