デジタル時代の今日、組織はビジネスを把握し新たな価値を創出するために革新的な方法でデータを活用しており、データはあらゆる業務における生命線となっています。その結果、データはオンプレミス、SaaS、マルチクラウドなどの環境で、かつてないスピードで増加しています。 

しかしながら、このような急激な増加によって組織は難問を突き付けられており、機密データや規制対象データの特定、そのデータの保存場所やアクセス権を持つユーザーの特定などに苦慮することが多くなっています。最新のRubrik Zero Labsのレポートによれば、組織の98%がデータの可視性に関する深刻な課題について報告しており、IT/セキュリティ部門リーダーの66%が、データの増加は自分たちがその安全を確保しリスクを軽減できる能力を超えるペースで進んでいると感じていることが明らかになっています。

サイバー攻撃者は、拡大するデータの攻撃対象領域を標的にして重要な情報の暗号化、破壊、窃取を行うなど、このような状況を悪用しています。そして、敵がデータの窃取に成功した後、被害者に対して脅迫的手法をとる確率がこれまでよりも増大しています。さらに厳しい状況として、機密データの紛失に対して科される罰金額はひたすら上昇しています。2つ例を挙げると、GDPR違反の場合は最大2,000万ユーロまたは企業収益の4%、HIPAA違反の場合は1違反あたり最大5万米ドルです。攻撃者が被害者への圧力を強めるために、被害者をSECに通報するという事態さえ起きています。あらゆる業界の役員会が注目し、可視性と行動が期待される中、CISOたちは機密データを保護し、ビジネスリスクを軽減しなければならないという深刻なプレッシャーにさらされています。

つまり、データの増大は抑えきれず、組織は保護対象への可視性を欠いていて、リスクは高まるばかり。サイバーセキュリティ界隈ではごくありふれた日常ではないでしょうか。 

このような状況にあっては、あらゆる脅威を追いかけ防ごうとする、もぐら叩き的なセキュリティ戦略に嵌りがちです。インフラセキュリティは、データ窃取の防止と、それが発生した場合に阻止するために追加されていますが、成果は限定的です。このようなセキュリティソリューションは多くの既知および未知の脅威をできるだけ防ぐために不可欠ではありますが、このようなソリューションはハードウェア、ネットワーク、アプリケーションなどの資産を保護することに重点を置いています。データのセキュリティを確保するには、そのことを理解しておく必要があります。DLPから機密データの量、機密データの場所、機密データへのアクセス権を持つユーザー、機密データに行われている操作についての通知を、一番最近受け取ったのはいつだったでしょうか。80%を超えるサイバー攻撃では正規のアクセス資格情報が利用されており、検出されないでいるということを覚えておいてください。ハッカーはもはや侵入する必要はなく、ただログインすればいい状況のため、従来の多くのセキュリティ対策は有効ではなくなっています。

結局のところ、それは単なる数当てのゲームに行き着きます。よく言われるように、組織は毎回適切に処理しなければなりませんが、攻撃者はただ1度成功すればよいのです。いつかは侵害に直面することになるのだということを受け入れましょう。通常、次に考えるのは、「迅速に安全に復旧し、事業継続性を確保するにはどうすればいいのか」ということで、これについてはRubrikの得意分野です。ただし、そこへと進んでいく前に自問すべきことがあります。それは、損害を最小限に抑えるために事前に何ができたかということです。言い換えれば、データの漏洩・流出リスクを最小限に抑えるために、データセキュリティ態勢を前もってどのように向上させられるかということです。

すべての脅威を防ぐことから、保有する規制対象データの安全を確保することへと思考を広げれば、他の可能性への道が開きます。データ漏洩やデータリスクを全体として軽減できるとしたらどうでしょうか。すばらしいですね。ではどうやって実現するのでしょう。価値の高い標的(機密データや規制対象データ)を特定して、そのようなデータがシステム上で無防備にさらされるのを減らすことができます。本番システムに存在する自社保有の規制対象データで、もう使用されなくなっている、誰もアクセスしないデータはどれぐらいあるでしょう。終了したプロジェクトの結果、何十年も自社との関わりがない顧客の情報、過去の財務データ、期限の切れた契約書、以前勤めていた従業員の記録、などです。組織はまず最初に、使用されていない、今では関連のないデータを特定し積極的に退場させて、自社データの攻撃対象領域を大幅に縮小する必要があります。

対象データにアクセスできる人数を減らすことも、もうひとつの有効なセキュリティ対策です。データへのアクセス権を持ち、それが侵害される可能性のあることから、すべてのユーザーがシンプルにデータへのリスクとなるものだと言えます。ですから、2番目の対策として、よく知られた効果的な概念である最小権限アクセスを実装して、ユーザーがアクセスできる機密データを減らして、データへのこれ以上のリスクを抑えられます。攻撃者が機密データへのアクセス権を持つユーザーを見つけて、その資格情報を不正に取得できる機会を減らせるだけではなく、ユーザーが業務に必要な情報にしかアクセスできなければ、データ攻撃が成功した場合の影響範囲を最小限に抑えることもできます。 

3番目として最後に、データが動的なものであるということは誰もが知っています。データの場所は常に動いています。データは複製されます。誰がデータへのアクセス権を持っているか、誰がアクセス権を持つべきかという状況は常に変化しています。データのセキュリティ態勢を最大限強化するということは、対象データへの脅威があるかどうかを特定するために、これらの変化を常時監視して異常なアクティビティを検知できるようにするということです。特定のデータセットにアクセス権を持つべきではない誰かが、そのデータセットへのアクセス権を手に入れたのか? その人物は他のどんなデータにアクセスできるか? 時間とともに、そのアクセス状況はどのように変化したか、長期的に実際にアクセスしていたものは何か? このようなデータをめぐる状況をすべて把握することで、変化が予期せぬリスクにつながるかどうか、真の脅威かどうか、即座に是正措置を講じるべきかどうかを測ることができます。

ここで取り上げたことはすべて、データの観点からデータのセキュリティ態勢を管理することの決定的な重要性を強調するものです。効果的なデータセキュリティ態勢には、組織がさらされているリスクをきちんと把握するために機密データを検出し分類すること、そして不必要なデータを積極的に取り除き、機密情報へのアクセスをそれを必要とする人にのみ限定することが含まれます。堅固なデータセキュリティ態勢を構築することで、広範囲に及ぶ侵害リスクを軽減できるだけでなく、攻撃が成功した場合の損害を抑えることもできます。攻撃者がデータに到達できなければ、データを取得することも破壊することもできません。サイバー脅威を取り巻く状況が進化する中、最も貴重な資産であるデータを保護しようとする組織にとって、データセキュリティ態勢を最優先に取り組むことが不可欠となっています。

多くの組織がデータのセキュリティ態勢を強化できる手法の実施や調査に着手していますが、Rubrikではサイバー態勢を、より大きなサイバーセキュリティ戦略、サイバーレジリエンスの一部として捉えています。サイバーレジリエンスとは、侵害は発生するものだと受け入れ、自社データひいては自社のビジネスが侵害に耐えて前進し続けるために十分な回復力を確保することです。サイバーレジリエンスはサイバー態勢に始まり、かつサイバーリカバリ(迅速に安全に回復する能力)も含む必要があります。サイバー態勢とサイバーリカバリを合わせることで、サイバーレジリエンスのある未来が作られ、組織はいかなる脅威にも立ち向かい、それまでよりもさらに強化されて立ち上がることができるのです。