ビジネスにおけるデータの利活用が進み、最近利用が拡大している生成AIにおいてもデータは欠かせないものになっています。ビジネスにおけるデータの価値や重要性は高まるばかりで、生命線の1つであると言えるでしょう。データに価値を感じているのはサイバー攻撃者も同じで、データを取り巻く脅威は現在も深刻化しています。こうした背景から、近年データセキュリティに注目が集まっています。本稿では、現代のデータセキュリティ課題と対策について解説します。
ビジネスにおけるデータ利活用の拡大
総務省の報告書によれば「データ」は「資本」「労働」と並んで、企業が付加価値を生み出すための生産要素の一つとして位置づけられています[1]。実際に、様々な分野で、検討中も含めるとおよそ半数の組織がビジネスの上で何らかのデータ分析を行っていることが分かります(下図を参照)。
業務領域別データ分析の実施状況
引用:総務省「AI経済検討会 報告書2022(概要)」
生成AI利活用の拡大に伴うデータの重要性の上昇
2022年のChatGPT発表以来、生成AIに対する世の中の関心は高まっています。ChatGPTのユーザーが1億に到達するまでの期間は2か月であり、これまで登場したその他のサービスと比較して短く、世間の関心の高さが伺えます(下図を参照)。生成AIを利用するためには、組織内のデータの利活用が不可欠であり、組織におけるデータの重要性も増していると言えるでしょう。
各種サービスにおける1億ユーザー達成までにかかった時間
引用:総務省「令和6年版情報通信白書」[2]
データを取り巻く脅威
ランサムウェアによる被害は、IPAが発表している「情報セキュリティ10大脅威 2024」でも取り上げられており、9年連続で10大脅威として取り扱われています。
![情報セキュリティ10大脅威 2024 ※[3]を基に作成](https://www.nri-secure.co.jp/hs-fs/hubfs/NRIS/Image/blog/2024/202411_kyoudou/03.png?width=800&height=289&name=03.png)
IPA「情報セキュリティ10大脅威 2024」[3]を基にNRIセキュアで作成
攻撃者は、組織のPCやサーバをランサムウェアに感染させた後に、データ復旧と引き換えに金銭を要求することが一般的です。加えて、感染時に盗み出したデータを公開しないことと引き換えに金銭を要求する「二重脅迫」という手法も確認されています。攻撃者もデータの価値を理解しているからこそ、データを狙って攻撃を行うのです。
しかし、データの漏洩はランサムウェアに限った話ではありません。例えば、IPAのランキングで3位に挙げられている「内部不正による情報漏えい等の被害」では、従業員や元従業員などの組織関係者による機密情報の持ち出しが取り上げられています。内部不正は、転職先でのデータの悪用や、情報の売買によって金銭を得る目的で行われることが一般的です。
また、6位にランクインしている「不注意による情報漏えい等の被害」も無視できない脅威です。代表的な例としてはメールの誤送信がありますが、最近ではクラウドストレージやSaaSサービスの設定ミスによる情報漏えいのインシデントも頻発しています。
このように、データセキュリティでは外部からの攻撃だけではなく、内部関係者のデータの取り扱いや、データを保管するシステムの設定にも細心の注意を払う必要があります。
データセキュリティの要素と課題
データのビジネス価値が高まり続ける中、ランサムウェアや内部不正、設定ミスといった脅威に目を配る必要があります。こうした厳しい環境の中でデータを守るためには、データセキュリティが欠かせません。以下に、データセキュリティの主要な要素とそれぞれの概要を説明します。
アクセス制御
アクセス制御とは、データが保存されている場所や、その中のファイルや情報に誰がアクセスできるかを制御する技術です。正しい権限を持つ人だけがデータにアクセスできるようにすることで、データの機密性を守ることができます。
暗号化
暗号化とは、データを特定のアルゴリズムで変換し、暗号鍵を持つ人だけがそのデータを元の形に戻して読むことができる技術です。適切に暗号鍵を保護することで、正当な権限を持つ人のみがデータにアクセスできるようになります。
トークン化、マスキング
トークン化やマスキングは、主にデータベースや表形式の構造化データに用いられる技術です。データに含まれる氏名や住所といった個人情報や、クレジットカード番号などを保護するために使用されます。トークン化とマスキングの主な違いは可逆性で、トークン化された情報は適切な処理を行うことで元のデータに復元可能ですが、マスキングされたデータは復元ができないという違いがあります。
トークン化は、データを安全に保護しつつ、必要に応じて元のデータに復元して利用する必要があるユースケースに適しており、その代表的な例としてはクレジットカード情報の保護があります。マスキングは、元のデータに復元する必要がないユースケースに適しており、主にテストや開発環境でのデータ利用において機密情報を保護するために利用されています。
DLP(Data Loss Prevention)
DLPとは、情報漏えいを防止するためにデータの利用や移動を監視し、漏えいを防止する技術です。製品によって機能は様々ですが、DLPは、機密情報のWebサイトやクラウドストレージへのアップロード、ファイル転送プロトコルによる外部への送信、メールによる送信、USBメモリへの移動、印刷などの検知・防御ができます。
