検索
ニュース

ビッグデータのセキュリティ対策に必要な「10」の項目まず、情報管理に対応できるガバナンスモデルを定めて施策を導入する

ビッグデータのセキュリティ対策には、どんな心構え/対策が必要か。マカフィーが「企業が取り組むべき、10の項目」を公開した。

Share
Tweet
LINE
Hatena

 ビッグデータの取り扱いに関し、企業はどんなセキュリティ対策を施す必要があるのか。セキュリティ企業のマカフィーが、「ビッグデータのセキュリティ対策において、企業が取り組むべき/問われたらすぐ答えられるようにしておくべき10の項目」を公式ブログで公開した。

1:「リスクと価値の高いデータはどれか」を分類する

 価値や機密性の高いデータは、最高レベルのセキュリティが必要。そのためには、法務部門やセキュリティ担当者が協力して、データを適切に分類する必要がある。「データ管理者」も定める。データ管理者を決めることで、データを適切な管理/使用しているかの説明責任の所在も定義できる。また、情報ライフサイクルポリシーも適用しやすくなる。

2:「データの保持/削除ポリシー」を決める

 分類したデータそれぞれの保存方法や保持期間に関するポリシーを定め、全ての従業員が守れるように明文化する。データ量が多いほどビジネスにおける知見を得られる可能性は高まるが、同時にリスクも高まる。そのリスクを低減する最初のステップが「不要なデータは削除する」となる。

 目的のないデータ保管は、リスクになる。例えば、個人情報が含まれるデータのリスクを軽減するには、匿名化技法を適用して、データから個人を特定できないよう処理した上でデータを保管するようにする。

3:「データのアクセス追跡ができる対策」を施す

 「誰が、どのデータに、いつ、どのようにアクセスしたか」といったデータへのアクセス追跡を記録することは、セキュリティ対策の基本要素となる。データは、ビッグデータ分析が進むことで機密性の高い内容へ変化することも予測される。追跡機能を備えたツール/システムを後から追加するのは困難なため、最初から導入しておくことが肝要とされる。

4:「従業員が自社のデータのコピーを作成しているか」を確認する

 一般的に、従業員はデータをコピーしていると想定される。分析効率を高めるために、データベースからローカルコピーを作成して活用する/業務管理のために、データを自身が作成したExcel管理シートへコピーする、などだ。

 これらは業務進行のために必要なことなので、その後、管理の不備が起こらないようにする対策として、「このプロセスのガバナンスモデルはどうなっているか」「新しいコピーとこのリソースの管理者に、データの制御ポリシーはどのように引き継がれるのか」を明確化する。このことが、機密情報が徐々に安全性の低い使われ方となったとしても漏えいを防ぐ対策の一環となる。

5:「どのタイプの暗号化を採用しているか」「どのように管理しているのか」を確認する

 暗号化の技術的問題の前に、「現在施している暗号化は、本当にエンドツーエンドで行われているか」、そして、取得から暗号化まで/分析のために復号される時点などの「脆弱(ぜいじゃく)な状態の時間帯はないか」「使っている暗号化手法は、システム全体でシームレスに機能しているか」「暗号鍵は安全に保管、管理されているか」「暗号鍵には、誰がアクセス権限を持っているのか」を確認する。

6:「アルゴリズムや手法を保護する」対策も行う

 データだけでなく、「独自のアルゴリズムやデータ分析の手法」なども企業価値に直結する重要な知的財産である。この情報を安全に扱う計画の検討/立案を行っていく必要もある。

7:「分析基盤全てのノードでセキュリティ対策ができているか」を確認する

 ビッグデータ分析では、サーバを多数並べてスケールアウトできる「Apache Hadoop」などの分散処理基盤を用いる。物理/仮想問わず、1つの不正なノード/感染したノードによって、クラスタ全体に影響を及ぼす可能性がある。このため、全体を監視するハードウェアベースで制御を考慮する必要がある。

8:「IoTシステム全体のセキュリティ対策」を確認する

 自律制御してデータを自動取得するIoT(Internet of Things)システムでは、独自のセキュリティ課題をもたらす可能性がある。特に、プライバシー関連のデータの扱いや、パッチ適用が難しい産業システムでの運用に注意が必要となる。端末からデータセンターまで、データを一貫して保護する仕組みがあらかじめ必要とされる。

9:「クラウド事業者のセキュリティ対策」を把握する

 クラウドサービス事業者との契約義務や内部ポリシーを再確認する。クラウドサービスを使うならば、事業者がどんなデータセンターで運用しているのか、論理的/物理的なセキュリティ制御で保護されているのかを把握することが必要とされる。データセンターの地理的環境は、場合によっては法規制のコンプライアンスプログラムに影響を及ぼす可能性もある。

10:「誰がビッグデータシステムに関するセキュリティスキルを習得しているか」を確認する

 ビッグデータプロジェクトのデータセットやツール群は、運用と活用が進むにつれて増大していく。同時にセキュリティ課題や対策事項も増えていく。自身だけでなく、社内の共有知識として蓄積する取り組みが必要となる。

 全体的には、「まず情報管理に対応できるガバナンスモデルを定め、その後でさまざまな脆弱性に対応するための施策を導入していくこと」とマカフィーは提言している。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  2. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  3. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  4. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  5. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  6. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  7. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  8. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  9. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る