Webinar解説「デジタルデータを制し、ビジネスを成すために ~クラウドの100%活用とコンプライアンスを両立するための勘所~」

安田 良明 解説:
ISC2 認定主任講師/株式会社ラック 安田 良明 氏
CISSP, SSSP

Webinar開催日:2018年11月28日
スピーカー: 髙岡 隆佳, エバンジェリスト, Symantec Japan.

Webinar視聴のご視聴はこちら

みなさん、こんにちは。ISC2認定講師の安田 良明です。2019年のゴールデンウィークは大型連休となり、心身ともにリフレッシュできたかたが多かったのではないでしょうか。僕はレジャーやツーリングと充実した連休を過ごすことができましたが、休みボケをしないように、第7回目に配信されたISC2日本語Webinarのアーカイブ視聴を行いました。第7回目のWebinarでは、グローバルスタンダードにおけるデータガバナンスの考え方やDLP(Data Loss Prevention)の実装技術について解説されており、データガバナンスが存在しない組織においては、クラウドやCASB(Cloud Access Security Broker)を実装したとしても、データ流出のリスクに直面し、組織に多大なる損失が発生することを認識することができました。また、日本の組織においては、デジタルトランスフォーメーション(DX)を推進するため、クラウドやCASBに投資を行っている組織が多いと思いますが、期待通りの成果を手に入れられていない場合、その原因が、データガバナンスの実装不備に起因している可能性があるということを考えさせられるよい機会になりました。

 今回は、2018年11月28日に行われた 「Symantec Japan」様のWebinar「デジタルデータを制し、ビジネスを成すために ~クラウドの100%活用とコンプライアンスを両立するための勘所~」の中で解説されている「データガバナンスの考え方」および「DLPの技術実装」について、「資産のセキュリティ」のCISSP的な考え方にリンクさせながら解説を行ってみたいと思います。CISSPの8ドメインでは、特に「資産のセキュリティ」で紹介されている数々のCBK(共通知識分野)を実践することで、保護対象となる情報資産が、生成された瞬間から安全に廃棄されるまでのライフサイクルを通じて、適切なデータの利活用及び保護の環境が手に入れられるようになります。

 はじめに、「データガバナンスの考え方」を解説するために、前回のWebinar解説でも登場したゼロトラストネットワークを思い出していただきたいと思います。今や組織活動において、いつでも、どこでも、業務が行えるIT環境が実装されているのは、働き方改革の基盤整備としても珍しいことではなくなってきたため、社外だろうが社内だろうが、信頼せず、適切なIAAA(識別、認証、認可、アカウンタビリティ)を確保した状態で業務を行うことが要求されています。また、日本においても、このゼロトラストのIT環境が適切に運用できない組織は、サプライチェーンリスクの波に飲まれ、ある日突然、サプライチェーンから切り離され、競争から淘汰されていくことも容易に想像ができます※1。そのような背景があるため、各組織において、適切なIAAAの基盤を実装、運用することが要求されるようになり、データガバナンスの整備が必要となってきました。ただし、データガバナンスを強制するためには、適切な資産の分類が前提条件になります。例えば、機密情報を適切に機密情報と分類ができなければ、機密情報を保護する際に要求されているポリシーが適用されないため、コンプライアンス違反が発生します。また、機密情報ではない情報が機密情報と分類されれば、誤検知、すなわち費用対効果が得られない情報セキュリティの運用が行われてしまいます。「CISSP」および「SSCP」のCBKでは、費用対効果が得られない情報セキュリティの実装、運用は、組織の経営リソースに対して損害を与えていることと同等なリスクとして取り扱っています。また、「資産のセキュリティ」のCBKでは、資産価値に応じた適切な分類を行い、分類区分に応じた費用対効果が認められた管理策の実装が期待されています。Webinarでも、適切にデータガバナンスの環境が整備されなければ、データ流出リスクと誤検知による損害を与えてしまうことが解説されています。

