2022年 (ISC)² Blog 和訳

2022年5月19日

極秘 – このデータは機密情報です

データが多すぎるということはあるのでしょうか?

セキュリティ実務者の方であれば、ビジネスは人だけでなくデータによっても支えられていることをご存知でしょう。数年前、「ビッグデータ」という言葉はビジネスにおいて優位性を獲得するための革新的な方法として注目されました。しかし現在、ビッグデータは当たり前となっています。収集されたすべてのデータについて考えるとき、私たちはそのデータに何が含まれているかを立ち止まって考える必要があります。保存されるデータの多くには、特定のビジネスのクライアントに関する重要で、大抵の場合、個人に関する詳細が含まれることが多いためです。

時が経つにつれて、このデータが犯罪者の手に渡った場合、個人に損害を与える可能性があることが明らかになりました。個人を特定できる情報(PII: Personally identifiable information)、保護された健康情報(PHI: Protected Health Information)、個人の財務記録、その他のさまざまな機密データには、恐喝、なりすまし、個人情報の盗難、またはこれらを組み合わせた犯罪を行うために必要なすべての要素が含まれています。

例えば「Maze」と呼ばれる最近のランサムウェアは、被害者のデータを暗号化するだけでなく、データを盗み出した後にも暗号化することが知られています。被害者への脅しの一部として、復号化キーのために身代金を支払わなければ盗んだデータを一般に公開するというものです。これは恐喝とランサムウェアが組み合わされた新たなレベルの脅威です。犯罪者が個人やその家族についてより多くの個人情報を持っている場合、詐欺の手口の多くが一層危険なものとなるでしょう。中には、恐ろしいなりすましにより家の所有権を失った人もいます。これらの例から分かるように、犯罪者は企業が顧客に関して収集するデータのすべてから利益を得ることができます。

ビジネスに必要なデータ

必須のデータの収集と必要なデータの収集には微妙な違いがあります。政府機関は、データ収集によるリスクを冒すのではなく、漏洩した場合に個人を危険にさらす恐れのあるすべてのデータを保護するための規制を公布するよう努めてきました。

実は個人データの保護はビッグデータが登場する前から懸念されていました。初期の規制には、欧州議会の指令「95/46/EC」およびオーストラリアの「1988年プライバシー法」があり、最近改正されたプライバシー規制には、欧州連合の一般データ保護規則(GDPR)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、ニューヨーク州で制定された金融サービス企業に対するサイバーセキュリティ要件(23 NYCRR 500)、およびカリフォルニア州消費者プライバシー法(CCPA)が挙げられます。これらの改正によりプライバシー保護は拡張され、場合によっては異常なほどの範囲となりました。たとえば、CCPAのセクション1798.140 (o)(1)(H) では、個人情報の1つの側面として「温度、嗅覚、又は類似の情報」を含むと分類しています。 このような情報が規則に盛り込まれるということから、企業や組織は私たちが想像するよりも多くの、人々に関するデータを収集していることが示唆されます。

これらの規制は法務の分野に留まったもののように見えますが、組織のセキュリティ体制にも直接影響を与えるため、組織のセキュリティ実務者もこれらのルールに精通している必要があります。さらに重要なこととして、特定のビジネスに関連する規制に従わない場合、多額の罰金が科せられる可能性があるということです。弁護士はコンプライアンスが重要である理由の法的根拠を説明できますが、セキュリティ実務者はそのコンプライアンスの達成に向けて技術的に何が必要かを理解していなくてはなりません。

CIAトライアドとは?

