ランサムウェア対策の肝「データセキュリティ」とサイバーセキュリティは違う？：「データセキュリティ」は誰の問題か【第1回】

洞察を引き出せるデータは企業においてますます重要になっている。ただしデータをため込むほど、攻撃者に狙われたときのリスクが大きくなる。対策の第一歩として、何を考えるべきか。

[高井隆太，ベリタステクノロジーズ]

　データの重要性が叫ばれるようになって久しい。データを分析し、そこから導き出す洞察を経営に生かす「データ経営」という言葉が登場するなど、経営判断においてデータに重点を置く時代になっている。データを持つことが重要なのは間違いない。一方ではランサムウェア（身代金要求型マルウェア）などの、データを狙うサイバー脅威が広がっていることを忘れてはいけない。

　経営において重要なデータを正しく守り、脅威に対抗するために、企業にはどのような対処が必要になっているのか。本連載では、データセキュリティについて考える。第1回は、データセキュリティの基本とも言うべき「データの管理」がきちんとできていない企業が目立っている実態を取り上げる。データを正しく管理することこそ、データトラブルをなくす第一歩となる。

「データセキュリティ」は「サイバーセキュリティ」とは異なる？

併せて読みたいお薦め記事

一歩先のデータ保護を考える

データ保護の基礎知識

• ランサムウェアで考える“バックアップがあるだけ”では無意味な理由
• クラウドデータ保護「DPaaS」とは？　使い倒す方法は？

　ランサムウェア被害が広がっている状況は、ITの分野を超えて一般の報道機関でも大きなニュースとして取り上げられている。こうした状況を受け、きちんとデータを管理し、ランサムウェア被害に遭ったとしても保護していたデータで復旧することの重要性をあらためて認識した人は、少なくないはずだ。

　従来の基本的なサイバーセキュリティ対策だけではなく、データセキュリティ対策をきちんと取っている企業はそう多いとは言えない。ほとんどの企業が何らかの基本的なサイバーセキュリティ対策は実装していても、データガバナンス（データの統制）やデータセキュリティのポリシーはきちんと規定していないのが実態だ。

　現代は「データの時代」と表現されることがある。背景には、データの重要性が高まり、社内のデータをさまざまな側面から見直そうという機運が高まっていることがある。だが実態を見ると、企業の取り組みは進んでいない。データが大切であることは企業の常識になったものの、どのようなポリシーで、どのデータを管理するかといった、データセキュリティの根本的な部分まで踏み込んでいる企業は少数派だと考えられる。

　これは日本企業だけではなく、世界規模で見ても大きく変わらない。新型コロナウイルス感染症（COVID-19）によるパンデミック（世界的大流行）で、世界中の企業のデジタル化が急進展した。テレワークが普及する中で、社外でシステムを利用するなど従来なかった仕事の仕方が台頭し、システムのモダナイゼーション（最新化）が一挙に進むこととなった。その結果としてデータ量が増大するトレンドが世界的に加速した。だがほとんどの企業が、データセキュリティのポリシーにのっとって運用できているわけではないのは、国内と変わらない。

データセキュリティ対策が進まない理由

　データセキュリティの対策が進まない要因の一つとして、デジタルトランストランスフォーメーション（DX）がIT部門主導では進んでいないことが考えられる。事業部門主導でDXが進む結果、データをサイバー攻撃から守ることや、システムを復旧するためにどうすればいいのかといった視点で対処策を考えることまで、手が回っていないというのが実情だと言える。

　パンデミックが落ち着いて「アフターコロナ」と言われる時期に入り、ビジネス活動はCOVID-19のパンデミック発生前の状態に徐々に戻りつつある。あらためて自社のシステムを見直し、データセキュリティについても見直しを進めるべきタイミングとなっている。パンデミックによる環境変化で急速に進んだサービスやITの利用を一度見直し、自社のデータセキュリティポリシーをきちんと構築することが重要だ。万が一ランサムウェア被害に遭った際に、データ復旧ができる体制を構築しておく必要がある。

　どのようなデータセキュリティを構築するのが適切かは、企業のポリシーによって異なる。自社ならではのポリシーを構築し、具体的なデータセキュリティの対策に落とし込む必要がある。当社をはじめとするデータ保護ツールベンダーはその支援はできるが、最終的な決定権は各企業自身にあることを忘れてはいけない。

データセキュリティが必要な3つの理由

　データセキュリティを強化すべき理由は3つある。1つ目は、COVID-19による働き方の変化によるものだ。世界中の企業が出社制限の中で業務を続けるためにテレワークを採用し、企業の内側を守る「境界型セキュリティ」という従来の対策が通用しなくなった。オフィス外で働くことが当たり前になると、業務で利用するデータが信頼できることや、信頼できる場所にデータを保存することなどに、新たに意識を向ける必要が生じた。オフィス外からデータを保存したり、利用したりする人が、それを認められた従業員なのかどうか、データのセキュリティは確保されているのかどうかといった問題も浮上し、データセキュリティ強化の必要性が高まった。

　2つ目の理由は、個人情報や企業資産の管理など、データに関する規制が世界的に強化されていることだ。海外で活動をする企業は、日本だけではなく世界各地の規制を理解し、それにのっとってデータを管理する必要がある。コンプライアンス（法令順守）やガバナンス（統治）といった概念を踏まえてデータを管理しなければならない。

　3つ目の理由として、ランサムウェア攻撃やIT機器の故障によってデータ損失が発生し、企業が大きなダメージを受けている現状がある。金銭面の損失があることはもちろん、深刻な場合はビジネスの継続ができない事態に陥ることもある。ニュースとして報道されているだけでもさまざまな例がある。

　こうした事態を避けるために参考になるのが、米国国立標準研究所（NIST）が策定したサイバーセキュリティの枠組み「NIST Cybersecurity Framework」（NIST CSF）だ。このNIST CSFをセキュリティ対策の指針としている企業は少なくない。この枠組みの中では、データの「防御」と「復旧」がきちんと定義されている。

　NIST CSFは、防御のフェーズでは侵入対策や、データの保護について明記している。復旧のフェーズでは、データの回復のための計画立案と、その仕組みを作ることなどを求めている。従来、セキュリティ対策といえば侵入を防止することを中心としたサイバーセキュリティに焦点が当たりがちだったが、データを守るデータセキュリティについても考えるべき時期に来ていると言える。

執筆者紹介

高井隆太（たかい・りゅうた）　ベリタステクノロジーズ　常務執行役員　テクノロジーソリューションズ本部ディレクター

企業のマルチクラウドのデータ保護・管理に関する課題解決を支援すべく、プリセールスSEおよびプロフェッショナル・サービスチームを統括。事業全体の戦略策定、プロモーション活動にも従事している。