Top 10 Data Protection Best Practices for Your Data Program

データは生産性の生命線であり、機密データの保護はこれまで以上に重要となっています。サイバー脅威が急速に進化し、データ プライバシー規制が強化されるなかで、組織は最も貴重な資産を保護するために、常に警戒を怠らず、積極的に行動する必要があります。しかし、効果的なデータ保護フレームワークはどのように構築できるのでしょうか？

このブログでは、コンプライアンス要件の順守から日々の業務の合理化に至るまでのデータ保護のベスト プラクティスを解説します。中小企業と大企業どちらを保護する場合でも、データ保護の主な戦略により、侵害に対する強力な防御を構築し、機密データを安全に保つことができます。

1. データ目標の定義

あらゆるデータ保護プロジェクトに取り組む際、最初のステップは常に望ましい結果を理解することです。

まず、保護する必要があるデータを把握しましょう。自社の最重要データを特定し、そのデータがどこに保存されていると考えているかを明確にしてください(予想以上に分散している可能性が高いですが、これは保護の焦点を定義するための重要なステップです)。事業主と連携し、通常の想定範囲外にあって保護が必要なデータを検出します。

こうした取り組みはすべて、「侵害された場合、どのデータが組織に損害を与えるのか」という問いに答えるためのものです。

次に、経営幹部や取締役会と協力し、データ保護プログラムの全体像を定義します。予算、データ漏洩に対するリスク許容度、保有しているリソース(または必要となるかもしれないリソース)を把握しましょう。保護プログラムをどの程度積極的に実施するかを定義し、リスクと生産性のバランスを取るようにしてください。どの組織も、この2つを両立させる必要があります。

2. データ分類の自動化

次に、データ分類の取り組みを開始します。つまり、データを検出し、カタログ化することです。組織は常に新しいデータを作成するため、これがプロセスのなかで最も難しいステップになることが多いでしょう。

最初は、すべてのデータを常に管理しようと考えるかもしれませんが、これは徒労に終わる可能性があります。成功の鍵は、データが移動するあらゆる場所(エンドポイント、インライン、クラウド)に分類機能を設置し、リスクが発生した際にDLPポリシーで介入することです(これについては後ほど詳しく説明します)。

AIのおかげで、データ分類の自動化は非常に助かる存在となりつつあります。AIを活用した分類は、DLPによる従来のデータ分類方法よりも高速かつ正確です。評価対象のソリューションが人間の介入なしにAIを活用し、データを瞬時に特定および検出できるものであることを確認しましょう。

3. アクセス制御のためのゼロトラスト セキュリティへの注力

最新のデータ保護戦略を効果的なものにするには、ゼロトラスト アーキテクチャーの導入が欠かせません。ゼロトラストは「決して信頼せず、常に検証する」という原則に基づいており、セキュリティ脅威がネットワークの内外から発生する可能性があると想定しています。すべてのアクセス要求が認証および承認されるため、不正アクセスやデータ侵害のリスクを大幅に軽減します。

ユーザーとアプリ間の最小特権アクセス制御の重要性を重視するゼロトラスト ソリューションを選定しましょう。このアプローチにおいて、ユーザーはネットワークにアクセスすることがありません。そのため、ネットワーク上で脅威のラテラル ムーブメントが発生し、他のエンティティーやデータに拡散する可能性を軽減します。最小特権の原則により、ユーザーには自身の役割に必要なアクセス権のみが付与され、攻撃対象領域を削減できます。

4. 一貫したアラートを生成するためのDLPの一元管理

情報漏洩防止(DLP)テクノロジーは、あらゆるデータ保護プログラムの中核となります。ただし、DLPはより大規模なデータ保護ソリューションの一部に過ぎないことを念頭に置く必要があります。DLPは(AIと組み合わせることで)データ分類を可能にし、機密データを正確に検出できるようにします。デバイス、ネットワーク、クラウドにおいて同一データに対して一貫して正しくアラートを生成できるDLPエンジンであることを確認しましょう。

