検索
ニュース

ビッグデータのセキュリティ対策に必要な「10」の項目まず、情報管理に対応できるガバナンスモデルを定めて施策を導入する

ビッグデータのセキュリティ対策には、どんな心構え/対策が必要か。マカフィーが「企業が取り組むべき、10の項目」を公開した。

Share
Tweet
LINE
Hatena

 ビッグデータの取り扱いに関し、企業はどんなセキュリティ対策を施す必要があるのか。セキュリティ企業のマカフィーが、「ビッグデータのセキュリティ対策において、企業が取り組むべき/問われたらすぐ答えられるようにしておくべき10の項目」を公式ブログで公開した。

1:「リスクと価値の高いデータはどれか」を分類する

 価値や機密性の高いデータは、最高レベルのセキュリティが必要。そのためには、法務部門やセキュリティ担当者が協力して、データを適切に分類する必要がある。「データ管理者」も定める。データ管理者を決めることで、データを適切な管理/使用しているかの説明責任の所在も定義できる。また、情報ライフサイクルポリシーも適用しやすくなる。

2:「データの保持/削除ポリシー」を決める

 分類したデータそれぞれの保存方法や保持期間に関するポリシーを定め、全ての従業員が守れるように明文化する。データ量が多いほどビジネスにおける知見を得られる可能性は高まるが、同時にリスクも高まる。そのリスクを低減する最初のステップが「不要なデータは削除する」となる。

 目的のないデータ保管は、リスクになる。例えば、個人情報が含まれるデータのリスクを軽減するには、匿名化技法を適用して、データから個人を特定できないよう処理した上でデータを保管するようにする。

3:「データのアクセス追跡ができる対策」を施す

 「誰が、どのデータに、いつ、どのようにアクセスしたか」といったデータへのアクセス追跡を記録することは、セキュリティ対策の基本要素となる。データは、ビッグデータ分析が進むことで機密性の高い内容へ変化することも予測される。追跡機能を備えたツール/システムを後から追加するのは困難なため、最初から導入しておくことが肝要とされる。

4:「従業員が自社のデータのコピーを作成しているか」を確認する

 一般的に、従業員はデータをコピーしていると想定される。分析効率を高めるために、データベースからローカルコピーを作成して活用する/業務管理のために、データを自身が作成したExcel管理シートへコピーする、などだ。

 これらは業務進行のために必要なことなので、その後、管理の不備が起こらないようにする対策として、「このプロセスのガバナンスモデルはどうなっているか」「新しいコピーとこのリソースの管理者に、データの制御ポリシーはどのように引き継がれるのか」を明確化する。このことが、機密情報が徐々に安全性の低い使われ方となったとしても漏えいを防ぐ対策の一環となる。

5:「どのタイプの暗号化を採用しているか」「どのように管理しているのか」を確認する

 暗号化の技術的問題の前に、「現在施している暗号化は、本当にエンドツーエンドで行われているか」、そして、取得から暗号化まで/分析のために復号される時点などの「脆弱(ぜいじゃく)な状態の時間帯はないか」「使っている暗号化手法は、システム全体でシームレスに機能しているか」「暗号鍵は安全に保管、管理されているか」「暗号鍵には、誰がアクセス権限を持っているのか」を確認する。

6:「アルゴリズムや手法を保護する」対策も行う

 データだけでなく、「独自のアルゴリズムやデータ分析の手法」なども企業価値に直結する重要な知的財産である。この情報を安全に扱う計画の検討/立案を行っていく必要もある。

7:「分析基盤全てのノードでセキュリティ対策ができているか」を確認する

 ビッグデータ分析では、サーバを多数並べてスケールアウトできる「Apache Hadoop」などの分散処理基盤を用いる。物理/仮想問わず、1つの不正なノード/感染したノードによって、クラスタ全体に影響を及ぼす可能性がある。このため、全体を監視するハードウェアベースで制御を考慮する必要がある。

8:「IoTシステム全体のセキュリティ対策」を確認する

 自律制御してデータを自動取得するIoT(Internet of Things)システムでは、独自のセキュリティ課題をもたらす可能性がある。特に、プライバシー関連のデータの扱いや、パッチ適用が難しい産業システムでの運用に注意が必要となる。端末からデータセンターまで、データを一貫して保護する仕組みがあらかじめ必要とされる。

9:「クラウド事業者のセキュリティ対策」を把握する

 クラウドサービス事業者との契約義務や内部ポリシーを再確認する。クラウドサービスを使うならば、事業者がどんなデータセンターで運用しているのか、論理的/物理的なセキュリティ制御で保護されているのかを把握することが必要とされる。データセンターの地理的環境は、場合によっては法規制のコンプライアンスプログラムに影響を及ぼす可能性もある。

10:「誰がビッグデータシステムに関するセキュリティスキルを習得しているか」を確認する

 ビッグデータプロジェクトのデータセットやツール群は、運用と活用が進むにつれて増大していく。同時にセキュリティ課題や対策事項も増えていく。自身だけでなく、社内の共有知識として蓄積する取り組みが必要となる。

 全体的には、「まず情報管理に対応できるガバナンスモデルを定め、その後でさまざまな脆弱性に対応するための施策を導入していくこと」とマカフィーは提言している。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  4. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  5. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  6. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  7. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  8. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  9. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  10. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
ページトップに戻る