OpenTextのホームページ。
技術トピックス

データ・セキュリティとは何か?

クエスチョンマークを中心としたIT項目の図解

概要

データ・セキュリティの核心は、機密データがどこにあるのか、許可されたエンド・ユーザーによってどのように使用されているのか、誰がアクセスしようとしているのかを可視化するために、さまざまなツール、テクノロジー、プロセスを組み込むことである。高度なデータ・セキュリティ・ツールは、データ暗号化、データ・マスキング、機密ファイルの再編集、ハッシュ化、トークン化、キー・アクセス管理などのソリューションを提供するだけでなく、自動化されたレポーティングや規制コンプライアンス要件への対応も支援します。

以下では、データ・セキュリティの重要性、一般的なデータ・セキュリティ・リスク、データを保護するためのセキュリティ・ソリューションについて詳しく説明します。

Voltage by OpenText™ がForrester Wave™ のリーダーである理由をご覧ください:データセキュリティプラットフォーム、2023年第1四半期

このレポートをダウンロードして、Voltageがリーダーである理由をご覧ください!例えば「データ・セキュリティ、プライバシー、ガバナンスのユースケースをサポートする単一プラットフォームに関心のある、規制の厳しい業界の組織は、当社を検討すべきです」「データの発見と分類、トークン化、暗号化、データ・マスキングで傑出しています」。

レポートを読む

データ・セキュリティ

なぜデータ・セキュリティが重要なのか?

世界中の組織は、重要な資産を保護するために、情報技術(IT)サイバーセキュリティ機能に多額の投資を行っている。企業がブランド、知的資本、顧客情報を保護する必要があろうと、重要インフラを管理する必要があろうと、組織の利益を守るためのインシデント検知と対応の手段には、「人」「プロセス」「テクノロジー」という3つの共通要素がある。公的機関も民間企業も、高価なデータ漏洩に見舞われる可能性を減らすために、効果的なデータセキュリティ・ソリューションを導入し、企業の資産や機密性の高いビジネス情報(企業秘密、知的財産(IP)など)をサイバー犯罪者から守る必要がある。さらに、堅牢なデータ・セキュリティ・ツールは、今日のデータ侵害の主な原因の2つである内部脅威と人的ミスを軽減するものでなければならない。

データプライバシー規制

しかし、データセキュリティ・ソリューションは、単に企業を保護するだけではなく、組織が従業員、請負業者、ベンダー、パートナー、顧客の個人を特定できる情報(PII)を保護しなければならないという法的・道徳的な義務にも関わる。複数のデータプライバシー規制が制定される中、多くの主要セクターの組織は、個人情報の漏洩や高額な罰金を避けるために、厳格なデータセキュリティポリシーを遵守しなければなりません。最も顕著な個人情報保護規制には、以下のようなものがある:

適切なデータ・セキュリティ対策を実施せず、データ侵害の被害に遭った組織は、ブランドの評判を落とすリスクも負うことになる。多くの顧客は、組織の個人情報保護能力に対する信頼を失うからである。

ITの近代化とクラウド化の加速

データ・プライバシー規制を満たすだけでなく、堅牢なデータ・セキュリティ・ソリューションの導入はますます複雑になっています。組織が作成、利用、保存するデータの増加、クラウド化が加速するIT環境、かつてないほど増加するリモートワーカーによって、攻撃対象はますます拡大している。つまり、ITおよび情報セキュリティ・チームは、クラウドにおける新たな攻撃ベクトルやネットワーク・アーキテクチャの脆弱性に対応するために、現行のデータ・セキュリティ対策を適応させ、近代化しなければならない。

一般的なデータ・セキュリティ・リスク

最も一般的なデータ・セキュリティ・リスクには、以下のようなものがある:

