データ セキュリティ規範を確立する

この記事は、セキュリティチームとテクノロジ チームがデータ セキュリティ規範を確立して最新化するのに役立ちます。これにより、組織は、データの作成、保存、処理、共有、または使用の場所を問わずデータを保護しながら、コラボレーション、分析、クラウド サービス、AI の導入を可能にします。

セキュリティ規範 は、関連するセキュリティ作業のグループであり、組織がテクノロジ資産全体にわたって一貫してセキュリティ成果を提供するのに役立ちます。 セキュリティ導入モデル内では、規範によって ビジネス シナリオ技術実装の間の橋渡しが可能になり、セキュリティ投資が セキュリティ導入モデルの一部として実際の測定可能な結果に変換されます。

この規範の理由

データは、現代の組織の生命を生み出すものです。 ビジネス運用、意思決定、イノベーションを支えていますが、攻撃者の標的となる最も価値のある資産の 1 つでもあります。

クラウド サービス、暗号化、モバイル デバイス、分散コラボレーションを使用する環境では、ネットワーク中心の従来のデータ保護アプローチでは十分ではなくなりました。 最新のデータ セキュリティ規範は、境界コントロールを超えて、ビジネス価値とリスクに合わせた ID 対応のライフサイクルベースの保護に移行します。 効果的なデータ セキュリティがなければ、組織は次のような重要なビジネス リスクに直面します。

  • クラウド サービス、個人のデバイス、AI を使用する従業員による意図しないデータの公開。
  • 機密情報を対象とする悪意のあるインサイダー アクティビティ。
  • 分散環境で境界ベースの制御をバイパスする脅威アクター。
  • ランサムウェアと強要攻撃によって操作が中断されます。
  • 規制上のペナルティ、評判上の損害、および一部の業界では、生命安全への影響。

専用のデータ セキュリティ規範は、組織全体のデータを安全かつ生産的に使用できるようにしながら、これらのリスクを軽減するために必要な構造を提供します。

ミッションと成果

データ セキュリティ規範の使命は、データ資産の機密性、整合性、可用性をライフサイクル全体で保護し、セキュリティで保護されたビジネス運用と情報に基づいた意思決定を可能にすることです。

成熟したデータ セキュリティ規範は、次の主要な成果を提供します。

  • データの機密性: 承認されたユーザーとシステムのみがデータにアクセスできることを確認します。
  • データの整合性: データの不正な変更または破損を防止します。
  • データの可用性: 必要に応じて、承認されたユーザーがデータにアクセスできるようにします。

これらの結果に失敗すると、データの盗難や不正使用、業務の中断、不正行為の有効化、規制されたデータの公開、さらには人に物理的な損害が発生する可能性があります。

明確な所有権、分類、保護戦略を確立すると、データ セキュリティは制約ではなく、ビジネス成果の実現要素になります。

コア データ セキュリティ原則としての機密性、整合性、可用性を示す CIA トライアドの図。

データ セキュリティ規範を効果的に適用するには、その機密性とビジネスへの影響に基づいてデータを保護するための一貫したアプローチを確立することに重点を置きます。

  1. ビジネスの優先順位とリスクに合わせてデータ保護戦略を定義する
    データの価値と、データの露出や誤用に関連するリスクに基づいて、データを識別、分類、保護するための明確なアプローチを確立します。
  2. データ ライフサイクル全体で一貫して保護を適用する
    デバイス、アプリケーション、クラウド環境間を含め、データが存在する場所、移動先、または使用されている場所でデータが保護されていることを確認します。
  3. 標準化されたデータ保護ポリシーと制御を確立する
    機密データが組織全体で一貫した安全な方法で処理、アクセス、共有されるようにするための明確なガイダンスを提供します。
  4. 重要なビジネス資産とシナリオに合わせてデータ保護を調整する
    特に重要な資産の保護や安全なコラボレーションの有効化などのシナリオでは、価値の高い規制対象データを保護するコントロールに優先順位を付けます。
  5. データ保護を継続的に監視および改善する
    データの使用状況、リスクシグナル、セキュリティ イベントからの分析情報を使用して保護を強化し、時間の経過に伴うデータの漏洩や損失のリスクを軽減します。

