ビッグデータのセキュリティ対策に必要な「10」の項目:まず、情報管理に対応できるガバナンスモデルを定めて施策を導入する
ビッグデータのセキュリティ対策には、どんな心構え/対策が必要か。マカフィーが「企業が取り組むべき、10の項目」を公開した。
ビッグデータの取り扱いに関し、企業はどんなセキュリティ対策を施す必要があるのか。セキュリティ企業のマカフィーが、「ビッグデータのセキュリティ対策において、企業が取り組むべき/問われたらすぐ答えられるようにしておくべき10の項目」を公式ブログで公開した。
1:「リスクと価値の高いデータはどれか」を分類する
価値や機密性の高いデータは、最高レベルのセキュリティが必要。そのためには、法務部門やセキュリティ担当者が協力して、データを適切に分類する必要がある。「データ管理者」も定める。データ管理者を決めることで、データを適切な管理/使用しているかの説明責任の所在も定義できる。また、情報ライフサイクルポリシーも適用しやすくなる。
2:「データの保持/削除ポリシー」を決める
分類したデータそれぞれの保存方法や保持期間に関するポリシーを定め、全ての従業員が守れるように明文化する。データ量が多いほどビジネスにおける知見を得られる可能性は高まるが、同時にリスクも高まる。そのリスクを低減する最初のステップが「不要なデータは削除する」となる。
目的のないデータ保管は、リスクになる。例えば、個人情報が含まれるデータのリスクを軽減するには、匿名化技法を適用して、データから個人を特定できないよう処理した上でデータを保管するようにする。
3:「データのアクセス追跡ができる対策」を施す
「誰が、どのデータに、いつ、どのようにアクセスしたか」といったデータへのアクセス追跡を記録することは、セキュリティ対策の基本要素となる。データは、ビッグデータ分析が進むことで機密性の高い内容へ変化することも予測される。追跡機能を備えたツール/システムを後から追加するのは困難なため、最初から導入しておくことが肝要とされる。
4:「従業員が自社のデータのコピーを作成しているか」を確認する
一般的に、従業員はデータをコピーしていると想定される。分析効率を高めるために、データベースからローカルコピーを作成して活用する/業務管理のために、データを自身が作成したExcel管理シートへコピーする、などだ。
これらは業務進行のために必要なことなので、その後、管理の不備が起こらないようにする対策として、「このプロセスのガバナンスモデルはどうなっているか」「新しいコピーとこのリソースの管理者に、データの制御ポリシーはどのように引き継がれるのか」を明確化する。このことが、機密情報が徐々に安全性の低い使われ方となったとしても漏えいを防ぐ対策の一環となる。
5:「どのタイプの暗号化を採用しているか」「どのように管理しているのか」を確認する
暗号化の技術的問題の前に、「現在施している暗号化は、本当にエンドツーエンドで行われているか」、そして、取得から暗号化まで/分析のために復号される時点などの「脆弱(ぜいじゃく)な状態の時間帯はないか」「使っている暗号化手法は、システム全体でシームレスに機能しているか」「暗号鍵は安全に保管、管理されているか」「暗号鍵には、誰がアクセス権限を持っているのか」を確認する。
6:「アルゴリズムや手法を保護する」対策も行う
データだけでなく、「独自のアルゴリズムやデータ分析の手法」なども企業価値に直結する重要な知的財産である。この情報を安全に扱う計画の検討/立案を行っていく必要もある。
7:「分析基盤全てのノードでセキュリティ対策ができているか」を確認する
ビッグデータ分析では、サーバを多数並べてスケールアウトできる「Apache Hadoop」などの分散処理基盤を用いる。物理/仮想問わず、1つの不正なノード/感染したノードによって、クラスタ全体に影響を及ぼす可能性がある。このため、全体を監視するハードウェアベースで制御を考慮する必要がある。
8:「IoTシステム全体のセキュリティ対策」を確認する
自律制御してデータを自動取得するIoT(Internet of Things)システムでは、独自のセキュリティ課題をもたらす可能性がある。特に、プライバシー関連のデータの扱いや、パッチ適用が難しい産業システムでの運用に注意が必要となる。端末からデータセンターまで、データを一貫して保護する仕組みがあらかじめ必要とされる。
9:「クラウド事業者のセキュリティ対策」を把握する
クラウドサービス事業者との契約義務や内部ポリシーを再確認する。クラウドサービスを使うならば、事業者がどんなデータセンターで運用しているのか、論理的/物理的なセキュリティ制御で保護されているのかを把握することが必要とされる。データセンターの地理的環境は、場合によっては法規制のコンプライアンスプログラムに影響を及ぼす可能性もある。
10:「誰がビッグデータシステムに関するセキュリティスキルを習得しているか」を確認する
ビッグデータプロジェクトのデータセットやツール群は、運用と活用が進むにつれて増大していく。同時にセキュリティ課題や対策事項も増えていく。自身だけでなく、社内の共有知識として蓄積する取り組みが必要となる。
全体的には、「まず情報管理に対応できるガバナンスモデルを定め、その後でさまざまな脆弱性に対応するための施策を導入していくこと」とマカフィーは提言している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ビッグデータにIoT――これからの時代に必要な「暗号プロトコル」「プライバシー」研究最前線
2015年10月22日から23日にかけて、国立研究開発法人 情報通信研究機構(NICT)が研究成果を一般に発表する「NICTオープンハウス 2015」が開催された。本稿では特にセキュリティ関連の技術に注目したリポートをお送りしよう。 - IoT時代のログ管理は「面倒くさがり屋」が仕切る
セキュリティ企業のゲヒルン 代表取締役 石森大貴氏に、IoT時代の「ログ活用」の姿について聞いた。 - 眠る「マシンデータ」を処理、スプランクが国内でのビジネス戦略を発表
米スプランクが日本国内ビジネスの戦略を発表、2014年は「セキュリティ」「ビッグデータ」そして「学術」にフォーカスする。 - リアルタイム分析とビッグデータ分析の合わせ技で脅威を早期発見、「RSA Security Analytics」
EMCジャパンは4月23日、セキュリティ機器から収集したネットワークパケット/ログと、クラウドを介して提供される「インテリジェンス」とを突き合わせ、標的型攻撃などを迅速に検出、特定する「RSA Security Analytics」を発表した。