データに価値を付与するデータセキュリティ
今やデータは組織にとってなくてはならないものです。そのデータを脅威から守るデータセキュリティはどのような価値・意義があるのでしょうか?
この記事では「データセキュリティ」についての基本をDMBOKに沿って要約・解説していきます。
データを内外から守るデータセキュリティ
セキュリティーポリシーなどの決まり事を組織で決定し、データに対して適切に行い、それを監査、改善していく一連の流れのことです。
そのセキュリティのサイクルは組織によって様々ですが、最終的な共通のゴールは
プライバシーと秘密保護規制、契約上の合意、ビジネスの要件に合わせて情報資産を保護すること
DAMA International(2018) 「データマネジメント知識体系ガイド」 第二版 P248 日経BP社
そのために考えなくはならないことは、
・ステークホルダー(利害関係者)
すべてのステークホルダーに関するデータに対して信頼されなくてはならない
・政府による規制
個人情報のアクセス権の提供など
・専有情報に対する懸念
組織が持つデータの価値を保つこと。漏洩などが起こった場合は、その価値を失う
・正当なアクセス要求
業務プロセスに影響が出ない程度の制限と、高セキュリティを両立する
・契約上の義務
合意事項に基づいた義務(基準の準拠など)を果たすこと
データセキュリティを効果的に効率的に行えば、適切な人が、適切にデータを扱うことができます。また、データセキュリティはすべてのステークホルダー同士の信頼によって成り立っていることを忘れないようにしましょう。
データセキュリティは資産になる
事業が成長するためには、業務上の目標を達成し維持しなくてはなりません。データセキュリティの問題は、目的を達成するにあたり直接的な影響を及ぼします。つまり、データセキュリティはきわめて貴重な資産であるといえるのです。
例えば、2022年を迎えた時点では94%の人がスマートフォンを持っており(調査:NTTドコモ モバイル社会研究所)、オンラインで買い物をすることは当たり前になっており、あらゆるところに電子技術が普及しています。
これだけ大きな市場でのビジネスをデータセキュリティの失敗によって失うこともあるのです。
このことからも、製品とサービスの品質は情報セキュリティに直接的に関係していることがわかります。信頼できる情報システムはビジネスの差別化要因となりつつあるのです。
では、どうすればデータセキュリティを構築できるのでしょうか?
データセキュリティは常に更新されていく
データセキュリティを向上させるには、組織の中で一貫された情報の保護や文化が形成され、それが効果的であることが必要です。
データセキュリティを構築できている状態とは?
データセキュリティとはの部分で少し触れた、DMBOKに記載されている「ゴール」について詳しく見ていきます。
・会社データ資産に対して適切なアクセスを許可し不適切なアクセスを防止する
・プライバシー、保護、機密性に関する規制とポリシーを尊守できるようになる
・プライバシーと機密性に関するステークホルダーの要件が満たされていることを担保する
DAMA International(2018) 「データマネジメント知識体系ガイド」 第二版 P252 日経BP社
この三つがゴールの要件です。
セキュリティは組織の内外からの脅威に対応できなくてはなりません。
外部の脅威としては、ハッカーや犯罪者などからの攻撃があり、内部の脅威としてはセキュリティポリシーの理解不足などによるデータの漏洩などが考えられます。
次にDMBOKが提供するセキュリティの原則についてです。
データセキュリティはこの基本理念に従っています。
・コラボレーション
データセキュリティは組織のすべての部門を含む共同作業である。
・全体的アプローチ
上記のコラボレーションに付随する話であるが、データセキュリティ基準やポリシーは組織で統一されていなければならない。
・予防的管理
将来起こりうる脅威に対して、すべてのステークホルダーが予防的かつ機動的に対応していかなければならない。
・明確な責任
データを管理するステークホルダー全員の立場や責任を明確にしておかなければならない。
・メタデータの手動
データの意味によってデータを分類する。
・露出の提言によるリスクの低減
テストの際などに、センシティブデータを使用しないようにする。
これらのゴールと原則を踏まえたうえで、データセキュリティのプロセスを確認します。
データの分類
センシティブデータは業界や組織によって異なる。自分の組織のセンシティブデータを特定し分類する必要がある。(個人情報・医療情報など)
データの把握
一か所にセンシティブデータを保存していると、被害が大きくなりやすいなどの懸念がある。そのため、組織全体が持つデータの場所や量などを把握しておく必要がある。
適切な保護方法の決定
データの形式や内容によって、最適なデータの保護法は異なる。組織によって最適な保護方法を決定する。
情報と業務の関連性の把握
適切なアクセス制御のために、情報と業務の関連性を把握しておく必要がある。
このサイクルを継続・改善・監視することによって、データセキュリティは構築された状態が維持されます。
まとめ
本記事ではデータセキュリティの概念的な部分を多めに取り扱いました。データセキュリティを向上させることによって、組織はより多くのビジネスチャンスを得ることが可能になります。データの需要が急増する昨今では、データセキュリティもそのまま資産となりうるのです。データを有効に活用するための要素として、データセキュリティは必要不可欠です。