仕事に必要な情報はなるべく削除したくないと考えるのは当然だろう。だが、サイバーセキュリティの観点からは好ましくない。どうすれば両立できるのだろうか。
あなたは仕事に使うデータをため込んでいないだろうか。ファイルや電子メールなど、今は必要ないけれど、いつか必要になるかもしれないと思う情報を抱え込んでいないだろうか。もしかすると、同僚や上司がそうしているかもしれない。
従業員個人の戦略として、データをため込むことは正しい。仕事がスムーズに進む可能性が高くなるからだ。だが、サイバーセキュリティの観点からすると正しくない。データをため込むと攻撃対象が大きくなって、保護が難しくなる。セキュリティ上の大きなリスクだ。
問題をややこしくしているのは、ため込まれたデータのほとんどが「忘れられたデータ」だということだ。複数のデバイスのあちこちに情報が格納されていて、何がどこに保存されているのか分からない状態になっている。企業が保有するデータの可視性が低い場合、データの漏えいや侵害される恐れがあり、内部や外部からの脅威に対して脆弱(ぜいじゃく)になる。
データをため込むことが脅威リスクとして重要になってきた理由は2つある。クラウドに低コストでデータを保存できるようになったことと、ハイブリッドワークやテレワークが増えたことだ。
クラウドコンピューティングが拡大したことで、データストレージをスケーラブルかつ容易に利用できるようになった。Blancco Technology Groupの調査によると(注1)、85%以上の企業がデータの一部または全部をクラウドに保存している。これは1800人以上のデータ保持や廃棄を担当する意思決定者を対象とした結果だ。
Blancco Technology Groupのラス・アーンスト氏(CTO《最高技術責任者》)は、「多くの企業は、データを永久に保存するという方針を長年採ってきた」と言う。多くのクラウドサービスプロバイダーが推奨する動きに沿っており、クラウドストレージが安価なため、全データを無期限に保存することがますます容易になっている。
オフィスとテレワークを組み合わせたハイブリッドワークプレースでは、従業員はどこで仕事をしていても、どんなデバイスを使ってもデータを利用できなければならない。このような目的のために、より多くのデータがクラウドに保管されているだけでなく、企業のデータが個人所有のPCや携帯電話、タブレットにも保管されるようになり、個人データと混在している。
この結果、オンプレミスやクラウドに保管されているデータとの重複も増えている。
ハイブリッドワークプレースへの移行により、データセキュリティに関するポリシーを更新しなければならなくなってきた。Code42 Softwareの調査によると(注2)、ハイブリッドワークプレースで働く従業員に対して、データの保存と運用に関するセキュリティトレーニングの必要性が高まったと、約5社に1社が回答した。
Code 42 Softwareのジョー・ペイン氏(プレジデント兼CEO)は、「通常のビジネスでは、従業員はより多くのデータを収集し、保管している」と言う。
しかし、リモートで仕事をしている場合、通常のセキュリティプロトコルに従わず、データのライフサイクルが終了した時点で破棄しなければならないデータを保管していることもある。
保存されたデータが大量にあることが問題なのではなく、保存されたデータの中身が見えないことが問題だ。「企業や従業員が全てのデータを保持したがる理由は、データが将来にどのような価値を持つか分からないからだ」とアーンスト氏は言う。
「しかし、価値のあるデータはほんの一部だ。残りのデータは冗長だったり、古かったり、取るに足らないものだったりするが、誰かがデータの中から何かを必要とするかもしれないので、全て保管している」(アーンスト氏)
重要なデータやアクティブなデータ、長期保管が必要なデータなど、全てのデータを完全に可視化することができれば、価値のないデータを保持することは必ずしも悪いことではない。ただし、重要なデータを定義し、どのデータをどれくらいの期間保存するのかを決定し、どのデータを廃棄すべきなのかを決定するポリシーを企業はあらかじめ定めておく必要がある。
データに関する最大のリスクは従業員だ。「多くの従業員はデータを破壊することを嫌うため、会社の境界線の外にデータをため込んでしまう。ほとんどの企業では、データが社外にどのように移動していくかを監視するための可視性が十分ではない」(ペイン氏)
「どの企業でも、データの大半は忘れられたデータだ」とアーンスト氏は言う。手持ちのデータを把握しているつもりでも、データレイクに足を踏み入れると、そこは未知の情報の穴でいっぱいの沼地だということが分かる。
手持ちのデータの意味を理解するために、アーンスト氏は新たなスタートを切ることを提案した。「新しいデータに対してポリシーを適用する方が簡単だ」
コンプライアンス規制は、手元になければならないデータをどのように保護するのか、忘れられたデータや古くなったデータをどのように見つけ出して処分するのかという方針を決めるための指針としても機能するはずだ。
何を保管し、何を廃棄するかという判断材料は、ビジネスポリシーや規制要件、ベストプラクティスのごった煮になる傾向がある。データセキュリティを業務とするBigIDのディミトリ・シロタ氏(CEO)は「正しく実行するには正しいデータライフサイクル管理戦略が必要だ」と述べる。
データ保持戦略によって保管すべきデータと処分すべきデータを定義すれば、簡単に管理できる場合がある。
「データをため込むとデータの保護やコンプライアンスの維持が難しくなり、リスクが飛躍的に高まる」(シロタ氏)
結局のところ、ダークデータや忘れられたデータ、シャドーデータなど、手持ちのデータを特定し、見つける方法がない場合、データ漏えいやその他のサイバーインシデントにつながるリスクが生じ、代償が高くつくことになる。
出典:Leftover data lurks across the enterprise, creating a business risk(Cybersecurity Dive)
注1:65% of organizations feel they can better manage EOL data on premises than in the cloud(Blancco Technology Group)
注2:Annual Data Exposure Report 2023(Code 42 Software)
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。