データ活用の進展とともに高まる「データセキュリティ」のリスク
DX実現のためには、何より「データの利活用」が重要だと言われる。さまざまな顧客チャネルやIoTデバイスなどを通じて大量のデータを収集・管理し、AIを活用した高度な分析を施すことで、これまでにない新たな気付きを得たり、あるいは将来動向を予測したりして、確度の高い事業計画を策定できるなど、適切な打ち手をタイムリーに打つことが可能だ。こうした、「データドリブン経営」の実現を目指し、現在多くの企業がさまざまな手段を通じてデータを収集・管理している。
しかしながら、大量のデータを収集・管理することはビジネス上のさまざまなメリットと同時に、潜在的なセキュリティリスクを抱え込むことにもつながりかねない。Imperva Japan(以下、Imperva) 代表執行役社長 柿澤光郎氏は、データを取り巻くリスクについて次のように警鐘を鳴らす。
「2022年には世界中で約97ゼタバイトのデータが収集され、2023年には120ゼタバイトまで増えると予想されています。企業が収集・管理するデータが増えるに従い、それらが漏えいするリスクも年々高まっており、セキュリティインシデントの発生規模や当局から課せられる罰金の額も増加傾向にあります。つまり、データを活用すると同時に、それらをより強固に守る取り組みが求められています」
しかしながら、企業における実態は「これからはデータが重要だ」と言い募る一方で、そのセキュリティ対策については十分な意識が払われてこなかったと柿澤氏は指摘する。2014年~2015年頃に日本の大企業で顧客情報の漏えい事故が発生して高い関心を集めたように、大きなインシデントが発生すると一時的にセキュリティ対策への投資意欲が高まるものの、やがて熱が冷めて投資の優先順位が下がってしまうということが繰り返されてきた。
堂々巡りする一方で、企業が抱え込むデータの収集・管理の在り方も年々複雑度を増しており、アーキテクチャや運用面から見ても明らかにセキュリティリスクは高まっている。オンプレミス環境を例にとっても、多種多様なアプリケーションとそのデータベース上にデータが散在している。さらに、近年ではシステムをクラウド上に構築したり、SaaSアプリケーションを業務で利用したりすることが当たり前となっており、データがより複雑化。加えて、複数のクラウドを使い分けるマルチクラウド環境となると、実に多種多様なデータソースに分散するなど一筋縄ではいかない。
同社シニアセールスエンジニア 伊藤秀弘氏はこうした状況について、「オンプレミスとクラウドにまたがる多種多様なデータソースを管理するためには、それぞれ異なる知識やノウハウが必要です。そのため、多くの企業ではすべてを漏れなく管理するための十分な人員やスキルを確保できないのが現状でしょう。特にクラウド上のデータサービスは技術トレンドの変遷が早いため、キャッチアップできずにいます」と語る。
最終的に死守すべき「データ」のセキュリティをいかに担保するか
前述したような状況を改善するためには、どのような課題を乗り越えなければいけないのか。柿澤氏は、限られた予算や人員を使って最大の効果を上げるために、まずは「何を守るべきかを明確化することが大切」だと指摘する。
「実にさまざまなセキュリティソリューションが存在しますが、『最終的に何を守らなければならないのか』を明確化した上で、その部分に対して重点的に対策を施すことが最も効果的です。そのように考えた場合、企業が失いたくないもの、そして攻撃者が最も盗み出したいものは言うまでもなく『データ』でしょう。したがって、“データそのもの”を守るデータセキュリティの優先度を上げるべきです」
とはいえ、世に知られているセキュリティ製品の多くはネットワーク型のものが多く、近年ではEDRなどエンドポイントセキュリティ製品も注目を集めているものの、データベース上に保管されているデータそのものを直接的に守るソリューションにはあまり注目されてこなかった。こうした実情について、同社 データセキュリティスペシャリスト 小野寺誠氏は次のように述べる。
「私自身、長らくデータベースの専門家としてキャリアを積み重ねてきましたが、概してデータベースエンジニアは、最新のテクノロジーの取り込み、性能チューニング、運用高度化などの取り組み、データ連携、ACLの設定管理などが業務の中心だと思います。一部のユーザーは、セキュリティ高度化も兼ねて、データガバナンスの高度化に取り組まれていると思いますが、データベースへの攻撃を想定し、そこにどう対応していくのかを検討している企業は限定的だと考えています。現状、顧客サービスを提供する最重要システムのデータのみを保護する手段として検討導入されるケースが多いですが、顧客サービスから情報系・分析系まで、エンドツーエンドでの顧客データのフローに対してセキュリティ対策を実施するケースは、それほど多くはありません。まずは、組織横断的にデータベース環境の棚卸・可視化を実施し、本格的な“全社規模でのデータセキュリティ”への取り組みが求められていると考えています」
このように依然としてデータセキュリティの認知度や優先度が高まらない理由の一つとして、伊藤氏は先に挙げた「データの在り処の散在」の問題とともに、「セキュリティの“管轄”の散在」という観点を挙げる。
「データに対する不正アクセスやサイバー攻撃への対処を担うのはIT部門ですが、データのコンプライアンスに関して責任を負うのは法務部門になりますし、データのプライバシーにまつわる問題はビジネス部門の所管になります。このように一口にデータセキュリティと言っても情報セキュリティとコンプライアンス、プライバシーのそれぞれで所管が異なるため、全社的な取り組みに発展しにくいという実情もあります」