これを実現する最善の方法は、すべてのチャネルを一度にカバーできる一元化されたDLPエンジンを導入することです。独自のDLPエンジン(エンドポイント、ネットワーク、CASB)を備えたポイント製品は避けてください。こうした製品は、移動中の同一データに対して複数のアラートが発生し、インシデント管理と対応が遅くなる可能性があります。

Gartnerのセキュリティ サービス エッジの導入を検討してください。このアプローチは、一元化されたクラウド サービスからDLPを提供します。最も多くのチャネルをサポートするベンダーに重点を置くことで、プログラムの拡張に伴ってデバイス、インライン、クラウド全体に簡単に保護を追加できます。

5. データ漏洩の主な原因となるチャネルの確実なブロック

一元化されたDLPを導入した後は、組織にとって最も重要なデータ漏洩の原因となるチャネルに重点を置きます(組織の成長に伴ってさらに多くのチャネルを追加する必要があるため、すべてのチャネルに対応し、成長に合わせて拡張できるプラットフォームであることを確認してください)。最も重要なチャネルは組織によって異なりますが、どの組織も共通で重視するチャネルがあります。具体的には、次のとおりです。

• Web/メール：ユーザーが誤って機密データを組織外に送信してしまう、最も一般的なチャネルです。
• SaaSデータ(CASB):ユーザーはデータを外部で簡単に共有できるため、これも一般的なデータ漏洩の原因となるチャネルです。
• エンドポイント：USB、印刷、ネットワーク共有を制御しようとしている多くの組織にとって、重視すべき主な領域です。
• 管理対象外デバイス/BYOD: BYODフットプリントが大きい場合、ブラウザー分離はエージェントやVDIを使用することなく、これらのデバイスに送信されるデータを保護する革新的な方法です。デバイスは分離されたブラウザーに配置され、DLP検査を施行し、切り取り、貼り付け、ダウンロード、印刷を防止します(これについては後ほど詳しく説明します)。
• SaaSポスチャー管理(SSPM/サプライ チェーン): Microsoft 365などのSaaSプラットフォームは、設定ミスが発生しやすい場合があります。データ侵害を最小限に抑えるには、ギャップやリスクの高いサードパーティー統合を継続的にスキャンすることが重要です。
• IaaSポスチャー管理(DSPM):ほとんどの組織は、AWSやAzure、Google Cloudに大量の機密データを保有しています。それらすべてを検出し、露出につながる危険な設定ミスを解消することが、データ セキュリティ ポスチャー管理(DSPM)の目的です。

6. コンプライアンスの理解と維持

コンプライアンスを把握することは、優れたデータ保護を実現するための重要なステップです。業界によっては、さまざまな規制(GDPR、PCI DSS、HIPAAなど)への対応が求められる場合があります。これらの規制は、個人データを安全に保ち、組織がそれを適切に取り扱うことを確保するために存在します。最新の規制要件を常に把握することで、罰金を回避し、ブランドを保護するとともに、顧客やパートナーとの信頼を構築できます。

コンプライアンスを確保するには、強力なデータ ガバナンスの実践が必須です。これには、定期的なセキュリティ監査、適切な記録の保持、担当部門の十分なトレーニングの確保があります。データの暗号化や監視ツールなど、コンプライアンスを強化するための技術的アプローチを採用しましょう。コンプライアンスを日々の業務の一部にすることで、リスクを未然に防ぎ、データ保護を効果的かつ要件に準拠したものにできます。

7. BYOD戦略の策定

すべての組織に当てはまる懸念ではありませんが、管理されていないデバイスはデータ保護において特有の課題を招きます。組織はこれらのデバイスを所有しておらず、エージェントも導入していないため、セキュリティ態勢やパッチ適用状況を確認したり、リモートでデータを消去したりすることはできません。しかし、そのユーザー(パートナーや請負業者など)には、重要なデータにアクセスする正当な理由がある場合が少なくありません。

