企業が日々ますます大量のデータを生成している中、そうしたデータを窃取などの悪意ある活動から保護することは、かなり複雑になる場合があります。保有する多くのファイルをはじめ、データソースの一部は、窃取または漏洩が発生した場合に、自社や顧客に取り返しのつかない損害を与えてしまうかもしれません。それらの情報には強力なセキュリティが必要です。一方、公に広まっても損害がない種類のデータもあります。
データの中でも最も高いレベルの保護を必要とするデータとそうでないデータを把握しておくことは、リスクを軽減し、国や連邦政府、業界の規制に準拠するために欠かせません。また、堅実なデータ保護計画を策定し、さまざまな種類の情報を適切なレベルで保護するうえでも役立ちます。
すべてはデータ分類から始まります。
簡単に言えば、データ分類とは、保有しているデータの種類と、アクセスする必要のあるユーザーとその保持が必要な期間といったデータの使い方を特定できるようにするプロセスです。データ分類は、あらゆる企業のデータガバナンス計画、つまりデータを管理・保護し、組織全体で利用できるようにするための戦略に欠かせないステップです。データの種類や保管場所を把握していなければ、適切にデータを保護することはできません。
データ分類は多くの場合、組織内のすべてのデータを分析して、「パブリック」、「社内のみ」、「極秘」、「限定開示」などの事前定義した機密性のカテゴリに分類する作業が伴います。すべてのデータを分類したら、それぞれのデータカテゴリで必要な各種セキュリティレベルを決定できます。
データ分類は、リスク管理戦略と、コンプライアンスの取り組みを強化するのに役立ちます。データにセキュリティレベルの優先順位をつけることで、最も高いレベルで保護する必要はないデータを管理するという、不要なIT作業に費やされる時間を削減できます。また、適切な機密情報を守り、アクセスのしやすさを維持すると同時に、すべてのデータの完全性も維持できるようになります。
データ分類は、さまざまな種類のデータのセキュリティをより効果的に実施することだけでなく、規制への準拠を維持するのにも役立ちます。世界中でデータ漏洩が増える中、国や産業組織はセキュリティ要件を厳格化し、企業によって収集されるデータのプライバシーに関する法律を増やしています。
たとえば、2018年から施行されたEU一般データ保護規則(GDPR)は、欧州連合(EU)でのデータ保護とプライバシーや、EU外への個人情報の移転に対処する、広範囲に及ぶ指令です。この規則は、現在最も厳格なデータ保護法の1つであり、企業はデータの扱い方や管理方法を大幅に変更せざるを得なくなっています。GDPRと同じように、2020年1月1日から適用開始となったカリフォルニア州消費者プライバシー法(CCPA)も、現時点で米国内において最も厳格なデータ保護規制です。GDPRやCCPAといった規制では、特定の方法で機密性の高い情報の安全を守り、保持し、管理することが必要となります。
データをコンプライアンス規制に従って分類することで、こうした規制の対象となる情報を特定し、適切な管理方法を導入することができます。たとえば、一部のデータ分類ソリューションは、PCI、PCI-DSS、HIPAA、グラムリーチブライリー法(GLBA)などの特定のコンプライアンス規制に対応する、社会保障番号、クレジットカード番号、ヘルスケアの全米プロバイダー識別子(NPI)といったデータの種類を識別することができます。これらのソリューションでは、上述のタイプのデータをめぐるコンプライアンスポリシーを作成することができ、その機密データの扱いが誤っているときや、誤った場所に配置されたときに、ポリシー違反の通知を受け取ることができます。
データ分類を自動化することで、リスクを最小限に抑え、貴重なリソースを節約できます。RubrikのPolaris Sonarソリューションは、本番環境に影響を与えることなく、個人識別情報(PII)などの機密データを自動的に分類します。事前定義されたポリシーテンプレートによって処理される、分類のタイプに関する情報を簡単に入手できます。
Rubrikを利用することで、どのようにデータガバナンス戦略の知識を深め、強化することができるのか、あるいはGDPR順守を促進できるのかご確認ください。