HDD不正転売事件から学ぶ 情報保護・情報ガバナンス市場の実態
情報保護や情報ガバナンスの強化に向けて、企業ではさまざまな対策を実施しているが、その中心となるソリューションが、「暗号化・鍵管理」や「DLP」(Data Loss Prevention)、そして「eディスカバリーアプリケーション」などだ。これら情報保護対策につながるソリューションの現状と市場予測についてお伝えする。
アナリストプロフィール
登坂恒夫(Tsuneo Tosaka):IDC Japan ソフトウェア&セキュリティリサーチマネージャー
国内情報セキュリティ市場(セキュリティソフトウェア市場、セキュリティアプライアンス市場、セキュリティサービス市場)を担当。市場予測、市場シェア、ユーザー調査など同市場に関するレポートの執筆、データベース製品のマネジメントの他、さまざまなマルチクライアント調査、カスタム調査を行う。
目次:記事内目次
- インシデントに見る情報管理の本質的な課題
- 情報保護・情報ガバナンスに関連した市場予測
- いまだ限定的な活用にとどまる情報ガバナンスの実態
- サイロ化された状況が続く暗号化・鍵管理
- クラウド環境での活用が進むDLP
- リアクティブな活用が中心のeディスカバリーアプリケーション
- ソリューション選択の視点と取り組むべき方向性
- ソリューション検討のポイント
- DXを進めるためにも情報ガバナンス強化が必要に
インシデントに見る情報管理の本質的な課題
日本企業における情報保護対策といえば、内部不正に向けた対策も進められているものの、中心となるのは外部脅威から情報を守るための対策というのが現実だろう。保護の対象となる情報は、主に個人情報など法規制に関連したものが一般的で、企業内の情報資産全てを対象とするケースは現状では多くない。一方で内部不正をはじめとした内部脅威対策は外部脅威対策に比べるとまだ十分とは言い難く、情報そのものの暗号化やDLPなどを使った情報制御などは、デジタルトランスフォーメーション(以下、DX)の進展とともに、今後検討が進められることになるはずだ。いずれにせよ、企業内にある情報全てを対象に自主的に情報ガバナンスを徹底させる活動に取り組む企業は、現状ではそう多くないと筆者は見ている。
こうした状況下の中、2019年12月に発覚したHDD不正転売事件は大きなインシデントの1つだ。この事件は、大量の個人情報を含む神奈川県庁のHDDが外部に不正転売されてしまったもので、HDDのリース先となる企業がデータ消去を行わずに外部委託先へHDDを売却、そこから行政データの大規模流出につながった事件だ。現状ではリース元や売却先企業に対する管理の在り方や契約不履行についての問題が話題の中心になっているが、本来情報の保管責任は個人が情報を預けた委託先となる自治体にあり、自治体における情報ガバナンスの不備が大きく問われてもおかしくない事案だ。このようなインシデントを防ぐには、HDD内の情報を暗号化し、復号に必要な暗号鍵そのものも委託元でしっかり管理するといった環境づくりが必要になるだろう。
情報保護・情報ガバナンスに関連した市場予測
このような情報保護・情報ガバナンスに資する仕組みの中心にあるのが、「暗号化・鍵管理」や「DLPツール」「eディスカバリーアプリケーション」などの各種ソリューションだ。今回は、そんな情報保護・ガバナンスソリューションに関する市場動向とその予測について見ていきたい。
データベース内の情報などをはじめとした構造化データやファイルを中心とした非構造化データを統合的に管理する暗号化・鍵管理の市場で見ると、2018〜2023年の年間平均成長率を3.3%と予測している。これまでも大規模な情報漏えい事件が相次いだことから、企業ではデータ侵害への危機意識は間違いなく高まっており、今後も堅調な成長を見込める領域といえるだろう(なお、この暗号化・鍵管理の中にはコンテンツなどの権利管理を中心としたエンタープライズライツマネジメントは含めていない)。
企業機密に当たる重要情報を識別し、それら重要情報を制御して情報流出を防ぐDLPについては、売上額ベースでの市場規模は2018年と2023年で見るとほぼ横ばいの状況になると予測している。金額的には大きな変化は見られないものの、これまで内部不正に対するガバナンス強化やコンプライアンス対応としてオンプレミスでの導入が進んできたDPLは、今後はDXが進展していくことでクラウドでの構造化/非構造化データに対する情報保護の場面で活用シーンが広がってくることだろう。
