データガバナンスには攻めと守りの二つの側面がある。「攻め」のデータガバナンスには、データ利用の効果を最大化する狙いがあり、「守り」のデータガバナンスには、データ利用のリスクを最小化する狙いがある。企業が実践すべきデータガバナンスとは。
EU(European Union:欧州連合)や中国をはじめ各国、地域でデータの効果的かつ適正な利用に向けた「データガバナンス」に関する法整備が進んでいる。日本でも情報通信白書はデータガバナンスへの対応状況を説明している。
企業にとっても、データは知恵や価値、競争力の源泉といえる。データドリブン経営のためにもデータガバナンスの実践は避けては通れない。では、これまでデータガバナンスに取り組んだことのない企業は、何をどう始めればいいのか。データガバナンスの基礎知識や実践方法について、クラウドネイティブの代表取締役社長で文部科学省の最高情報セキュリティアドバイザーも務める齊藤愼仁氏が解説した。
本記事は、ジョーシスが2023年6月27日に開催したオンラインイベント『Josys Learning Day 2023攻めと守りの情シスDX~AI時代編~』の内容を編集部で再構成した。
「データガバナンスは、『企業が取り扱う価値のあるデータとそのライフサイクルを、企業が定めた通りにコントロールすること』を意味する。定めたルールに則って、重要データを定義、分類し、取得や保持、利用、破棄するということだ。なぜ企業がデータガバナンスに取り組む必要があるのか。それは企業活動を通して、利益に向けてデータを活用するためだ」(齊藤氏)
データガバナンスには「攻め」と「守り」の二つの側面がある。「攻め」のデータガバナンスには、データ利用の効果を最大化する狙いがあり、「守り」のデータガバナンスには、データ利用のリスクを最小化する狙いがある。
齊藤氏によれば、データガバナンスの構築は、次の4つのステップで進めるのが基本だ。ステップ1は、利用目的やポリシーの確認だ。情報セキュリティのポリシーや文書管理規定、個人情報取り扱い手順など、社内ルールを改めて確認する。利用目的やポリシーが明確でない場合は作成する必要がある。
ステップ2は、データの所在と形式の把握だ。重要データの所在を特定して一覧表にまとめ、データの保管場所や公開範囲、利用や加工、閲覧の場所、データの重要度(低・中・高)、データの保存期間と法的背景などの情報を付加する。たいていの場合は「Microsoft Excel」などを使って地道に調査する作業になる。一覧表でデータの現状を把握し、当該データに誰が、どこから、何を使ってアクセスできるのかを明らかにする。
ステップ3は、見直しと検討だ。ポリシーを効率的に順守して、利用しやすい状態にするには何をすればいいのかを検討するステップになる。ここでは「重要なデータが入っている場所はここでいいのか」「さほど重要でないデータが高価なストレージに保管されているのは適切か」といった議論をする。その上で、どこでどのような可視化や制御をすべきかという「制御ポイント」を検討する。
最後のステップ4は実装だ。ステップ3までで検討した結果を検証し、実装や展開をする。その際、従業員に対して周知や教育を徹底する必要がある。
企業内でデータが流通する経路は「デバイスとクラウドサービスの経路」「クラウドサービスの経路」「オンプレミスの経路」の三つに分けられるが、中でも最初にデータガバナンスに取り組むべきなのは、PCやモバイル端末に関連する経路に当たる「デバイスとクラウドサービスの経路」だという。
「SaaSやIaaSなどのクラウドサービスは制御がしやすく作られているため、そこから取り組むという考え方もある。ただ、データを生み出すのは人間だ。PCなど人間が最初に触るインタフェースを制御する方が、コストパフォーマンスが高くて効率の良い方法といえる」
齊藤氏は実装ステップにおける具体的な方法をいくつか提示した。まず、MDM(Mobile Device Management)とEDR(Endpoint Detection and Response)を導入し、デバイスにとって不要な経路を塞ぐ方法だ。これにより管理外デバイスからの物理的なアクセスを防ぎ、データの経路をインターネットとデバイス間の通信のみに絞り込める。
この方法はUSBメモリなど可搬性のある物理媒体の制御も可能だ。PCとクラウドサービス間の経路についても把握し、管理外サービスへのデータの流通を防止できる。
さらに高いレベルのガバナンスを求める組織では、EMM(Enterprise Mobility Management)やMAM(Mobile Application Management)を使い、スマートフォンに一切のデータを残さないといった方法も考えられる。ただし、どこまで制御すべきかは慎重に検討する必要がある。コピーアンドペーストやダウンロードを一切禁止すれば、生産性が落ちる可能性があるためだ。
オフラインのデバイスに入っているデータの全てがクラウドに保存される運用にして、データ統制する方法もある。端末の紛失や盗難、故障、不正などあらゆる事態に対応が可能だ。ユーザーはデータが守られ、いつでも取り出せる安心感がある。管理者は情報漏えい時、容易に当該従業員の端末にデータの痕跡を見つけられ、リーガルホールド(訴訟や監査対応に必要なデータ保全)の対応もしやすいというメリットがある。
「Slack」や「Microsoft Teams」などのコミュニケーションツールを使って社外の人とファイルを交換する機会は増えている。そのような業務に対しては、「Microsoft 365」と連携させたクラウドストレージ「Box」などのクラウドストレージをファイルの保存先として指定する方法がある。加えてCASB(Cloud Access Security Broker)を使えば、高度なDLP(Data Loss Prevention)機能を利用でき、チャットでやり取りされるテキストの中身も制御可能だ。
メールの経路の制御は難しい問題だ。メールに添付して送信したファイルは、自社の管理外になってしまい、繰り返し複製される可能性があるためだ。メールを送った相手側が適切に管理できるかどうかも、自社ではコントロールできない。そこで、ファイルはクラウドストレージに保管し、メールではその共有リンクだけを送り、データの制御はクラウドストレージで行う形が主流になっている。
注目が高まっている生成AI系サービスのアクティビティーを検査、制御する方法も登場している。例えば「Netskope CASB」を使えば、WebブラウジングやAPIの利用を制御でき、自社のポリシーに合わせて生成AIを使うことが可能になる。
「クラウドサービスの経路」に対する制御方法としては、SSPM(SaaS Security Posture Management)の利用、OAuthの連携経路の確認、クラウドサービスに保存したデータを暗号化してクラウドベンダーからも閲覧できないようにするBYOK(Bring Your Own Key)の利用などが挙げられる。
「オンプレミスの経路」に対する制御は、SASE(Secure Access Service Edge)とMDMが効率的だ。デバイスのアプリケーションやファイアウォールの構成をMDMを介して制御して情報を収集し、インターネットを経由し、SASEで認証や認可して自社のオンプレミスにアクセスする方法だ。
VDI(仮想デスクトップ)やリモートデスクトップの利用を限定することも制御につながる。しかし、導入している企業が全て安全とは言い切れない。2023年3月、某病院がリモートデスクトップを経由したサイバー攻撃を受けていたことが話題になった。VPNの帯域や脆弱(ぜいじゃく)性に問題がないか、対策を見直す必要がある。
以上のような実装をゴールとする4ステップを着実に実施することが、データガバナンスを実現するために重要なポイントとなる。最後に齊藤氏は次のように総括した。
「企業活動を通して利益を拡大するためにデータを利活用することが、データガバナンスの大前提。したがってデータガバナンスを強化すればするほど、使えるサービスは増え、社内のコミュニケーションはより活発になる。また、データ利活用のリスクも最小化される。まずは自分たちの組織にとってどのデータが大事で、それがどこにあるのか。誰にどのように使われているのかを把握しよう」
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。