• Search in Protiviti.com

attack-and-penetration-hero-image

解説:IT意思決定者は、情報漏洩防止ツールの局所的な導入から、より包括的・能動的な発見と統制のプログラムへ話題を移すべきである

~テクノロジーインサイトブログを翻訳してご紹介しています~


テクノロジーの世界でリーダー層がよく使う言い回しのひとつとして、「人」、「プロセス」、「テクノロジー」の三本柱というものがあります。しかし、組織の機微データを保護する使命を担うCISOやCIOは、「テクノロジー」ばかりに注意を払い、「人」や「プロセス」には十分な注意を払っていないのが現状です。データの保護は新しい概念ではありませんが、機微データの散在、クラウドへのデータ移行の増加、規制強化の影響など、市場ではさまざまな要因が刻々と変化している中で、組織のCISOやCIOは、テクノロジーだけで要求に応えようと必死になっています。

実際、これまでとは違い多くのツールが利用できるようになってきている中で、様々なソリューション、プロセス、テクノロジーを、しばしば明確で統一されたミッションなしに展開してしまっていると認めているIT意思決定者が増えています。今まさに、利用可能なツール群を整理し、データ保護のための真の企業戦略を構築するべき時にあります。それは、プライバシー、セキュリティ、コスト削減、法規制遵守など様々な後続の取り組みにおいて大きなメリットをもたらしますが、これらはすべて人とプロセスによって支えられます。筆者は、組織のIT意思決定者には、まず主要なビジネス意思決定者層に働きかけて、すべての起点となるミッションステートメントを定義することから始めることを勧めています。

体制を敷く: データ保護プログラムにおける主要な役割、責任、報告の定義と文書化 

筆者らが支援している企業のCISOやCIOの多くは、データ保護が重要であることを認識していますが、必要な予算を確保することに苦労しています。データ保護プログラムが収益にどう貢献するか示すことは困難であるというのが現実です。私たちは、データ保護とは単に従来のデータ損失防止(Data Loss Protection、略して以下DLP)ツールを導入することにとどまらないと考えており、システム境界に焦点を置いたデータ損失防止から、組織内部に焦点を置いたデータライフサイクル保護としてDLPを再考するほうが良いと考えています。これは組織内の他のリーダーにもより受け入れられやすく、組織の境界の外に移動するデータの保護対策という限定された範囲から、機微情報のライフサイクル全体にフォーカスを移すような考え方です。
組織が最初にすべきことは、プログラムの役割、責任、報告を定義し、文書化することです。そのために、組織のCISOやCIOだけでなく、財務会計部門、事業部門、事業会社など組織の構造に応じた主要部門を含むパートナーシップのもと、真のガバナンスを構築することに取り組みます。これら部門の主要リーダーで構成されるデータ保護委員会を設置し、彼らには、保護対象のデータとは、IT部門のみが所有し責任を持っているようなものではなく、ビジネス部門のニーズがその起点にあるということや、関連する規制とリスクについて理解してもらうようにします。そうすることで、今度はビジネス部門がIT部門に対して、ビジネス遂行のためデータに対して何をすべきか理解することを手伝ってくれることでしょう。 
このような組織横断的なコラボレーションがなければ、CISOは基本的に大規模な支出に関する議論に単独で取り組むことになりますが、その会話をうまく進めるのは大変困難でしょう。しかし、「こちらは全ビジネス部門から構成されたデータ保護委員会の調査結果であり、彼らはこれが必要であることに同意しています」と説明している場面を想像してみてください。これははるかに説得力のある議論です。だからこそ、長期的な成功を可能にするためには、初期段階で全体的なガバナンスを確立することが重要なのです。 
また、初期段階における展開の一環としてステイクホルダーを特定することで、現状に影響を与えるコントロールやポリシーを変更する際の移行が非常に容易になります。ビジネス部門の利害関係者が委員会に参加していれば、彼らはより変化を受け入れやすくなります。また、彼らにデータ処理活動に関連するリスクを認識してもらうことにより、経営陣が最適なデータ保護の選択肢について合意に達することができます。その際には、会社の「宝」であるデータを守るために経営陣ができることを中心に話し合う必要があります。企業には無限のセキュリティ予算というものはありません。そこで問題となるのは、「組織にとって最も価値のある情報を保護するために、どのようにしてセキュリティ費用とセキュリティ対策を最も効率的に利用するか」ということです。

内面を観る: 企業文化と規制要件に基づいたデータ保護の最適化 

前述の通り、企業はしばしば、データ保護を従来型のDLPの観点から捉えます。悪意のある人の手にデータが渡る際にどうするかと。しかし筆者は、データが作成される際の保護対策が議論の起点となるよう質問をシフトすることが重要だと考えています。記録が作成された、あるいは持ち込まれた時点でデータ保護のライフサイクルを開始し、検出/保護の対策が施されるべきです。 
データの取得や作成の時点で、そのデータについて把握することは非常に重要です。組織は、データの価値を把握することにより、そのデータに適切な対策を適用することができるようになります。データが、オンプレミスまたはプロバイダーのプラットフォームを介してビジネスに利用される際など、ネットワークを経由する場合にはデータの移動を追跡し、サイクル全体を通して適切なコントロールが提供されるようにすることが不可欠です。発信元のエンドポイントから、ネットワーク層、クラウド・プロバイダーや外部のエンティティに至るまで、すべての経路を評価し、必要な評価レベルに達していることを確認する必要があります。  
データ保護のライフサイクル全体にわたる可視化を行うことは難しいかもしれませんが、データ保護委員会による定義をもとに、重要データを保護し、ビジネス要件を満たすデータ保護対策を設計する組織の能力を認識することが重要です。あらゆるデータを保護しようとするような過剰な対応は必要ありませんが、組織の成功にとって何が重要であるかを知り、重要なデータがどこに行こうとも、それらを追跡し、保護するためのライフサイクルプロセスを整備することが不可欠です。  
さらに、企業全体のデータ保護プログラムを構築する際には、適用されるすべての規制を理解することが重要です。例えば、決済データ中のカード情報に対するPCI DSS(Payment Card Industry Data Security Standard)や、欧州市民のデータプライバシーに対するGDPR、あるいはカリフォルニア州消費者プライバシー法(CCPA)や最近制定されたバージニア州消費者データ保護法のような新しい規制など、外部機関が要求しているコントロールが定義されている規制の内容を理解することで、必要なデータ保護の一部を定義することができるのです。

自社のビジネスを理解してください。データに対するセキュリティは、スイッチを入れればすぐに確保できるというものではありません。組織がどのようにデータを使用しているのか、予想されるデータフローやトランザクションがどこで発生するのか、ビジネスを遂行するために、または重要なプロセスの可用性を確保するために、いつ、どこでデータを使用する必要があるのかを認識することが重要です。このようなビジネスの理解がなければ、企業規模の統制を定義することは非常に困難です。適切な機密レベル、データ共有の制限と監視の方法を理解し、最終的にビジネスに適したプログラムを構築するとともに、ビジネスのリスク許容度を超えずに規制要件を満たすためには、組織横断的なコラボレーションが重要であることを忘れてはなりません。最後に、データ保護対策を展開するにあたっては、ビジネスの監視と対応のプロセスが必要です。自社における日々の機微データの利用実態に対して対策が適切なものかどうか、理解するための学習期間も必要となります。

(2021年3月31日)

英語版ブログ「Tech Leaders Rephrase the Conversation to Proactively Detect Sensitive Data and Apply Controls」へのリンクはこちら

Loading...