時代の要請に応える「DSF(Data Security Fabric)」とは
こうした課題を克服して企業や組織が安心してデータ活用に取り組めるよう、Impervaではデータセキュリティソリューションに力を入れている。同社はこれまでWAF(Web Application Firewall)のベンダーとして広く知られており、現在も同領域においてトップクラスのシェアを誇るが、今日ではデータセキュリティ製品のベンダーとしても存在感を増しつつある。日本市場ではWAF関連製品の売り上げが約8割を占めるが、既に欧米市場ではWAF関連製品とデータセキュリティ製品の売り上げが半分ずつの状況にあるという。
実は同社のデータセキュリティソリューションの歴史は古く、10年以上前から取り組んではいるものの、これまでWAFベンダーとしての知名度が圧倒的に勝っていたこともあり、大きく注目を集めにくい状況があった。しかしながら、いまや世界中の企業がDXに取り組み、それにともないデータ活用にまつわる課題が次々と顕在化するようになった結果、同社のデータセキュリティソリューションが注目を集めているのだ。
具体的にImpervaは、異なるデータベースを一元的に管理することができる「Database Activity Monitoring(DAM)」、データに対する不正アクセスやコンプライアンス違反などを検知する「Data Risk Analytics(DRA)」、データベースに対するアクセス制御を行う「Database Firewall(DBF)」といった製品を提供している。
既に欧米を中心に多くの企業がこれらの製品を導入し、データセキュリティを強化している。その一方でここ数年、オンプレミス環境のデータベースだけでなく、クラウドのデータベースサービスにも多くのビジネスデータが配置されるようになっており、これらも含めたデータの監視やアクセス制御を一元的に行いたいというニーズが増えてきた。
そこでImpervaがこうしたニーズに応えるために2022年4月にリリースしたのが、「Data Security Fabric(DSF)」と呼ばれる新ソリューションだ。これはオンプレミスの異機種データベースはもちろん、パブリッククラウド上のさまざまなデータベースサービスも含めた多種多様なデータソースを統合的に管理できるようにするもの。たとえば、Oracle DatabaseとIBM Db2などオンプレミス環境上で稼働するさまざまなデータベース、そしてAmazon RDSやAzure SQL Blob Storageなど各クラウドサービス上で稼働するデータベースサービスを、まとめて単一の管理コンソール上で管理できる。
マルチ/ハイブリッドクラウドの複雑な環境下でも一元管理
DSFの大まかな仕組みは次の通り。オンプレミスのデータベース環境には専用のエージェントソフトウェアを導入してログのデータを収集。専用のゲートウェイを経由して「Data Security Fabric Hub」と呼ばれるデータベースに送信して集約する。一方、クラウドのデータベースサービスに関してはエージェントソフトウェアを別途導入する必要はなく、各サービスが元々持っている監査ログ機能を有効化してログを取得。その上で同じくゲートウェイを通じ、Data Security Fabric Hub上に送信・集約する。
本来はバラバラに存在し、かつログのフォーマットも異なる多種多様なデータソースのログを単一のDWH(データウェアハウス)上に集約し、その内容を単一のコンソール上で統合的に可視化するだけでなく、セキュリティイベントを監視したりアラートを発行したりできる。小野寺氏は「異なるデータソースのログを平準化して統合的に監視できるとともに、内部犯行対策のソリューションをもあわせ持つベンダーは、今のところImperva以外にないと自負しています」と語り、DSFの先進性を強調する。
実際にDSFを導入したことで、既に成果を上げている有名企業も多い。たとえば、ノンフィクションテレビ番組「ディスカバリーチャンネル」「アニマルプラネット」などでおなじみの米Discovery社は、DSFを導入することでオンプレミスとクラウドが混在するハイブリッドクラウド環境において、統合的なデータコンプライアンス管理を実現した。
また、北米に拠点を置く大手損害保険会社では、元々「IBM Guardium Database Activity Monitoring(DAM)」を用いてデータコンプライアンス管理を行ってきたが、DSFを追加導入している。DAMとの連携により、強固なデータセキュリティとデータコンプライアンスを実現するとともに、管理工数の大幅な低減を実現している。
Impervaでは今後、こうした先行事例で得た知見やノウハウを生かしながら、日本企業に対してさらにデータセキュリティの重要性とDSFの導入効果を訴求していきたいという。
「オンプレミスとクラウドの両方にわたり統合的にデータを守れるソリューション、特にマルチクラウドにも対応している製品は当社しかないと自負しています。現在、日本のお客様への対応品質をさらに向上させるべく、技術サポートやプリセールス、ポストセールスなどの体制を強化していますので、さらに多くのお客様にソリューションの価値を提供していきたいと考えています」