すべてのセキュリティ実務者、特に認定パスを持つ担当者は、機密性、完全性、可用性からなる「CIAトライアド」に精通している必要があります。CIAトライアドはこの専門全体の要となるものです。今回の議論ではトライアドの機密性の部分に焦点を当てていきます。理論的には、機密性とプライバシーは非常に特殊な特性を持つ2つの異なる概念です。しかし、すべての規制に明確な違いはありません。デジタルテクノロジーの世界では、データの保護に単純な違いはないためです。より明確に言うと、デジタル情報のプライバシーや機密性を確保する唯一の方法は暗号化を使用することです。ハッシュ化、トークン化、その他の形式の難読化もデータを保護する方法ですが、これらもプライバシーや機密性の違いを生み出すものではありません。要するに、データを操作する場合に「ほぼ個人的」または「ほぼ機密」という設定はありません。「イエスかノーか」という問題しか存在しないのです。

比喩的で文字通りの世界への鍵

セキュリティ実務者は暗号化のさまざまなタイプと方法に関してほぼ際限なく語ることができるでしょう。セキュリティ実務者に暗号化について尋ねると、彼らはスパルタの時代にまでさかのぼって、シーザーについて活発に話し、スコットランドの女王メアリーについて神妙に話し、そしておそらくベネディクト・アーノルドと彼の非常に賢い妻の物語を語ってくれるかもしれません。最近では、ホイットフィールド・ディフィー、ロン・リベスト、アディ・シャミール、レオナルド・エーデルマン、ブルース・シュナイアーなど、多くの人々がこの専門領域の象徴として挙げられ、ここですべてをお話することは到底不可能です。暗号化に関する話を(数学なしで)知りたいと思っている方には、サイモン・シンの「The Code Book」をお勧めします。さまざまな種類の暗号化の技術的理解について深めるためには、このテーマを完全にカバーしている「The Official (ISC)² Guide to the SSCP CBK」をご覧ください。また、数学にも興味があり、難易度の高い内容に挑戦したい方には、ジョシュア・ホールデンの「The Mathematics of Secrets」をお勧めします。

どの暗号化について話す場合であっても共通のテーマがあります。それは鍵の保護です。暗号の世界でよく知られている原理として、アウグスト・ケルクホフスの暗号化の原理があります。その内容は、「鍵を除く、システムに関するすべての情報が公に知られていても、暗号システムは安全である必要があります」というものです。鍵の保護は暗号システムのセキュリティにとって最も重要です。そしてセキュリティ実務者は、組織内の暗号化キーの保護を担当する必要がある重要な人物です。より堅牢なセキュリティ慣行では、誰も鍵を開示できないように、複数のセキュリティ実務者が鍵を保護する任務を負うことがあります。

規制、理論、実践のギャップを埋める

CIAトライアドはセキュリティの要となるものです。新しい規制では機密データを機密に保つ必要性を念頭に置いており、暗号化はこれらすべてを結び付けるために使用される手法です。組織は多くの規制を遵守するために機密データを暗号化する必要がある場合がありますが、これにはお金と時間の両方のコストがかかります。また、他の多くのセキュリティ・イニシアティブと同様に、組織の経営陣からの賛同も必要となります。規制強化により、このような賛同は事実上必須となっていますが、他のチームと協力し、保護する必要のあるデータだけでなく、特定のデータセットに最適な暗号化方法を実際に決定することはセキュリティ実務者の責任です。組織の規模に関係なく、暗号化の展開が成功したものになるか、または規制コンプライアンスに違反する可能性のあるものになるかは、部門間の協力と参加に懸かっているのです。

暗号化と保護する必要のあるデータの詳細については、ホワイトペーパー「How You Can Become a Cybersecurity Hero」をご覧ください。

SSCP資格はどのように役立つのでしょう

技術的なスキルとセキュリティ知識を実践するためには、 Systems Security Certified Professional(SSCP)認定資格を取得することが最適な方法です。経験豊富なセキュリティ専門家にとっても、魅惑的なサイバーセキュリティの世界に足を踏み入れたばかりの初心者にとっても、(ISC)² のSSCP資格は、組織の機密性、完全性、可用性を保証するセキュリティ手順と制御を実装、監視、管理する能力を強化するための理想的な方法です。

原文記事:https://blog.isc2.org/isc2_blog/2021/04/hush-this-data-is-secret.html