訴訟場面で正式な手続きにのっとって電子証拠開示が可能になるeディスカバリーアプリケーションについては、2018〜2023年の年間市場成長率は4.2%と予測している。現状はコンプライアンス対応などを進める企業での内部不正調査をはじめ、民事や刑事訴訟での調査ツールとして裁判所や監査事務所、規制当局などで活用されているケースが一般的だが、その利用は限定的だ。DX化の進展に伴い、重要データの厳格な管理などの需要が高まり、ガバナンス強化に向けた施策として今後は導入が進んでいくものと考えられる。
今回、これらの領域に注目した背景には、DXによって企業内の情報が今まで以上にデジタル化し、情報の共有などデータ活用の場面が増えることでニーズが高まることが挙げられる。データを貴重な資産として活用、運用していくには、従来のように個別に管理していた情報を、ガバナンスやセキュリティの観点から「共通の考え方、ポリシー」にのっとって管理を徹底させていかなければならない。そしてデータ活用を推進するからこそ企業側に情報の信ぴょう性や取り扱いの責任が問われることは間違いない。このような情報ガバナンスの強化に向けて役立つソリューションとして、暗号化・鍵管理やDLP、eディスカバリーアプリケーションへの関心がこれまで以上に高まってくる可能性は十分考えらえる。
いまだ限定的な活用にとどまる情報ガバナンスの実態
ここからは暗号化・鍵管理やDLPツール、eディスカバリーアプリケーションの日本国内での市場動向を見ていこう。情報保護、情報ガバナンスに関するソリューションの普及状況と併せて、今後導入を検討する企業に向けてソリューション検討時のポイントも紹介する。
サイロ化された状況が続く暗号化・鍵管理
何らかの暗号化ソリューションを実装する企業が増えており、日常的に暗号化された情報に触れる機会は多いことだろう。実際には各種ファイルをはじめとした非構造化データがその対象となるケースが一般的だ。例えばメールに添付された文書を暗号化して外部に送信したり、営業担当者が社外に持ち出すPCのHDDを丸ごと暗号化したりといったソリューションは、一般の企業でも導入されている。
ただし、暗号化されたファイルを復号する際の鍵はシステムや個人が設定したパスワードに依存しており、パスワード自体もその都度発行されるため、鍵そのものが企業全体で集中的に管理されているわけではない。また外部に情報が持ち出される可能性のある部分については非構造化データの暗号化が進んでいるが、DB内に保管されている構造化データや持ち出されることが前提にないバックアップデータといった情報は、暗号化されていないケースも少なくない。一部の業務に暗号化が適用されているものの、その対応はサイロ化されたものとなっているのが現実だろう。本来であれば、企業内で扱っている構造化・非構造化データ双方に対して優先順位をつけ、重要度に応じて暗号化処理を行い、復号するための鍵管理も集中的して実施できる仕組みが必要だ。
クラウド環境での活用が進むDLP
現状ではシャドーIT対策としてCASB(Cloud Access Security Broker)などのソリューションが持つDLP機能を利用するケースが多い。特に欧米を中心とした海外では、データの保管場所の特定や情報漏えい時の報告義務などの取り組みを「GDPR」(General Data Protection Regulation:一般データ保護規則)などでルール化しているため、多くの企業で導入が進められている。日本でもグローバル展開する企業や外資企業の日本法人などでは欧米の仕様に合わせてDLPを国内に展開しているケースが見受けられる。
ただし、日本国内が主戦場となっている企業の場合、欧米のような報告義務が発生するわけではないため、DLPに対して必要性が十分に見いだせないケースが少なくない。また、導入したものの取り扱っている情報の可視化やその優先度をどう判断するのかなど運用そのものに高いハードルがあり、現時点では普及していないのが実態だ。
リアクティブな活用が中心のeディスカバリーアプリケーション
米国内の訴訟では、裁判前に当事者同士双方で関連情報を保全・開示するための「ディスカバリー」という手続きが存在する。このディスカバリーにおいて電子保存情報を対象にしたものがeディスカバリーだ。手続きに必要な、電子情報開示参考モデル(EDRM:Electronic Discovery Reference Model)を網羅できるソリューションとして海外で広がりを見せているのがeディスカバリーアプリケーションであり、主にはフォレンジックツールとしての活用がその中心にある。
