SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZineニュース

AI時代の情報漏えいリスク対策に不可欠な「6つの要素」【Gartner発表】

 ガートナージャパン(Gartner)は、新しい時代の情報漏えい対策に不可欠な6つの要素を発表した。

 企業がデータ活用をセキュアなものにし、競争力のある未来を目指すには、次の6つの要素を押さえた情報漏えい対策の推進が重要だという。

①情報漏えい対策の知見

 国内では今まで多くの企業が境界型セキュリティの施策を取っていたため、セキュリティ部門やシステム・インテグレーター(SI)企業にはデータ・セキュリティについての実務経験者がいないなど、セキュリティの知見がサイバーセキュリティに偏っているような現状が見られるという。セキュリティの範囲は広いため、サイバーセキュリティに詳しい担当者が必ずしもデータ・セキュリティに明るいわけではないという点を認識する必要があるとしている。

 実務経験者が少ない企業では、リアリティのある運用をイメージするのが難しい場合がある。新しい時代の情報漏えい対策の知見を得るために、公開事例に頼らず先進的な取り組みを行っている企業に自らインタビューを実施するなど、新しい情報収集方法の実践が重要だという。

②情報漏えい対策のフィロソフィ(コンセプト)

 企業はセキュリティの境界を定め、ユーザーは境界中では自由にデータにアクセスし分析できた。しかしこれでは情報を外へは持ち出せないため、クラウドの利用や外部との共有が思うようにできず、企業が目指すデジタル時代の姿と大きく乖離してしまうことになるという。境界型セキュリティ、つまりデータの保護をネットワークやシステムといった大きな単位で行うのではなく、ユーザー、データの種類、ユーザーの作業範囲などの小さな単位で暗号化や権限付与を行うことが求められているとのことだ。

 「境界を作って自由にアクセス」できる環境から、アクセスできる人および操作できる内容を限定する「情報漏えい対策に向け過剰なアクセス権の付与をなくす」ことへ、セキュリティのフィロソフィを大転換することが重要であり、加えて従業員が生成AIなどを本格利用する前に大々的に周知することが重要だとしている。

③情報漏えい対策の責任の所在

 情報が漏えいして困るのは、企業の経営陣だけではなく、ユーザー部門も取引先や顧客の情報には責任をもっており、何かあった場合にはそれを伝える説明責任がある。境界型セキュリティの時代に企業のセキュリティがインフラ・セキュリティに大きく依存していたことなどから、情報漏えいの責任は経営あるいはIT/セキュリティ部門であると誤解しているユーザーが多く存在するという。セキュリティ部門は、ルール制定やテクノロジーの評価に責任を持つものの、ビジネス上必要なデータを使う上でデータ保護/アクセス管理を行い、情報が漏えいしないようにする責任はユーザー部門にもあることを、今一度周知しておく必要があるとしている。

④データ・マップの作成

 データの生成場所/保存場所/所有者、そしてそのデータの重要度と使用者を示すデータ・マップを作成することが重要だという。データ・マップを作成する際は、どのデータがそのビジネスにとって重要なのか、そのユーザーはそのデータを本当に扱う必要があるのかなど、様々な観点を踏まえて作成する必要があるとしている。

⑤テクノロジーの評価と活用

 データ保護に際しては、データの分類/検出、データ暗号、ファイル保護、権限管理など様々な種類のテクノロジーが用いられることになる。しかし、これらは決して新しいものではなく、これまでにもあるもの。「どんな保護テクノロジーがあるのか」という議論は収束しつつあり、現在は「どのように実装するか」といった点に検討の重心が移動しつつあるという。

 テクノロジーを評価する際は、機能面の評価だけでなく、「ユーザーにとって使いやすいものなのか」という運用面の評価にも十分な時間を費やすことが重要だという。また、新しいものとしてはデータ・セキュリティ・ポスチャ・マネジメント(Data Security Posture Management)など、リスクの変動を分析できるようなものが検討できるようになったが、過度に依存しすぎず冷静に評価する必要があるとしている。

⑥ユーザーのリテラシー向上

 情報漏えい対策に関するルールは、データ分析に用いるツールや取り扱うデータの種類によって様々。ユーザーもそうした状況に応じて適切なルールを適用する必要があるが、セキュリティのリテラシーは一定ではなく、高い人もいれば低い人もいる。戦略的な業務や重要データを扱うケースについては、ユーザーのルール遵守の促進のために、セキュリティ部門のほうでユーザーのデータの使い方を積極的に理解し、セキュリティのマニュアルにこれまで以上にリアリティを持たせることが肝要だとしている。

【関連記事】
サイオステクノロジー、データマネジメントやガバナンスを一貫して支援するサービス開始 AI利活用促進へ
AIガバナンス協会が一般社団法人化 今後はより政策関係当局との連携を強化へ
デロイト トーマツ、福島県郡山市にサイバーセキュリティ運用の拠点を開設 企業のSIRT運用などを支援

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/20709 2024/10/31 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング