データ セキュリティとは

データ セキュリティが重要な理由

クラウド コンピューティング技術が進化し、世界中でクラウドの利用が急速に広がっています。その結果、以前はローカル データ センターで集中管理されていた機密データが広く分散し、より多様なセキュリティ リスクにさらされるようになっています。サイバーセキュリティ業界では、高度なAIや自動化を活用した最新のセキュリティ ツールが開発されていますが、サイバー犯罪者も新たな攻撃手法を次々と生み出しています。

次世代のサイバー攻撃から重要なデータを保護するために、多くの組織がより厳格な情報セキュリティ対策を導入し始めています。この流れの背景には、新たな脅威の発生だけでなく、組織が処理し、生成するデータ量が急激に増加している現状があります。特に医療、金融、公的機関のような規制の厳しい業界においては、保護対象医療情報(PHI)や個人を特定できる情報(PII)など、大量の個人データを保護することががますます重要な課題となっています。

データ セキュリティ規制

世界中の業界や政府は、データの取り扱い方法や保管場所、セキュリティ要件を定めた規制フレームワークを策定しています。主なコンプライアンス フレームワークには、以下のようなものがあります。

• カリフォルニア州消費者プライバシー法(CCPA):カリフォルニア州の居住者に対し、企業が収集、共有、販売する個人データの内容を知る権利とこれらの行為を拒否する権利を保証しています。
• 連邦リスクおよび承認管理プログラム(FedRAMP):米国連邦政府機関が利用するクラウド サービス プロバイダーを評価および承認するための標準化されたアプローチを提供します。
• 一般データ保護規則(GDPR):企業に対し、データ侵害の迅速な報告やEU市民の個人データの処理に関する明示的な同意の取得を義務付けています。また、EU市民には、自身のデータにアクセス、修正、消去する権利が保証されます。
• 医療保険の相互運用性と説明責任に関する法律(HIPAA):米国の医療提供者とPHIを取り扱う事業体に対し、プライバシー保護とセキュリティ確保を義務付ける法律です。
• ISO/IEC 27001:情報セキュリティ管理を確立、維持、改善するためのフレームワークを提供する国際規格で、リスク評価、セキュリティ制御、継続的な監視に重点を置いています。
• 米国国立標準技術研究所(NIST)のサイバーセキュリティ フレームワーク：組織のセキュリティ リスクを軽減し、サイバーセキュリティのレジリエンスを向上させるための包括的なガイドラインを提供しています。
• ペイメント カード業界データ セキュリティ標準(PCI DSS):クレジット カード取引を扱う企業に対して、カード所有者のデータを保護するために暗号化やアクセス制御などを実装することを義務付けています。

こうしたフレームワークは、データ リスクを可能な限り減らすために定期的に更新されています。データ リスクについては、次のセクションで詳しく説明します。

データ セキュリティの最大のリスク

データは常に何らかのリスクにさらされている可能性があるため、扱う際は何に注意すべきかを理解しておく必要があります。代表的なリスクには以下が含まれます。

• 不正アクセスと内部脅威：認証メカニズムが脆弱な場合や侵害を受けた場合、組織内外の未承認のユーザーが機密データや知的財産にアクセスできる可能性があります。
• 脆弱性と設定ミス：パッチが適用されていないソフトウェアには、ハッカーによるアクセスを可能にする既知の脆弱性が含まれている可能性があります。また、本来は安全なシステムであっても、安全な構成がなされていなければ同じようなセキュリティ ギャップが生まれる場合があります。
• ランサムウェアやマルウェア：ランサムウェアは、データの暗号化、抜き取り、破壊、流出を行うことで深刻な情報漏洩を引き起こします。他の種類のマルウェアは、ユーザーのアクティビティーを監視したり、システムを乗っ取ったりして、悪意のある操作をさらに実行できるようにします。
• フィッシングとソーシャル エンジニアリング：フィッシング攻撃は多くの場合メールを通じて行われます。ソーシャル エンジニアリング手法でユーザーをだまし、ログイン認証情報や機密情報を開示させます。
• 不十分なデータ暗号化：組織のデータを暗号化せずに平文で送信または保存すると、権限のない第三者に傍受されるリスクが高くなります。
• サードパーティーとクラウドに関するセキュリティ リスク：データの処理や保存をサードパーティーに委託すると、委託先の不十分なセキュリティ対策、不明確なセキュリティ責任の境界、設定ミスなどにより、新たなセキュリティ リスクにさらされる可能性があります。

これらのリスクを軽減するには、堅牢なアクセス制御、脆弱性管理、強力な暗号化、継続的なリアルタイム監視、監査などを含む包括的なサイバーセキュリティ戦略を策定することが重要です。

さまざまなデータ セキュリティ ソリューション

効果的なデータ セキュリティを確保するには、複数のセキュリティ制御が連携して機能し、保存データと転送中データを包括的に保護する必要があります。

ここでは、データの安全性を確保するための基本的な手法を紹介します。

• データ暗号化：暗号アルゴリズムと暗号化キーを用いて、平文データを暗号文に変換するプロセスです。暗号化した後は、復号キーを使用して平文に戻すことができます。
• トークナイゼーション：データ値を変換することで、脅威アクターからは機密性のないデータのように見えるプロセスを指します。データ マスキングとも呼ばれ、これらのプレースホルダー(トークン)は対応する機密データと紐づけられています。
• ファイアウォール：従来のファイアウォールは、ホストとエンド システム間のネットワーク トラフィックを管理して完全なデータ転送を実行することで、データを保護します。そして、定義されたセキュリティ ポリシーに基づく決定の一環として、ポートとプロトコルに基づいてトラフィックを許可またはブロックします。