機密データがBYODエンドポイントに保存され、把握できなくなる事態は望ましくありません。これまでBYODを保護するためのソリューションは、CASBリバース プロキシ(問題あり)とVDI (高額)を中心に展開されてきました。

ブラウザー分離は、こうしたアプローチのコストや複雑さを伴うことなく、データを保護するための効果的で洗練された方法を提供します。BYODエンドポイントを分離されたブラウザー(セキュリティ サービス エッジの一部)に配置することで、エンドポイント エージェントを導入することなく強力なデータ保護を施行できます。データはピクセルとしてデバイスにストリーミングされるため、データとのやり取りは可能でありながら、ダウンロードや切り取り、貼り付けは防止されます。また、ポリシーに基づいてセッションやデータにDLP検査を適用することも可能です。

8. SSPMとDSPMによるクラウド ポスチャー管理

クラウドのセキュリティ態勢は、データ管理において最も見落とされがちな要素の1つです。SaaSプラットフォームやパブリック クラウドには多数の設定があり、セキュリティの専門知識を持たないDevOps部門では簡単に見落としてしまいます。結果として生じる設定ミスにより、機密データの漏洩を招く危険なギャップが生じかねません。過去に発生した最大のデータ侵害の多くは、このような隙から攻撃者が侵入できることが原因で発生しました。

SaaSセキュリティ ポスチャー管理(SSPM)とデータ セキュリティ ポスチャー管理(IaaS向けのDSPM)は、これらのリスクを明らかにし、修正できるように設計されています。APIアクセスを活用することで、SSPMとDSPMはクラウド展開を継続的にスキャンし、機密データの所在や設定ミスを特定し、露出を修正します。一部のSSPMは、NIST、ISO、SOC 2などのフレームワークの統合的な順守も特長としています。

9. データ セキュリティ トレーニングの徹底的な実施

データ保護プログラムが機能しなくなる原因として挙げられるのが、データ セキュリティ トレーニングの不足です。ユーザーがデータ保護の目標に対する理解や支持をしていない場合、部門内で意見が分かれて、プログラムが失敗する可能性があります。時間をかけて自社の目標やデータ保護が組織にもたらす価値を強調するトレーニング プログラムを構築してください。上級管理職はデータ セキュリティ トレーニングの取り組みを支持し、後押しするようにしましょう。

一部のソリューションには、インシデント管理のワークフローにユーザー コーチングが組み込まれています。この便利な機能により、Slackやメールでユーザーにインシデントを通知し、必要に応じて正当性の確認、教育、ポリシーの調整を行うことが可能です。ユーザーを自身のインシデントに関与させることで、データ保護の実践だけでなく、機密性の高いコンテンツを特定して安全に取り扱う方法に対する意識向上にもつながります。

10. インシデント管理とワークフローの自動化

最後に、日々の業務がなければデータ保護プログラムは完了しません。担当部門がインシデントを効率的に管理し、迅速に対応できるようにすることが重要です。プロセスの合理化を進める方法の1つは、ワークフローの自動化を可能にするソリューションを導入することです。

この機能は、一般的なインシデント管理や対応業務を自動化するように設計されており、IT部門にとって非常に助かる存在です。時間とコストを節約しながら応答時間を改善することで、少ないリソースでより多くの成果を上げることができます。インシデント管理を効率的かつ一元化するために、SSEに統合された強力なワークフローの自動化機能を備えたソリューションを選定してください。

すべてのアプローチの統合

データ保護は、1回限りのプロジェクトではなく継続的な取り組みです。データ保護のベスト プラクティスを常に把握しておくことで、進化する脅威に対する強力な防御を構築し、組織の長期的な成功を確実なものにできます。

なお、データ保護への投資は、リスクの軽減とデータ侵害の防止だけが目的ではありません。信頼を築いて評判を維持し、新たな成長の機会を獲得することにもつながります。そのため、今すぐ着手し、データ保護をビジネス戦略の基盤にしましょう。