ヘルスケアと金融サービス業界に対する、不要になったデータを狙う攻撃が拡大――Blancco調査クラウド上のデータ管理が不十分

Blancco Technology Groupは2023年3月28日、新しい調査結果を発表した。日本の医療機関や金融機関のクラウド移行状況、データ分類、最小化についてや、クラウド移行が、ライフサイクルが終了したデータの廃棄にどのような影響を与えているのかなどを明らかにした。

» 2023年03月29日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 データ消去およびモバイルライフサイクル製品を提供するBlancco Technology Group(以下、Blancco)は2023年3月28日、新しい調査結果を発表した。ヘルスケアおよび金融サービスの組織がクラウドをどの程度採用しているか、クラウドの採用がデータの分類、最小化(不要になったものの削減)、およびサポート終了(EOL)のデータ廃棄に及ぼす影響を調査している。

 クラウドコンピューティングによって、組織は収集、保存できるデータ量を増やすことができる。これらのデータは企業に価値をもたすが、特に金融サービスやヘルスケア業界などの法規制の厳しい業界の企業にとっては、このデータが負担になる可能性がある。

「Data at a Distance(遠く離れたデータの管理)」

 日本の300人(金融サービスとヘルスケア業界とに均等に配分されている)を含む1800人の回答者を対象とした今回のグローバル調査「Data at a Distance(遠く離れたデータの管理)」では、クラウドコンピューティングによってデータの過剰な収集がどのように可能になったか、企業にとってデータのライフサイクル全体(ライフサイクルが終了したデータを含む)でより優れたデータ管理が必要となる理由、オンプレミスのデータセンターとパブリッククラウド環境における、ライフサイクルが終了したデータ管理方法の違いについても確認している。

日本でもクラウド移行が増えたが、同時にライフサイクルが終わったデータが増えた

 増加するデータ量の管理が容易なことから、クラウドへの移行が広まっていることが判明した。しかし、日本の回答者の64%は、クラウド移行によって、収集するデータの冗長化(Redundant)、陳腐化(Obsolete)、軽薄化(Trivial)が進み、「(これらの頭文字を取った)ROTなデータの量が増えた」と回答している。

 一方で、日本の医療機関や金融機関は、クラウド上でライフサイクルが終了したデータを管理するための課題について認識している。62%の企業が「アナログからデジタルへの移行に伴い、データが不要になったどうかの判断方法を見直す必要がある」と感じている。

半数近くの企業が、データのライフサイクルが終わったかどうか判断できない

 データ管理のベストプラクティスでは、企業は収集したデータの価値、保存場所、消去時期などについて管理する必要がある。日本では回答企業の半数以上(55%)が、データのライフサイクルがいつ終了を迎えたか(不要になったか)を判断するための十分なデータ分類モデルを持っている。一方で、まだ半数近くの企業はそうなっていない。

26%の企業が同一のデータ有効期限を全データに自動的に設定している

 ヘルスケアや金融サービス業界では、規制要件の増加に伴い、データの定期的な評価と保存期間の設定が重要かつ大きな関心事となっている。

 今回の調査の結果、日本企業の59%がデータ管理に関するスケジュールを策定し、さまざまな種類のデータを精査し、データがライフサイクル終了に達しているかどうかを判断していることが明らかになった。しかし、4分の1強(26%)の企業は、同一のデータ有効期限を全データに自動的に設定するという、単純かつ効果的ではないアプローチを採用している。

半数近くの企業が「クラウド事業者はライフサイクルが終了したデータを適切に管理してくれない」とみている

 クラウドへの取り組みについて調査したところ、日本では53%の回答者が「クラウド事業者がライフサイクルが終了したデータを処理してくれる」としていた。その一方で、半数近く(44%)の回答者は「クラウド事業者がライフサイクルが終了したデータを適切に管理してくれるとはみていない」としていた。

サイバー攻撃者がクラウドにあるデータを狙うことが増えた

 オンプレミスのデータセンターにおけるベストプラクティスが、企業がデータをクラウドに移行する際にそのまま適用される可能性がある。クラウド事業者は、ユーザー契約においてデータの削除や消去プロセスについて言及することが一般的だが、特定の機密データが永続的に消去されたことを明確に保証する慣行はまだ道半ばだ。法規制の厳しい業界は、規制の不順守と不正なデータアクセスの脅威の両方に対して脆弱(ぜいじゃく)な状態にあるという。

 BlanccoのAPACディレクター森田将幸氏は次のように述べている。

 「日本のヘルスケアと金融サービスの事業者は、最も機密性の高い情報を扱っています。クラウドへの移行は、接続性の向上、デジタル変革、データ管理の容易さのために行われましたが、データがビジネス上の機能を果たさなくなったときにリスクを軽減し、コンプライアンスを確保する方法に関して、多くの企業がまだ十分に対策できていません。コロナ禍以降、企業がニューノーマルに対応するにつれて、増加するデータに対する脅威はさらに増加しました。サイバー攻撃者も同様にこの状況に対応しています。IBMの調査によると、2022年に発生した情報漏えいの45%がクラウドをターゲットにしたものと報告されています。しかし、Blanccoの調査では、クラウドにおけるライフサイクルが終了したデータの管理について不十分な事例が幾つも見つかりました」



 Blanccoが日本の金融サービスとヘルスケア業界の回答者300人を対象にした調査結果の上記以外のハイライトは次の通り。

  • 回答企業の60%が、ライフサイクルが終了したデータの管理は、クラウドよりもオンプレミスでした方がよいと感じている
  • 62%が、オンプレミスとクラウドの両方で、全てのデータの管理に監査証跡付きのソフトウェアベースの消去方法を採用しているが、33%は監査証跡なしで消去を実行していることが懸念されている
  • 90%が、データ分類をデータセキュリティの重要な第一歩と認識している
  • 35%がデータの分類と最小化に関する運用ポリシーの導入を始めたばかりで、10人に1人はまだそのようなプロセスを導入していない

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。