データ保護方針:今日の課題

データ保護に関する課題の範囲は広がっており、困難さも増しています。知的財産と秘密情報の保護は、これまでも長期にわたって必要とされてきましたが、情報技術とビジネスモデルの変化によって、新たな当事者、新たな脅威、そして新たな規則が出現するに至っています。結果として、組織としてそのデータ保護に関する目標を策定するためには、ITインフラストラクチャ周辺部分のセキュリティを確保し、特定部分の機能やリソースを制限するという、従来型モデルを越えて、考える必要があります。本質的な課題には以下のようなものが含まれます。

  • 他者の情報と自分の情報の保護: セキュリティ侵害とプライバシー問題に関する消費者の一般的な意識の向上によって、ほぼあらゆる情報が盗用されて不正に使用される可能性があるという事実が、はっきりと認識されるようになりました。ビジネス関係を持続させるために、組織は、顧客と取引相手に対してその情報が安全であることを保証できなければなりません。 
  • 信頼できる対象(人と物)の理解: 組織は、そのシステムや従業員に対するコントロールを徐々に失いつつあります。仮想化、アウトソーシング、契約社員の雇用、職場でのコンシューマデバイス利用といった傾向は、すべて、組織が方針を貫き、その方針の遵守を監視することを難しくしています。組織がユーザーを完全に管理することは不可能で、取り扱いに注意を要する情報がそのようなユーザーのシステムやデバイスに取り込まれたり、手中に握られたりする事態を避けることはできません。
  • 攻撃者の先手を打つ: 攻撃の持続性と巧妙さは、その攻撃によって得られるものの価値ともに増していきます。また、悪意ある個人やマルウェア(悪意あるプログラム)にはさまざまな種類があります。APT(Advanced Persistent Threats:持続的標的型攻撃)というのは、最も巧妙な形態のマルウェアを表すために使われるようになった言葉です。消費者データは特に魅力的なターゲットであり、ニュースにもなりやすい傾向にあります。しかし、製品規格、事業方針、その他の企業秘密を含む他の多くの情報も高いリスクにさらされています。
  • 適用される規則と標準: 政府と業界団体は、プライバシー保護や情報の秘密保護に関する組織の動機付けのために、法律、規則、および標準を作成してきました。責任は地域や業界によって大きく異なります。多くの組織が複数の一貫しない要求事項に直面しており、これが不確実性と混乱を招く結果となっています。セキュリティ上の問題に直面した場合、準備不足の組織に残された選択肢は、すべてのことを開示する以外にはほとんどありませんが、これはあくまで万が一の場合です。

詳しくはこちら

方針の決定

今日ではほとんどの組織が何らかのデータ保護対策を講じていますが、同時に、常にリスクを減らす手段を探しています。以下に示す3つの基本原則は、あらゆるタイプの組織において、意思決定者が効果的なデータ保護方針を策定する際の助けとなります。

  • データ中心のアプローチの採用: データ保護に関する重要かつ最良の方法は、データ自体に焦点を当てることです。このことは明らかであるように思えますが、セキュリティに関する多くの努力が、特定のアプリケーション、建物、データセンター、マシンルーム、さらには特定のコンピュータやストレージデバイスを保護することに焦点が当てられていると考えてしまいがちです。データ保護は文字通りデータを保護することなので、組織はデータの全ライフサイクル、すなわち、その組織によるデータの作成または取得時から破棄に至るまでの期間に焦点を当てる必要があります。データは組織全体を通じてやり取りされ、当初予想していなかった場所にまで行き着く可能性がありますが、どこでリスクにさらされたとしても保護しなければなりません。
  • より高いレベルの保証を追求: 組織に対する要求はより厳しいものになりつつあり、単にデータを保護するだけでなく、どれだけ良好な保護を提供できるか、その保護メカニズムはどの程度強力なものなのか、といったことも求められています。つまり、データがどの程度の保証レベルで保護されるのかということです。もっとも基本的なレベルにおいては、確実性が高いということは、手順と技術を通じて、より強力なセキュリティが確立されていることを意味します。すなわち、より多くのチェックとバランス、システムをタンパリングから保護するためのより堅固な物理的セキュリティ、そして監査の強化です。高い確実性のマイナス面は、従来からあるセキュリティトレードオフで、セキュリティ強化のための努力によって、ボトルネックや、業務の継続性を損ねたりコスト増加を招いたりする恐れがあるその他の摩擦要因が生じます。
  • 対象を慎重に選択:  組織は、その予算とデータを守るために、直面しているリスクの種類を特定して分析し、どのデータ保護投資が最大限のリスク軽減を実現できるのかについて優先付けを行う必要があります。扱いに注意を要する高価値の情報には的を絞ったデータ保護努力が必要になることが予想され、これは必ずしも外部的なデータ保護要求とは一致しません。一般にはさまざまな規則への適合を基準とする考え方に陥りがちですが、そうではなく、一歩引いて、より広いビジネス的な観点から、大きな視野でデータ保護の全体像を評価する必要があります。 