データを安全に利用するためには、このようなデータセキュリティの要素を組み合わせてデータを保護することが重要です。しかし、クラウドの利活用が進むにつれて、データの存在範囲は広がり続けており、守るべきデータを把握し、データセキュリティを適用することが困難になりつつあるという課題があります。
以前は組織内のサーバに保存されたデータの保護がデータセキュリティの中心でしたが、IaaS上のオブジェクトストレージやデータベースサービス、SaaS上のデータなど、組織の外にある広範囲のデータにも適切な保護策を施さなければなりません。組織の内外に散在しているデータに適切な保護策を実装し、またそれを維持するには大変な労力が伴います。この課題を解決するために、データセキュリティプラットフォームが注目されています。
データセキュリティプラットフォームとは
データセキュリティプラットフォームとは、オンプレミスを含めた多くのデータソースから重要な情報を検出・分類し、それらのセキュリティ状態を可視化・管理するためのソリューションです。
これには、データの自動検出と分類、アクセス制御の適用、監査ログの生成、脅威検知など、データ保護に必要な一連の機能が含まれます。前述の通り、データの棚卸やアクセス権限の設定といった作業は人手に頼ることが多く、その管理には大きな労力が必要でした。データセキュリティプラットフォームは、これらのプロセスを自動化し、データ保護をより一元的かつ効率的に行えると期待されています。
データセキュリティプラットフォームに備わっている機能は製品やサービスによって様々ですが、今回は基本的な機能についてご紹介いたします。
データの発見と分類
従来の手法では、データの発見やデータの分類のプロセスは多くの場合手動で行われるため、時間がかかったり、人的ミスが発生しやすいという問題がありました。また、自動的に実施できたとしても、データを見つけるために正規表現などの複雑な手法を用いることが多く、複雑なデータセットの分類に限界があるという問題がありました。
データセキュリティプラットフォームは、オンプレミス、IaaS、PaaS、SaaSなど、多くの場所に存在するデータをAIや機械分析を用いて自動的に検出します。識別できる情報はサービスによって異なりますが、個人情報やクレジットカード番号などの重要データが挙げられます。
セキュリティ対策状況の可視化
発見したデータに対して、それらが保存されているサービスの特性に応じてセキュリティ対策を実施し、それらを管理することは、多くの時間と高度なスキルを必要とし、非常に困難です。データセキュリティプラットフォームは、発見・識別されたデータが、どのような状態で保管されているか可視化します。
例えば、データの公開範囲は適切かどうか?あるいは、暗号化が行われているか?といった観点でチェックが可能です。製品やサービスによっては、外部のIAMサービスと連携して、そのデータにアクセス可能なアカウントの特定や可視化が可能なサービスもあります。また、PCI-DSSやGDPRといった規制への準拠状況を可視化できるものもあります。
問題のある設定の修正
データを発見し、セキュリティ対策状況を可視化すると、データに関する設定の問題点も明らかになります。一方で、問題となる設定を正しく理解し、データが保存されているサービスに応じた修正を行う作業は、データの発見・分類と同様に、多くの時間とスキルを要します。データセキュリティプラットフォームは、問題のあるデータ設定を検出し、修正を支援する機能を提供します。具体的には、公開範囲の不適切な設定や、暗号化の不備など検出し、修正を行うことができます。
これらのように、データセキュリティプラットフォームを導入することで、異なるシステムやサービスに散在するデータを一元的に管理し、セキュリティリスクを低減することが可能です。コンプライアンス対応の強化や運用の効率化にも寄与し、セキュリティ体制の強化が期待できます。
おわりに
適切なセキュリティを確保しつつ、データ利活用の恩恵を受けるためにも、データセキュリティは今後さらに重要性を増すことが予想される分野の1つです。今回ご紹介した機能はあくまでも基本機能であり、脅威検知や監査のための機能などを備えるサービスもあります。データセキュリティプラットフォームの存在を念頭に置きながら、自組織のデータセキュリティのあるべき姿について見直しを行ってみてはいかがでしょうか。弊社でも引き続き業界の動向を注視し、皆様に適切な情報を提供できるよう努めてまいります。
[1] 総務省 AIネットワーク社会推進会議 AI経済検討会「AI経済検討会 報告書2022(概要)」
https://www.soumu.go.jp/main_content/000888731.pdf
[2] 総務省「令和6年版情報通信白書 第3章 デジタルテクノロジーの変遷」
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r06/pdf/n1310000.pdf
[3] IPA「情報セキュリティ10大脅威 2024」
https://www.ipa.go.jp/security/10threats/10threats2024.html