  • 人為的ミス:データ漏洩の多くは、悪意のない人為的ミスによって機密データや情報が流出することによって引き起こされる。貴重なデータへのアクセスの共有や許可から、機密情報の紛失や誤操作に至るまで、 従業員は 偶然に、あるいは企業のセキュリティ・ポリシーについて十分な説明を受けていないために 、データ漏えいを引き起こす可能性があります 。
  • ソーシャル・エンジニアリング攻撃:サイバー犯罪者の主要な攻撃ベクトルとして、ソーシャル・エンジニアリング攻撃は、従業員を操作して個人情報を提供させたり、個人アカウントにアクセスさせたりする。ソーシャル・エンジニアリング攻撃の最も一般的な形態の一つがフィッシングである。 
  •  内部脅威:悪意のある、または危険にさらされた内部関係者とは、意図的または不注意に組織のデータを危険にさらす従業員、請負業者、ベンダー、パートナーのことです。悪意のある内部関係者は、個人的な利益のために積極的にデータを盗んだり、組織に危害を加えようとするが、危害を加えられた内部関係者は、アカウントがハッキングされたことに気づかずに日常生活を送っている。
  • ランサムウェアランサムウェアは、犯罪者が企業のデバイスを乗っ取り、機密データを暗号化するために使用するマルウェアです。このデータには、サイバー犯罪者が所有する復号化キーがなければアクセスできず、身代金が支払われた場合にのみこのキーを解放するのが一般的だ。身代金を支払っても、データが消失してしまうことがよくある。
  •  クラウド移行時のデータ損失:企業がIT環境をクラウドに移行する際、クラウドアーキテクチャに精通していないITチームは、クラウドセキュリティの設定やデータの取り扱いを容易に誤る可能性がある。

包括的なデータ・プライバシー・ソリューション

包括的なデータ・プライバシー・ソリューションには、機密データを狙うサイバー攻撃から組織を効果的に保護するためのいくつかのテクニックが必要です。以下では、貴社の資産と従業員の個人情報を保護するために、貴社が活用すべき最も重要なデータ・セキュリティ技術をいくつか紹介します。

Identity and Access Management

アイデンティティとアクセス管理(IAM)は、組織内のデジタル・アイデンティティを管理するプロセスである。ゼロ・トラスト・ネットワーク・アクセス(ZTNA)、シングルサインオン(SSO)、多要素認証(MFA)などの戦略を通じて、最小特権の原則(PoLP)を確立し、あらかじめ設定された権限を持つエンドユーザーのみが、役職や役割に基づいてデータにアクセスできるようにすることができます。ZTNAフレームワークを使えば、ID、時間、継続的なデバイスの姿勢評価などに基づいて、条件付きエンドユーザー・アクセスを提供できる。

暗号化

データの暗号化は、暗号(暗号化アルゴリズム)と暗号キーを使って、平文(人間が読めるテキスト)を暗号文(読めない文字列)にエンコードする。この暗号文を平文に戻すことができるのは、復号鍵を持つ正規ユーザーのみである。組織は、ファイル、データベース、電子メール通信などを保護するために暗号化を使用することができる。さらに、多くのデータプライバシー規制は、コンプライアンス基準を満たすためにデータの暗号化を要求している。

トークン化

トークン化は、機密性の高いデータを、機密性の低い、同じデータの読み取り不可能なバージョンに置き換えるもので、トークンとも呼ばれる。このトークンは、安全なトークン保管庫に保管されている機密データを表すランダムなデータの文字列です。データのトークン化は完全に解読不可能であり、トークンとそれが表すデータとの間に数学的な関連性がないため、サイバー犯罪者がプロセスを逆行させることはできない。このデータ・セキュリティ・ソリューションは、社会保障番号や支払情報などの個人情報を扱う組織でよく使用される。

データマスキング

データマスキングは、人間が読めるテキストをプロキシ文字に置き換えることで、組織が重要な情報を「マスク」したり隠したりすることを可能にする。許可されたエンドユーザーがマスキングされた情報を受信した場合、そのエンドユーザーだけがその情報を元の人間が読める形で見ることができる。このデータ・セキュリティ戦略は、ソフトウェアのテストやトレーニングのようなものに活用できる。また、無許可のユーザーや悪質な行為者がマスクされた情報にアクセスしたとしても、機密データやPIIを閲覧することはできない。

データの発見と分析

データ・ディスカバリーおよびデータ分析 ソリューションにより、組織は、どのような種類のデータがあり、データがどこにあり、データがどのように使用されているかを迅速に明らかにすることができる。これにより、一枚のガラスからデータを可視化することができ、企業はどのデータが機密であり、保護する必要があるかを迅速に特定することができる。また、これらのソリューションは、社内データセンター、クラウドプロバイダー、ネットワークエンドポイントなど、複数のIT環境にわたる識別を可能にする。