変更の管理

従来のデータ セキュリティアプローチは、ネットワーク ベースのデータ損失防止 (DLP) などの単一のコントロール ポイントに依存することがよくあります。 このモデルは、次の理由から最新の環境では効果がありません。

  • データ ライフサイクルの限られたポイントでのみ動作します。
  • 保護と生産性のバランスを一瞬で完全に調整する必要があります。
  • データが暗号化されたり、クラウド サービス経由で共有されたり、個人のデバイスでアクセスされたりすると失敗します。

この図は、データ セキュリティに対する最新のアプローチを使用して克服する課題をまとめたものです。

作成、ストレージ、転送など、各段階の課題を示すデータ セキュリティ ライフサイクルの図。

最新のデータ セキュリティ規範では、データ ライフサイクル全体にわたる継続的な可視性と制御に重点を置いています。

主なフォーカス領域

最新のデータ セキュリティ戦略では、次の点が強調されています。

フォーカス 詳細情報
重要なデータに優先順位を付ける 最もビジネスクリティカルなデータを最初に保護します。
コラボレーション、網羅性、可視性 デバイス、アプリ、クラウド間で構造化データと非構造化データを完全に可視化するためにビジネス全体で共同作業を行い、データ サイロを防ぎます。
データの検出 データが存在する場所と、データが持つ値または秘密度を把握します。
データの分類 セキュリティ コントロールを自動的に適用できるように、一貫性のあるラベルを適用します。
ライフサイクル保護 場所、技術プラットフォーム、デバイス、環境に関係なく、データをセキュリティで保護します。

データのライフサイクル全体にわたって、作成、使用格納共有破棄という戦略を適用します。 作成および生成中のデータ、保存時のストレージ、アクセス/共有/使用中、転送中、およびアクティブでアーカイブまたは削除されなくなったデータをセキュリティで保護します。
監視と適用 リアルタイムの可視性と自動化された適用を実装して、リアルタイムの不正アクセスまたは流出を検出して対応します。
学習と改善 データのセキュリティを継続的に向上させます。 AI を含むデータ形式、プラットフォーム、ユース ケースの進化に合わせて戦略とデータ制御を調整します。

このアプローチにより、ビジネスとテクノロジの変化に合わせて拡張される保護が可能になります。

この図は、セキュリティと生産性の両方を実現する高度なデータ セキュリティ戦略を示しています。

ゼロ トラスト基盤、エンタープライズ コラボレーション、データ ライフサイクル ステージを示すデータ セキュリティ戦略のダイアグラム。

図において:

  • ゼロ トラスト基盤は点線で示され、内部機能と外部環境の間に最新の ID 境界とデータ損失防止を確立します。 この基盤は、不正なデータ損失を防ぎますが、承認された外部関係者とのコラボレーションを可能にします。
  • エンタープライズ コラボレーション環境は、明るい緑で、組織のデータの大部分が作成、処理、および格納される場所です。 内部ユーザーのみにアクセスを制限し、既定では最小限の特権を適用します。
  • 重要なアプリとデータは、濃い緑色で、組織内で最も機密性の高いデータを表します。このデータは、承認されたユーザーとアプリケーションの限られたセットに制限する必要があります。 このデータは、エンタープライズ コラボレーション環境内および一部の承認された外部関係者と共有できますが、常に保護および監視する必要があります。

規範の役割とコラボレーター

データ セキュリティでは、ビジネス チーム、セキュリティ チーム、テクノロジ チーム間で緊密なコラボレーションが必要です。 大規模な組織では、多くの場合、ロールが分散され、形式化されます。小規模な組織では、責任が組み合わされる可能性があります。

