洞察を引き出せるデータは企業においてますます重要になっている。ただしデータをため込むほど、攻撃者に狙われたときのリスクが大きくなる。対策の第一歩として、何を考えるべきか。
データの重要性が叫ばれるようになって久しい。データを分析し、そこから導き出す洞察を経営に生かす「データ経営」という言葉が登場するなど、経営判断においてデータに重点を置く時代になっている。データを持つことが重要なのは間違いない。一方ではランサムウェア(身代金要求型マルウェア)などの、データを狙うサイバー脅威が広がっていることを忘れてはいけない。
経営において重要なデータを正しく守り、脅威に対抗するために、企業にはどのような対処が必要になっているのか。本連載では、データセキュリティについて考える。第1回は、データセキュリティの基本とも言うべき「データの管理」がきちんとできていない企業が目立っている実態を取り上げる。データを正しく管理することこそ、データトラブルをなくす第一歩となる。
ランサムウェア被害が広がっている状況は、ITの分野を超えて一般の報道機関でも大きなニュースとして取り上げられている。こうした状況を受け、きちんとデータを管理し、ランサムウェア被害に遭ったとしても保護していたデータで復旧することの重要性をあらためて認識した人は、少なくないはずだ。
従来の基本的なサイバーセキュリティ対策だけではなく、データセキュリティ対策をきちんと取っている企業はそう多いとは言えない。ほとんどの企業が何らかの基本的なサイバーセキュリティ対策は実装していても、データガバナンス(データの統制)やデータセキュリティのポリシーはきちんと規定していないのが実態だ。
現代は「データの時代」と表現されることがある。背景には、データの重要性が高まり、社内のデータをさまざまな側面から見直そうという機運が高まっていることがある。だが実態を見ると、企業の取り組みは進んでいない。データが大切であることは企業の常識になったものの、どのようなポリシーで、どのデータを管理するかといった、データセキュリティの根本的な部分まで踏み込んでいる企業は少数派だと考えられる。
これは日本企業だけではなく、世界規模で見ても大きく変わらない。新型コロナウイルス感染症(COVID-19)によるパンデミック(世界的大流行)で、世界中の企業のデジタル化が急進展した。テレワークが普及する中で、社外でシステムを利用するなど従来なかった仕事の仕方が台頭し、システムのモダナイゼーション(最新化)が一挙に進むこととなった。その結果としてデータ量が増大するトレンドが世界的に加速した。だがほとんどの企業が、データセキュリティのポリシーにのっとって運用できているわけではないのは、国内と変わらない。
データセキュリティの対策が進まない要因の一つとして、デジタルトランストランスフォーメーション(DX)がIT部門主導では進んでいないことが考えられる。事業部門主導でDXが進む結果、データをサイバー攻撃から守ることや、システムを復旧するためにどうすればいいのかといった視点で対処策を考えることまで、手が回っていないというのが実情だと言える。
パンデミックが落ち着いて「アフターコロナ」と言われる時期に入り、ビジネス活動はCOVID-19のパンデミック発生前の状態に徐々に戻りつつある。あらためて自社のシステムを見直し、データセキュリティについても見直しを進めるべきタイミングとなっている。パンデミックによる環境変化で急速に進んだサービスやITの利用を一度見直し、自社のデータセキュリティポリシーをきちんと構築することが重要だ。万が一ランサムウェア被害に遭った際に、データ復旧ができる体制を構築しておく必要がある。
どのようなデータセキュリティを構築するのが適切かは、企業のポリシーによって異なる。自社ならではのポリシーを構築し、具体的なデータセキュリティの対策に落とし込む必要がある。当社をはじめとするデータ保護ツールベンダーはその支援はできるが、最終的な決定権は各企業自身にあることを忘れてはいけない。
データセキュリティを強化すべき理由は3つある。1つ目は、COVID-19による働き方の変化によるものだ。世界中の企業が出社制限の中で業務を続けるためにテレワークを採用し、企業の内側を守る「境界型セキュリティ」という従来の対策が通用しなくなった。オフィス外で働くことが当たり前になると、業務で利用するデータが信頼できることや、信頼できる場所にデータを保存することなどに、新たに意識を向ける必要が生じた。オフィス外からデータを保存したり、利用したりする人が、それを認められた従業員なのかどうか、データのセキュリティは確保されているのかどうかといった問題も浮上し、データセキュリティ強化の必要性が高まった。
2つ目の理由は、個人情報や企業資産の管理など、データに関する規制が世界的に強化されていることだ。海外で活動をする企業は、日本だけではなく世界各地の規制を理解し、それにのっとってデータを管理する必要がある。コンプライアンス(法令順守)やガバナンス(統治)といった概念を踏まえてデータを管理しなければならない。
3つ目の理由として、ランサムウェア攻撃やIT機器の故障によってデータ損失が発生し、企業が大きなダメージを受けている現状がある。金銭面の損失があることはもちろん、深刻な場合はビジネスの継続ができない事態に陥ることもある。ニュースとして報道されているだけでもさまざまな例がある。
こうした事態を避けるために参考になるのが、米国国立標準研究所(NIST)が策定したサイバーセキュリティの枠組み「NIST Cybersecurity Framework」(NIST CSF)だ。このNIST CSFをセキュリティ対策の指針としている企業は少なくない。この枠組みの中では、データの「防御」と「復旧」がきちんと定義されている。
NIST CSFは、防御のフェーズでは侵入対策や、データの保護について明記している。復旧のフェーズでは、データの回復のための計画立案と、その仕組みを作ることなどを求めている。従来、セキュリティ対策といえば侵入を防止することを中心としたサイバーセキュリティに焦点が当たりがちだったが、データを守るデータセキュリティについても考えるべき時期に来ていると言える。
企業のマルチクラウドのデータ保護・管理に関する課題解決を支援すべく、プリセールスSEおよびプロフェッショナル・サービスチームを統括。事業全体の戦略策定、プロモーション活動にも従事している。
Copyright © ITmedia, Inc. All Rights Reserved.
企業のITシステムのクラウド化が進むにつれ、情報システム部門の運用管理負担が増している。しかし、IT人材の不足により、人的リソースの補充は容易ではない。そこで本資料では、AWS運用の負担を軽減する方法を紹介する。
カスタマーサービスのサイロ化、問題解決の長時間化などの課題が顕在化している今、CXを変革する方法として、生成AIと自動化が注目されている。これらを活用することで、顧客満足度や問題解決時間はどう変わるのか、3つの実例から探る。
企業の生産性を向上させるためには、従業員が快適に働ける環境作りが重要になる。そこで参考にしてほしいのが、サイボウズが導入している「PCの従業員選択制」だ。業務用の端末を従業員が自由に選べることによる効果を紹介する。
Windows Server 2025は、セキュリティや可用性の向上に加え、Active Directory不要のワークグループ環境でもフェールオーバーとHyper-Vによるライブマイグレーションを実現した。Windows Server 2025が備える特長を詳しく解説する。
企業ITの複雑化が加速する中、安定運用とセキュリティリスク低減を図るため、マネージドサービスの採用が拡大している。本資料では、コンサルティング支援からシステム設計・構築、運用までを包括的にサポートするサービスを紹介する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