セクションを隠す

リスク

  • 効果的なデータ保護手段を展開しないと組織が攻撃にさらされることになりますが、基本的なデータディスカバリと分類を完了させる前に計画を立案すると、せいぜい部分的なソリューションに止まってしまいます。
  • データ保護は秘密とプライバシーだけが対象ではありません。計画は、改ざんや置き換えを通じたデータ完全性への脅威にも対応するものでなければなりません。改ざんや置き換えが行われた場合は続いて攻撃が行なわれることが予想され、その場合の影響は個人データ記録の喪失よりも重大です。
  • 多くの場合、データの流れと使用パターンは複数組織の情報サイロと管理分野にまたがっており、これが一貫性を確立するのを難しくしています。また、異なるセキュリティ方式間の「エアギャップ」やウィークリンクが明らかになる場合もあります。
  • 扱いにくいセキュリティ対策を展開すると、セキュリティと業務効率の間、あるいはセキュリティとコストの間で無用のトレードオフを強いられる恐れがあります。
  • データ保護の成功は動く標的のようなものです。常に変化するプライバシー規則、新しくより巧妙な攻撃方法、そして変化するIT環境のすべてが、データ保護方針の頻繁な再評価を強いる要因となります。

データ保護方針:タレスe-セキュリティソリューション

Thales e-Securityのすべての製品とサービスの目標はただ1つ、現在と将来におけるデータ保護に関する複雑な課題の克服を成功させようとする企業、政府、その他の組織を支援することです。タレスは、時間とともに変化する要求事項、規則、ITシステムに合わせて、最大限の業務効率と最小限の所有コストの実現、そして組織のアジリティ維持を目指す実績あるセキュリティ製品とサービスを提供します。最終的には、システムのセキュリティを強化することによって、信頼性やスケーラビリティが失われることがあってはなりません。如何なる組織も、そのようなセキュリティに投資する余裕はありません。 タレスのソリューションは5つの重要な分野にまたがっています。すなわち、ハードウェアセキュリティモジュール(HSM)、ネットワーク暗号化、鍵管理、タイムスタンピング、そしてID管理です。タレスは、タレスの製品やサービスを利用している企業や政府機関だけではなく、世界中の数多くの技術パートナーとも密接に協力しています。これらのパートナーには、タレスの技術を自社製品に組み込んでいるOEMパートナーも含まれています。タレスでは、自社製品の事前確認を行ってお客様への展開を加速するために、一般的なセキュリティアプリケーションやビジネスアプリケーションを使用して自社製品のテストを行なっています。タレスの全製品は、FIPS、国際評価基準(Common Criteria:CC)、あるいはその他のセキュリティ標準への適合が個別に証明されており、効果的なデータ保護ソリューションの展開を、お客様に自信を持ってお約束することができます。 より高いレベルの保証をビジネスシステムにもたらすにあたっては、攻撃された場合のビジネス活動の混乱を最小限に抑えるために段階的なセキュリティ改善を行うだけに止まらず、それ以上のものを実現しなければならないというのがタレスの考えです。タレスは、組織がエラーのリスクを最小限に抑え、プロセスを自動化してより高い効率を実現し、問題発生時にはより容易に現状復帰することを支援します。さらに、暗号化やデジタル署名などの暗号プロセス導入に伴って発生しがちなボトルネックを解消することによって、システムの性能とスケールの問題に焦点を当てています。タレスの製品とエキスパートコンサルティングサービスの利点を生かし、取り扱いに注意を要するデータやアプリケーションに関するさまざまなリスクを理解し、それによって最も深刻なリスクを軽減することで、世界中の数多くの企業と政府機関が、重要なデータ資産の保護を強化するとともに、より効果的な形でその業務を戦略的目標と義務に即したものにしています。

利点:

  • データ保護と鍵管理に関する第一級のエキスパートの協力が得られます。
  • 広範なデータ保護分野における実績ある製品の利点を生かすことができます。
  • 個別に証明された製品によって信頼性が向上します。
  • さまざまな展開オプションを選ぶことができます。現在必要な能力分だけを購入し、時間とともにニーズが変化した場合でも後から容易にアップグレードが可能です。
  • 展開を加速します。タレスは、優れた商用システムやアプリケーションとの相互運用性を確保するために、広範な技術パートナーと協力しています。