通常、この規範の主な役割は次のとおりです。

  • データオフィサー/データ ガバナンス チーム
  • データと AI アーキテクト
  • データと AI のエンジニアリングチームと運用チーム

主なコラボレーターは次のとおりです。

  • ビジネス リーダーとデータ所有者 – データ値、使用状況、および分類を定義します。
  • セキュリティ戦略とガバナンス チーム – ポリシー、標準、および監視を定義します。
  • アーキテクチャ ロール – データ セキュリティ コントロールをシステムおよびプラットフォームの設計に統合します。
  • 開発者 – アプリケーション内でセキュリティで保護されたデータ処理を実装します。
  • セキュリティに隣接する規範 – データ セキュリティをプライバシー、リスク、コンプライアンスの取り組みに合わせます。

他の規範との連携

データ セキュリティ規範は、他の規範と密接に連携して機能します。

  • アクセスと ID の規範 – ID ポリシーとアクセス ポリシーによって、データにアクセスできるユーザーが決まります。
  • セキュリティ アーキテクチャの規範 – アーキテクチャは、データを保護するためのエンドツーエンドのパターンを定義します。
  • セキュリティ運用 (SecOps) 規範 – データ関連のインシデントを検出して対応します。
  • セキュリティ体制の規範 – データ保護の成熟度を測定し、改善します。

データの責任が拡大するにつれて、明確な所有権と共有アカウンタビリティが不可欠です。

テクノロジーの柱との整合

データは、システム、ユーザー、環境をまたいで移動します。 その結果、データ セキュリティ規範は、すべてのテクノロジの柱にまたがっています。

エンタープライズ コラボレーション、重要なデータ、テクノロジの柱のレイヤーを含むゼロ トラスト基盤のダイアグラム。

一致するテクノロジの柱は次のとおりです。

  • ID: データ セキュリティは、ID セキュリティ制御に依存して、強力な ID とアクセス制御を通じてデータへのセキュリティで保護されたアクセスを強制します。
  • エンドポイント: データ セキュリティは、侵害されたデバイスまたは管理されていないデバイスからのデータの盗難を防ぐために、エンドポイント のセキュリティ制御に依存します。
  • インフラストラクチャ: データ セキュリティは、サーバー、コンテナー、クラウド プラットフォームに格納または処理されるデータを保護するために、インフラストラクチャのセキュリティ制御に依存します。
  • アプリ: データ セキュリティは、アプリのセキュリティ制御に依存して、アプリが機密データに安全にアクセスして処理できるようにします。
  • データ: データ セキュリティは、データのライフサイクル全体を通じてデータの検出、分類、保護、監視を行うために、データ セキュリティコントロールに依存します。 - Network: データ セキュリティは、システム間で転送されるデータの検出とセキュリティ保護に役立つデータ セキュリティ制御に依存します。
  • AI: データ セキュリティは、AI の出力のトレーニング、分析、生成に使用されるデータを保護するために AI セキュリティコントロールに依存します。

次のステップ

Microsoft Unified では、セキュリティ体制管理戦略、アーキテクチャ、テクノロジの最新化を促進するために、専門家主導のワークショップが提供されます。 これらのワークショップには次のものが含まれます。

  • アーキテクチャと戦略のワークショップ - セキュリティ導入フレームワークのデータ セキュリティ ワークショップでは、データ セキュリティの最新化に焦点を当てています。 このワークショップは、主要な学習とベスト プラクティスに焦点を当てた 4 時間未満のディスカッションとして利用できます。

  • テクノロジ導入ワークショップ - Microsoft Unified には、組織がデータ テクノロジの使用について学習、計画、実装、最適化するためのワークショップがあります。

主要なフェーズとアクティビティを示す、Access と ID テクノロジの導入のためのMicrosoft統合ワークショップの図。

  • Last updated on