データ損失防止(DLP)

DLPソリューションは、人工知能(AI)を使用して、組織の機密データを自動的にレビューおよび分析し、データの異常な使用を検出した場合にリアルタイムのアラートを提供します。さらに、機密データのデータ・セキュリティ・ポリシーを一元管理することもできる。組織がデータ損失を防ぐもう一つの方法は、データのバックアップである。停電や自然災害のような制御不能な予期せぬ出来事によって、物理的なサーバーやそこに保存されているデータが破壊される可能性があるからだ。通常、データのバックアップはリモートサイトやクラウド環境で行うべきである。

データおよびアプリケーションの破棄

データやアプリケーションの廃棄は簡単なように思えるかもしれないが、標準的なデータ消去は100% 効果的なソリューションではない。堅牢なデータ廃棄ソフトウェアがあれば、組織はいつでもデータや期限切れのアプリケーションを適切に廃棄できる。これらのソリューションは、あらゆるデバイス上のデータを完全に上書きし、誰にも、特に悪意のある行為者にもデータを復元できないようにする。

セキュリティ監査

データ・セキュリティ戦略が効果的であることを確認するために、組織はデータ・セキュリティ監査を定期的に実施しなければならない。これらの監査は、組織の攻撃対象領域全体にわたるあらゆる弱点や脆弱性を検出する。包括的なセキュリティ監査は、専門の第三者ベンダー(例:ネットワーク侵入テスト)または自社で実施することができる。しかし、どのような方法でセキュリティ監査を行うにせよ、検出されたデータ・セキュリティ上の問題は迅速に対処しなければならない。

エンドポイントプロテクション

IT環境がクラウドに移行し、リモートワークが増加する中、 従業員のエンドポイントは 、マルウェアなどの脅威から 適切に保護されなければならない 。公認された、あるいは IT 部門が管理するデバイス、サーバー、クラウドシステムとは異なり、公認されていないエンドポイントには、ゼロデイ・マルウェアのような現代の攻撃から保護するためのセキュリティ・プロトコルや脅威防御アーキテクチャが備わっていない可能性が高い。適切なエンドポイント・プロテクション・ソリューションを導入することで、組織はエンドポイントに対する未知の攻撃をいち早く察知し、影響を受けたエンドポイントをロックダウンすることで、より大規模な侵害を防ぐことができる。

従業員教育

組織の従業員や関連会社は、データ・セキュリティのベスト・プラクティスについて適切な教育を受けなければならない。これには、各自のアカウントに強力なパスワードを作成する方法を理解することや、フィッシング詐欺のようなソーシャル・エンジニアリング攻撃がどのようなものかを理解することも含まれる。これらのセキュリティ戦略について従業員を教育するだけでなく、アカウントを作成するユーザーにはより複雑なパスワードを要求し、パスワードの更新を定期的に実施するようにしてください。

オープンテキストのデータセキュリティソリューション

特に、IT部門がバラバラのセキュリティ・ベンダーやソリューションを使ってセキュリティ戦略を断片的にまとめようとしている場合、組織として適切なデータ・セキュリティ対策を確保することは、圧倒的に難しく感じられるかもしれません。しかし、OpenTextのようなシングルベンダーのデータセキュリティソリューションを使用すれば、組織の機密データや従業員の個人情報を簡単に保護することができます。

OpenTextは、最新のデータセキュリティソリューションのリーダーとして、80件を超える特許と51年にわたる専門知識を有しています。アプリケーション、トランザクション、ストレージ、ビッグデータプラットフォームにまたがるデータを保護する高度なデータ暗号化、トークン化、鍵管理機能を備えたOpenText Voltageは、最も複雑なユースケースでもデータのプライバシーと保護を簡素化します。

OpenText™ Data Discovery, Protection, and Compliance製品には以下のものがあります:

データセキュリティ

今日から始めましょう。

デモをリクエストする

関連製品

OpenText™ Data Privacy & Protection Foundation

ハイブリッドITで使用可能な状態を維持しながら、価値の高いデータを保護

データプライバシーと保護

データの保護、リスクの低減、コンプライアンスの改善、アクセスの管理

関連商品をすべて見る

お問い合わせはこちら

脚注