具体的なデータセキュリティの手法
この記事では、DMBOKに載っているデータセキュリティを具体的に実現する方法について紹介します。
基本的なことではありますが、これらを確実に行うことによって組織のセキュリティの向上が望めるでしょう。
目次
ツール
ウィルス対策ソフトウェア/セキュリティソフトウェア
ウェブ上で発生したウィルスからコンピュータを保護してくれるソフトウェアです。新しいマルウェアや脅威は日々開発されているので、定期的にスキャンやウィルス対策ソフトウェアの更新が必要があります。
HTTPS://
ウェブアドレスがHTTPS://で始まっているものは、ウェブサイトが暗号化されている状態です。
アイデンティティ管理技術
割り当てられた認証情報を保存し、要求に応じて認証情報がシステム間で共有されます。
侵入検知と防止ソフトウェア
ハッカーがファイアウォールなどのセキュリティ対策を破って侵入してきた際に、侵入を検知しアクセスを拒否するツールです。
メタデータの追跡
メタデータとはデータのためのデータであり、センシティブデータを追跡するのに役立ちます。メタデータはメタデータリポジトリから何らかの形で漏洩してしまうリスクがあるため、ドキュメントなどにして提供することでそのリスクを少なくすることが可能です。
データマスキング/暗号化
データマスキングは、データの一部を消去したりすることによって、センシティブデータを読み取られないようにする手法です。暗号化は特定のアルゴリズムを知っていないと解読ができないように、データを処理することです。これらは、通信の際のデータの保護に使用されています。
ファイアウォール
データの通信を監視し、内外への通信において不正な通信をブロックします。正当なデータに見せかけたものもあるため、より複雑なファイアウォール構造が推奨されています。
技法
CRUDマトリックス
Create-作成 Read-読み取り Update-更新 Delete-消去
これらに関する表を作成し、利用することでロールグループやアクセス許可の定義を進めるのに役立ちます。実行(Execute)を追加して、CRUDEになることもあります。
セキュリティパッチの即時適用
セキュリティパッチはコンピュータの発見された脆弱性を修復するものであり、これが修復されていないままだと悪意のあるハッカーに攻撃をされてしまう恐れがあります。そのため、セキュリティパッチはできるだけ早くに適用する必要があります。
メタデータにおけるデータセキュリティ属性
メタデータはデータのためのデータであり、セキュリティや規制対象分類が含まれている必要があります。それらを適切に配置することによって、データをセンシティブデータと認識していない従業員から組織を守ることができます。
データのカテゴリ情報をメタデータリポジトリ(メタデータを共有で補完する場所)に記録し、データにタグ付けすることで、ユーザの権限などと比較管理して、開発チームに通知をすることも可能です。
評価尺度
データセキュリティのプロセスが要求通りに適切に機能しているかどうかを評価し、改善することが必要不可欠です。管理を簡単にするには、評価尺度の中でも焦点を絞る必要があります。
セキュリティ実現度評価尺度
一般的なセキュリティ評価尺度は正のパーセントで表されます。
例)会社のコンピューターパッチがインストールされている割合
セキュリティ意識の評価尺度
責任の意識やテストなどによって、セキュリティ意識の定着を確認できます。
データ保護の評価尺度
システムの重要度や、データの重要度などを確認できます。
セキュリティインシデントの評価尺度
検出された脅威に対する対応や、セキュリティコストとの費用対効果などを確認できます。
プロジェクト要件におけるセキュリティニーズ
分析の段階で、セキュリティ要件を決めておくことで、設計に反映が可能になり、後付けをする必要がなくなります。
暗号化データの効率的な検索
データが平文である時間をできるだけ少なくしたいため、データの検索の際に復元するデータの量は少なくすることが重要です。
ドキュメントのサニタイズ
ドキュメントのサニタイズとは、メタデータを消去する工程のことであり、メタデータに保存されているコメントなどから機密情報が漏れるリスクを軽減してくれます。
導入ガイドライン
データセキュリティ導入の手順はその組織の文化や種類によって変化します。
データを安全に保つことは企業文化に大きくかかわってくる。企業がデータセキュリティ侵害を回避するためには、セキュリティ要件、ポリシー、手順に関する意識と理解を深めることが必要になります。
組織と文化の改変
組織は、トレーニングなどによって従業員に意識を持たせると同時に、理解・実行がしやすい要件定義やポリシーの策定を心がけていく必要があります。
注意が必要なのは、セキュリティ担当者はポリシーなどの策定を、データ管理者がそれらに基づくカテゴリ化を担当していることです。セキュリティ担当者はデータ管理者の視点に立ってそれらの策定をしなくてはなりません。
ユーザーに付与されたデータエンタイトルメントの可視性
エンタイトルメントとは「閲覧できる権利」という意味であり、どのユーザがどこまでのデータを閲覧することができるのかを監視し、規制対象情報が含まれていないかなどを判断しなくてはなりません。
そのため、ユーザーのデータエンタイトルメントだけでなく、そのデータのメタデータも管理するプロセスを組み込む必要があります。
アウトソーシングにおけるデータセキュリティ
法的責任以外はアウトソーシングが可能であるが、それは組織のデータセキュリティに関して課題と責任をもたらします。アウトソーシングをするということは、データに対する結果責任を持つ人が増えることや、アウトソーシング先の組織のデータを取り扱う環境までは管理権が及ばなくなってしまいます。これらに関する契約上の義務や役割、責任は明確に定義しておく必要があります。
クラウド環境におけるデータセキュリティ
クラウドコンピューティングの進歩により、実組織を超えたデータの境界が広がっています。クラウド環境のデータセキュリティでは、データの保護の流通管理を定義し、そこからオーナーや補完者の権利を定義するという、責任の共有が特に重要です。組織はクラウドコンピューティング向けのデータセキュリティ管理ポリシーの調整や作成が必要です。
データセキュリティガバナンス
組織のシステムの保護において、強固で明確なポリシーと手順がセキュリティガバナンス(セキュリティ管理)の土台となります。
セキュリティアーキテクチャはエンタープライズアーキテクチャの一部であり、セキュリティアーキテクチャにはデータセキュリティをどのように企業内で実現し、業務ルールと外部規制を満たすかを記述します。
まとめ
データセキュリティを実現するためには、組織の中ですべてのステークホルダーの協力のもと、ポリシーや手順などが決定され、それぞれがしっかりと当事者意識を持って適切に対処していくことが重要です。また、それらは定期的に監査・評価され改善されていくことも必要です。特に近年は技術の発達により、利便性が向上した。しかしそれは、同時にセキュリティの潜在的な危険性を増大させていることに注意しましょう。
