データが必要だからこそ「データを捨てるべき」なのはなぜか？：「データセキュリティ」は誰の問題か【第2回】

「データ活用が重要だ」という認識が広がり、企業が保有するデータの多様化や容量増大が進んでいる。ただし企業は、本当に必要なデータとは何かを考えた方がよい。その検討を進める際のポイントは。

[高井隆太，ベリタステクノロジーズ]

　「あなたの会社はデータをたくさん持ち過ぎていませんか」――このような質問をすると、ほとんどの企業の担当者は「そんなことはありません。『データが少ない』と指摘を受けたくらいです」と答える。データの重要性がアピールされている時代だからか、企業は自社には十分なデータがない、もっとデータを蓄積していかなければならないと考えがちだ。だがそうした意識は、実態とは異なっている可能性がある。

　Veritas Technologiesの調査「The Vulnerability Lag」によると、企業は保有するデータのうち、平均で50％のデータを「無駄だ」とあらかじめ認識しているのに保存し続けている。価値があるのかないのか分からないまま保有しているデータは平均で35％に上る。確実に価値があることが明らかなデータは、平均で15％程度に過ぎないという結果になった（注1）。

※注1：Veritas Technologiesからの委託で、市場調査会社Vanson Bourneが2021年6月〜8月に調査を実施。米国、欧州、アジア太平洋で計2050人の上級IT意思決定者を対象にした。日本からは100人が回答。

データを「ためる」より「捨てる」べきか？

　価値がないことが分かっているデータをなぜ保有し続けるのかと、不思議に思う人もいるだろう。背景には、企業が陥りがちな“ある考え方”がある。

併せて読みたいお薦め記事

データ保護の基礎知識

• ランサムウェアで考える“バックアップがあるだけ”では無意味な理由
• クラウドデータ保護「DPaaS」とは？　使い倒す方法は？

　「いつか役に立つ可能性がある」と考えてしまいがちなこと、保有しているデータの思い切った消去に踏み出せないことなどが、データを保有し続けてしまう主な理由だ。特にデータ活用の重要性がさまざまな場面で強調されがちなこともあり、「今は無駄だが、いつか役に立つ」と考えて保有を続けることが目立っている。

　価値があるのかないのか分からないデータを保有し続けることは、大きなリスクを生むことになる。Veritas Technologiesの調査「Consumer Sentiment on Enterprise Data Sustainability study」（日本語版は「企業データの持続可能性に関する消費者の意識調査」）では、回答者の47％（日本は25％）は、企業が不要なデータ量を管理せず、故意に環境破壊を起こしていると知った場合、「その企業からの購入をやめる」と回答した（注2）。

※注2： Veritas Technologiesからの委託で調査会社3GEM Media Groupが2023年2月に調査を実施。調査対象者はオーストラリア、ブラジル、中国、フランス、ドイツ、日本、シンガポール、韓国、アラブ首長国連邦（UAE）英国、米国の消費者1万3000人。

　環境破壊については、回答者の46％（日本は27％）が、「世界のエネルギー関連汚染排出の2％がデータセンターによって引き起こされている」ことに懸念を抱いていると回答した。不要なデータをデータセンターに預けるなど、適切にデータセンターを利用していない企業に対して厳しい目が注がれていることが明らかになった。

　企業に「不要なデータは持たない方がいい」と指摘すると、「御社はビッグデータに否定的なのか」と問われることがあるが、決してそうではない。データは重要なものであり、ビッグデータによって従来はできなかった分析ができるようになるなど大きなメリットが見込めるものだ。データを適切に活用するためにも、データを正しく管理し、利用すべきだと筆者は考えている。

　「不要なデータ」とは何かといえば、重複したデータをはじめ、保有していても活用することができないデータを指す。重複データや不要なデータがある状況は、どこにどのようなデータがあるのかを理解せず、やみくもにデータを保有しているに過ぎないケースがほとんどだ。ビッグデータとしてデータを活用するためには、どのようなデータがどこに保存され、どれくらいの容量になっているのかなどを把握しておかなければならない。「不要なデータが大量にある企業」とは、「実はデータ活用が十分にできていない企業」と考えていい。

クラウドやSaaSにも必要なデータ保護

　データ保護の対象について、「SaaS（Software as a Service）を含めてクラウドサービスのデータは、オンプレミスシステムと同様のバックアップをする必要はない」と捉えている企業がある。確かにクラウドサービスの機能を利用することで一部のデータを保護することは可能だ。例えば「コピーがここにあります」「ごみ箱に一時的にデータが保管されます」という説明を聞けば、オンプレミスシステムとは異なり「データバックアップを取る必要はない」と考えてしまうのも無理はない。

　自社で利用するクラウドサービスの契約書をきちんと見返してほしい。クラウドサービスにあるデータを管理する責任は、利用者にあることが明記されている場合がほとんどだ。もちろん、クラウドサービス事業者が部分的に責任を担ってくれることはある。例えばハードウェア部分の運用や保護に関してはクラウドサービス事業者が責任を持ってくれるので、利用者はあまり考えなくてもよい。ただしクラウドサービスにある利用者のデータに関する責任は、あくまで利用者にある。これはIaaS（Infrastructure as a Service）だけではなく、SaaSでも同様だ。データの改ざんや不要なアクセス、データ消失を防止することに関しては、利用者が責任を持つ必要がある。

　忘れられがちなのは、利用者が管理の責任を持つのはデータだけではないことだ。ID管理、アカウント管理、アクセス制御といった部分についても、利用者が管理する必要がある。データに不正アクセスされないように対策を打つ段階から、きちんと管理する体制ができているのかどうかを見直す必要がある。

執筆者紹介

高井隆太（たかい・りゅうた）　ベリタステクノロジーズ　常務執行役員　テクノロジーソリューションズ本部ディレクター

企業のマルチクラウドのデータ保護・管理に関する課題解決を支援すべく、プリセールスSEおよびプロフェッショナル・サービスチームを統括。事業全体の戦略策定、プロモーション活動にも従事している。