ガートナージャパン(Gartner)は、新しい時代の情報漏えい対策に不可欠な6つの要素を発表した。
企業がデータ活用をセキュアなものにし、競争力のある未来を目指すには、次の6つの要素を押さえた情報漏えい対策の推進が重要だという。
①情報漏えい対策の知見
国内では今まで多くの企業が境界型セキュリティの施策を取っていたため、セキュリティ部門やシステム・インテグレーター(SI)企業にはデータ・セキュリティについての実務経験者がいないなど、セキュリティの知見がサイバーセキュリティに偏っているような現状が見られるという。セキュリティの範囲は広いため、サイバーセキュリティに詳しい担当者が必ずしもデータ・セキュリティに明るいわけではないという点を認識する必要があるとしている。
実務経験者が少ない企業では、リアリティのある運用をイメージするのが難しい場合がある。新しい時代の情報漏えい対策の知見を得るために、公開事例に頼らず先進的な取り組みを行っている企業に自らインタビューを実施するなど、新しい情報収集方法の実践が重要だという。
②情報漏えい対策のフィロソフィ(コンセプト)
企業はセキュリティの境界を定め、ユーザーは境界中では自由にデータにアクセスし分析できた。しかしこれでは情報を外へは持ち出せないため、クラウドの利用や外部との共有が思うようにできず、企業が目指すデジタル時代の姿と大きく乖離してしまうことになるという。境界型セキュリティ、つまりデータの保護をネットワークやシステムといった大きな単位で行うのではなく、ユーザー、データの種類、ユーザーの作業範囲などの小さな単位で暗号化や権限付与を行うことが求められているとのことだ。
「境界を作って自由にアクセス」できる環境から、アクセスできる人および操作できる内容を限定する「情報漏えい対策に向け過剰なアクセス権の付与をなくす」ことへ、セキュリティのフィロソフィを大転換することが重要であり、加えて従業員が生成AIなどを本格利用する前に大々的に周知することが重要だとしている。
③情報漏えい対策の責任の所在
情報が漏えいして困るのは、企業の経営陣だけではなく、ユーザー部門も取引先や顧客の情報には責任をもっており、何かあった場合にはそれを伝える説明責任がある。境界型セキュリティの時代に企業のセキュリティがインフラ・セキュリティに大きく依存していたことなどから、情報漏えいの責任は経営あるいはIT/セキュリティ部門であると誤解しているユーザーが多く存在するという。セキュリティ部門は、ルール制定やテクノロジーの評価に責任を持つものの、ビジネス上必要なデータを使う上でデータ保護/アクセス管理を行い、情報が漏えいしないようにする責任はユーザー部門にもあることを、今一度周知しておく必要があるとしている。
④データ・マップの作成
データの生成場所/保存場所/所有者、そしてそのデータの重要度と使用者を示すデータ・マップを作成することが重要だという。データ・マップを作成する際は、どのデータがそのビジネスにとって重要なのか、そのユーザーはそのデータを本当に扱う必要があるのかなど、様々な観点を踏まえて作成する必要があるとしている。
⑤テクノロジーの評価と活用
データ保護に際しては、データの分類/検出、データ暗号、ファイル保護、権限管理など様々な種類のテクノロジーが用いられることになる。しかし、これらは決して新しいものではなく、これまでにもあるもの。「どんな保護テクノロジーがあるのか」という議論は収束しつつあり、現在は「どのように実装するか」といった点に検討の重心が移動しつつあるという。
テクノロジーを評価する際は、機能面の評価だけでなく、「ユーザーにとって使いやすいものなのか」という運用面の評価にも十分な時間を費やすことが重要だという。また、新しいものとしてはデータ・セキュリティ・ポスチャ・マネジメント(Data Security Posture Management)など、リスクの変動を分析できるようなものが検討できるようになったが、過度に依存しすぎず冷静に評価する必要があるとしている。
⑥ユーザーのリテラシー向上
情報漏えい対策に関するルールは、データ分析に用いるツールや取り扱うデータの種類によって様々。ユーザーもそうした状況に応じて適切なルールを適用する必要があるが、セキュリティのリテラシーは一定ではなく、高い人もいれば低い人もいる。戦略的な業務や重要データを扱うケースについては、ユーザーのルール遵守の促進のために、セキュリティ部門のほうでユーザーのデータの使い方を積極的に理解し、セキュリティのマニュアルにこれまで以上にリアリティを持たせることが肝要だとしている。
【関連記事】
・サイオステクノロジー、データマネジメントやガバナンスを一貫して支援するサービス開始 AI利活用促進へ
・AIガバナンス協会が一般社団法人化 今後はより政策関係当局との連携を強化へ
・デロイト トーマツ、福島県郡山市にサイバーセキュリティ運用の拠点を開設 企業のSIRT運用などを支援