しかし多くの企業では、何か事件が起きたときのリアクティブな活用にとどまっており、企業内の情報資産を守るべく情報ガンバナンスを徹底させていくためのプロアクティブな用途には十分活用できていないのが実態だろう。DLP同様に、企業が保有する情報の可視からその優先順位の策定まで含めた運用におけるハードルの高さから、一般企業までは十分に広がっていないのが実態だ。
ソリューション選択の視点と取り組むべき方向性
ソリューション検討のポイント
今回対象となった暗号化・鍵管理およびDLP、eディスカバリーアプリケーションは、海外ベンダーを含むさまざまなベンダーがソリューションを展開するが、どんな視点でソリューションを見ていくべきなのだろうか。
暗号化・鍵管理については、構造化・非構造化含めたデータ双方を統合的に管理できるかどうかが重要であり、それら暗号化に必要な鍵の管理も、従来のパスワードロックのようなものではなく、鍵管理の基盤が全社的に整備できるものが望ましい。もちろん、オンプレミスだけでなくクラウド環境含めた全体で暗号化や鍵管理を考えていくことが必要だ。
DLPについては、オンプレミスクラウド双方の環境で情報が保護できることはもちろん、日本ならではのダブルバイトへ対応できるかどうかも見極めたい。現状DLPソリューションは海外の製品が中心のため、日本の環境に適用できるかどうかが重要になる。
eディスカバリーアプリケーションについては、暗号化同様に全体の状況が可視化できることはもちろん、大量のデータを処理することによるパフォーマンスの課題が必ず出てくる。一部DLPのなかにもeディスカバリーの機能を持ったものが存在しているが、パフォーマンス的に運用に耐えられるのか十分チェックする必要がある。
DXを進めるためにも情報ガバナンス強化が必要に
デジタル化の進展によって超スマートな社会を構築し、さまざまな社会問題の解決を目指す「Society 5.0」を掲げる日本では、DXによって企業活動の在り方を大きく変革し、データ活用をこれまで以上に進めていくことが求められている。そんなデータ活用の場面では、データそのものもの信頼が問われる場面が必ず出てくることになる。IDCでは「デジタルトラスト」と呼んでいるが、デジタルデータを信頼あるものに高めていくためには、サイバーセキュリティにおける取り組みはもちろん、情報ガバナンスの強化に向けた活動にも積極的に取り組んでいくことが必要だろう。その環境が整備できて初めて、デジタル化に向けた安全安心なサービスが提供できるようになるはずだ。
ただし、情報ガバナンスを徹底するには、そもそも企業内にどんなデータがあり、そのデータが企業にどんな価値をもたらすのかといった情報の整理、可視化が必要だ。可視化が進んだ段階で初めて何を守るべきなのか、信頼を確保するためにどんな措置が必要なのかを検討していくことになるだろう。しかも、業務は常に拡張し変化するため、情報資産の存在やその優先度を見直すプロセスを運用に落としていくことが不可欠だ。実際にDXへの取り組みをPoCとして進めている企業でも、いざ運用段階に入ると情報ガバナンスにおける課題が顕在化し、なかなか前に進まないケースも。情報が活用しやすい環境づくりとともに、情報ガバナンスを強化するという両面を推進していくことが大切となる。
情報ガバナンスの取り組みを実際の運用に乗せていくためには、例えば決算報告書の中で情報ガバナンスに対するリスクをしっかりととらえた上で、四半期ごとに見直していけるような運用が理想的だろう。もちろん、経営層の意識含めてプロアクティブに取り組んでいく企業が増えてくることが望ましいが、法的なレギュレーションも含めた環境の変化が、これまで以上に情報ガバナンスの強化に向けた動きを加速させることは間違いない。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 見知らぬ国から訴えられても大丈夫? IT部門の証拠開示能力が問われる訴訟リスク対策
知らない国から訴えられた結果、証拠が足りなくて罰金刑、退職者が取引記録を消去してしまえば罰金請求。事業規模を問わず起こり得るリスクに、どう対処するか。 - 「なぜIT機器の転売事故は繰り返されるのか」を過去の事例から読み解く
排出者に責任が問われるのはどういったケースか。そうしたIT機器処分における基礎知識をどこまで理解しているだろうか。2019年12月に発生した神奈川県庁のHDD不正転売事故のようなインシデントを起こさないために、知っておきたいIT機器処分の“オキテ”を説明する。 - HDDを破壊せよ、データ消去のためのテクニカルセンター訪問ルポ
情報漏えい防止のためとはいえ、自社で記録媒体のデータ消去は正直大変だ。データ消去を行うセンターに潜入し、HDD破壊の現場を徹底レポート。