これらに加えて、以下のような高度なソリューションを活用することで、巧妙化する最新の脅威を回避できます。

• 情報漏洩防止(DLP):保存データ、転送中データ、使用中データを監視および検査し、侵害とデータの消去や抜き取りの試みを検出する技術です。最も高度なDLPソリューションは、あらゆる場所のユーザー、アプリ、デバイスを保護するために構築された、より広範なデータ保護プラットフォームに組み込まれています。
• アイデンティティーとアクセス管理(IAM):組織全体にアクセス制御ポリシーを施行することで、データを保護します。通常は、シングル サインオン(SSO)や生体認証などの多要素認証(MFA)を通じてユーザーにリソースへのアクセスを許可します。
• ゼロトラスト ネットワーク アクセス(ZTNA):ユーザーの場所に左右されることなく、内部アプリへの安全なアクセスを提供します。最小特権の原則に基づいて必要なリソースにのみアクセスを許可し、きめ細かなポリシーで管理します。ZTNAは、許可されたユーザーを直接プライベート ネットワークに配置したり、アプリをインターネットに公開することなく、安全にプライベート アプリに接続させます。

データ セキュリティのベスト プラクティス

データ セキュリティ対策の効果を最大限に高めるには、単に導入するだけでなく、さらにいくつかの重要なステップを踏む必要があります。ここでは、データ セキュリティを効果的に運用するための方法を紹介します。

• 定期的なリスク評価の実行：組織の脆弱性がどこにあるかを理解することで、担当部門やリーダーは、ハッカーの侵入を防ぐことができる場所を明確にできます。
• コンプライアンスの維持：コンプライアンス違反の罰金は高額になる可能性があるため、適切なコンプライアンス フレームワークを順守することでリスクと金銭的損失を最小限に抑えられます。
• 高品質のデータ バックアップの保持：ランサムウェアが増加している現代において、信頼性の高いデータ バックアップはセキュリティ対策に不可欠な要素です。
• 厳格なセキュリティ ポリシーの設定：これは当たり前のことのように思えるかもしれませんが、侵害の多くは不十分なポリシーに起因しており、これらの不備は脅威アクターに侵入の機会を与えます。

Zscalerが提供するデータ セキュリティ

Zscaler Data Protectionは、ユーザーとアクセス先のアプリを追跡することで、場所を問わず常にデータを保護し、情報漏洩を防ぎます。ZscalerのZero Trust Exchange™は、暗号化の有無にかかわらず、トラフィックをインラインで検査し、SaaSやパブリック クラウド アプリのセキュリティを確保しながら、保護と運用のアプローチを大幅に合理化します。これらはすべて、従来のオンプレミス ソリューションでは得られなかったメリットです。

Zscaler Data Protectionは、情報漏洩の原因となる以下の4つの主な経路を保護します。

• インターネットへのデータ流出の防止：ユーザーがインターネットやリスクの高いサイトにアクセスするたびに、組織のデータが危険にさらされる可能性があります。従来のアプライアンスでは、ネットワーク外のユーザーを追跡したり、Webトラフィックを保護したりすることはできませんが、クラウド ネイティブなZscalerのプラットフォームは、あらゆる場所のトラフィックをすべて検査し、保護する拡張性を備えています。さらに、単一のDLPポリシーがWeb、メール、エンドポイント、SaaS、プライベート アプリのデータを高度な分類技術で保護します。
• CASBによるSaaSデータの保護：Microsoft OneDriveのようなアプリでは、わずか2回のクリックで未承認のユーザーにデータを共有できるため、SaaSアプリに保存されているデータの保護はセキュリティ上欠かせません。Zscalerは、SaaSアプリを保護する統合型マルチモードCASBを提供し、複雑でコストのかかる従来のポイント製品を不要にします。インライン機能を通じてシャドーITを完全に可視化して制御するとともに、アウトオブバンドDLPとATPを使用して、危険なファイルの共有を防ぎ、クラウド内のマルウェアの脅威を検知して軽減します。
• パブリック クラウド データの保護：クラウド侵害のほとんどは、危険な設定ミスや過剰な権限によって引き起こされます。Zscaler CSPMとCIEMは致命的な可能性がある設定ミスやコンプライアンス違反、アクセス許可、権限を検出して修復するとともに、継続的なスキャンを通じてリスクに優先順位を付けます。統合型SaaSセキュリティ ポスチャー管理は、この機能をMicrosoft 365、Salesforce、Google WorkspaceなどのSaaSアプリにも拡張します。
• 管理対象外デバイスの保護：BYODなどの管理対象外デバイスは、データに対する重大な脅威となる可能性があります。Zscaler Browser Isolationは、VDIやリバース プロキシ特有のパフォーマンス問題を回避しながら、管理対象外デバイスからの安全なアクセスを可能にします。このソリューションは、Zero Trust Exchange内の分離されたセッションからピクセル データをストリーミングすることで、BYODを安全に利用できる環境を確保し、ダウンロード、コピー、ペースト、印刷によるデータ漏洩を防止します。