このようなデータガバナンスの考え方は、訴訟大国である欧米欧州では、共通知識のため、オンプレミスでIT環境を運用している段階から、データ取り扱いに対するポリシーは当たり前であり、すでにできあがっているとSymantec Japan髙岡 様は解説しています。そのため、ビジネス環境をクラウドに移行し、IAAAの実装をCASBで行ったとしても、従来のポリシーをただ単に当てはめるだけで済むので、適切な分類と制御が実現できます。日本の場合は、オンプレミスで、データガバナンスが整備されていない組織が多いため、情報資産がどのサーバー、どのPCに存在しているのかを把握することができない状況に陥りやすくなっています。そのため、その状態でクラウドを採用し、CASBを運用しようとした場合、適切な分類と制御が実装されず、DLPが期待通りに機能せず、クラウド上の機密情報が流出してしまうようなインシデントが発生する可能性が生じてしまいます。Webinarの前半部分を視聴することで、ビジネスをDX化する際、データガバナンスの整備から始める必要があることを理解できると思います。

次に、データガバナンスが整備された後、ガバナンスを強制する仕組みを具現化する必要があります。高岡様は、DLP技術によるデータの自動分類と適切な制御を提供する仕組みを紹介し、あらゆる場所の保管場所を特定し(検出)、どのように活用されているかを把握し(監視)、ポリシー違反に適合した場合は本人認証、自動暗号化、データブロック(保護)の管理策をIT環境に実装する手段について解説を行っています。これらDLPの機能が実行されることで、機密情報の把握、データの活用状況の把握、ユーザー依存によるデータ流出の防止が可能となるため、「資産のセキュリティ」のCBKで目標としている、資産のライフサイクルに応じた適切な制御が可能となります。資産のライフサイクルには、「識別と分類、保護、モニタリング、復旧、処分、アーカイブまたは廃棄」のステップが存在し、各ステップに応じて、分類ポリシーの策定、データアクセス権、データの保護方法、暗号化の有無、データの保持期間、廃棄方法等を適切に制御しつづける必要があります。

加えて、「CISSP」および「SSCP」は、情報セキュリティ管理策を単なるマネジメントの枠組みとして捉えるのではなく、誰がやっても同じ効果が発揮され、ITに透過的に実装することを常に目標としているため、企画したアイディアをIT実装し、効率よく運用する仕組みを見据えておく必要があります。DLPの技術実装については、詳細に解説はできませんが、クラウド上に生成されたデータの自動分類、添付メールを行う際の手動分類、コンテンツによるタグ付け制御(Information Security Tagging)、私もトレーニングで好んで説明しているデータを無効化できるデジタルシュレッディングも実装可能です。デジタルシュレッディングとは、機密データ等の生成時に自動暗号化することで、不適切なユーザーにデータが流出した場合、暗号化鍵を失効することで、データを無効化する技術になります。

いかがでしたでしょうか。今回は、Symantec Japan 高岡 様のWebinar「デジタルデータを制し、ビジネスを成すために ~クラウドの100%活用とコンプライアンスを両立するための勘所~」の中で紹介されていた「データガバナンスの考え方」および「DLPの技術実装」をCISSPの共通知識分野に紐付けて考えてみました。Webinarでは、ユーザー定義タグ情報による分類やリスクの自動分析等についても解説されていますので、是非、Webinarを視聴してみてください。

最後に、ISC2が提供するWebinarは、ISC2メンバーまたはそれ以外の方、どなたでも視聴することができますので、是非、みなさんの組織で有効活用していただきたいと思います。Webinarはオンライン視聴だけではなく、Webinarの講演資料やスポンサー様が公開しているホワイトペーパー等をオフラインで確認することもできますので、お時間があるときにWebinarのトピックをISC2 CBK(共通知識分野)に紐付けて読み解いていくことが可能です。また、ISC2メンバーでない方は、Webinarを通じて、グローバルスタンダードにおけるCBK(共通知識分野)に触れていただければと思います。さらに、興味がわきましたら、CISSPチャレンジセミナー、SSCP 1Day セミナー、ISC2 Nightにお越しいただけると嬉しいです。

※1 第21回会合(平成31年1月24日)
資料5 IT 調達に係る国の物品等又は役務の調達方針及び調達手続に関する申合せ等について