データ分類を調べる
- 8 分
機密データは、盗まれたり、誤って共有されたり、侵害によって公開されたりした場合に、会社に重大なリスクを与える可能性があります。 リスク要因には、評判の低下、財務上の影響、競争上の優位性の喪失などがあります。 ビジネスが管理するデータと情報を保護することは、すべての組織にとって最優先事項です。 ただし、管理しているコンテンツの量を考えると、その取り組みが本当に効果的かどうかを知るのは難しいかもしれません。
ボリュームに加えて、組織のコンテンツの重要度は、機密性が高く影響が大きいものから、簡単で一時的なものまで、多岐に及ぶ場合があります。 また、さまざまな規制コンプライアンス要件の下にもあります。 何に優先順位を付け、どこにコントロールを適用するべきなのかを知ることは困難な場合があります。
組織は、データ分類を実装することで、これらの懸念に対処します。 データ分類は、サイバーセキュリティとデータ ライフサイクル管理の分野で使用される特殊な用語です。 秘密度または影響レベルに従ってコンテンツを識別、分類、保護するプロセスについて説明します。 最も基本的な形式では、データ分類は、機密度または影響の大きさに基づいて、不正な開示、変更、または破壊から組織のデータを保護する手段です。
組織は、次のようなさまざまな方法でデータを分類しています:
- 秘密度ラベル
- 保持ラベル
- 機密情報の種類
- トレーニング可能な分類子
データ分類フレームワークとは?
組織は、多くの場合、正式なエンタープライズ全体のポリシーでデータ分類フレームワーク ("データ分類ポリシー" とも呼ばれます) を体系化します。 データ分類フレームワークは、通常、3 つから 5 つの分類レベルで構成されます。 通常、これらのレベルには、名前、説明、実例の 3 つの要素が含まれます。
Microsoft では、ユーザー インターフェイス (UI) を管理しやすい状態に保つために、最上位レベルの親ラベルを 5 つ以下にし、それぞれ最大 5 つのサブラベル (合計 25 個) を使用することをお勧めします。 UI は通常、次のようなレベルを最も機密性の低いものから最も機密性の高いものに配置します:
- パブリック
- 内部
- 社外秘
- 極秘
使用される可能性があるその他のレベル名のバリエーションは次のようなものがあります:
- Restricted
- Unrestricted
- 保護されたコンシューマー
Microsoft では、自己説明的なラベル名をお勧めします。 また、相対的な機密度も明確に示す必要があります。 たとえば、 Confidential と Restricted では、どちらのラベルが適切かという判断はユーザーに委ねられます。 これに対し、 Confidential と Highly Confidential は、どちらが機密性が高いのかがより明確です。
次の表は、Highly Confidential データ分類フレームワーク レベルの例を示しています:
| 分類レベル | 説明 | 例 |
|---|---|---|
| 非常に機密性の高い社外秘 | Highly Confidential データは、エンタープライズによって保存または管理されるデータの中で最も機密性の高いものであり、侵害された場合や開示された場合は法的通知が必要になる場合があるものです。 Restricted データには、最高レベルの制御とセキュリティが必要です。 組織は、"知る必要がある" 場合にのみアクセスできるようにする必要があります。 |
- ユーザーの個人情報 - カード所有者データ - 保護された健康情報 (PHI) - 銀行口座情報 |
ヒント
Microsoft の企業データ分類フレームワークでは、最初は "Internal" という名前のカテゴリとラベルが使用されていました。 ただし、パイロット段階で、一部のドキュメントにおいて外部と共有する正当な理由が見つかりました。 そのため、'Internal' ではなくラベル 'General' を使用するようにシフトされました。
データ分類フレームワークのもう 1 つの重要なコンポーネントは、各レベルに関連付けられているコントロールです。 データ分類レベル自体は、コンテンツの値または秘密度を示す単なるラベル (またはタグ) です。 そのコンテンツを保護するために、データ分類フレームワークは、データ分類レベルごとに配置する必要があるコントロールを定義します。 これらのコントロールには、次に関連する要件が含まれる場合があります:
- ストレージの種類と場所
- 暗号化
- アクセス制御
- データの破棄
- データ損失防止
- 公開
- ログ記録と追跡アクセス
- 必要に応じて、その他の制御目標
組織のセキュリティ制御は、データ分類レベルによって異なります。 以下に例を示します。
- 組織のフレームワークで定義されている保護対策は、コンテンツの機密性に応じて増加する可能性があります。
- データ ストレージ制御の要件は、使用されるメディアと、特定のコンテンツに適用されている分類レベルによって異なる場合があります。
次の表は、特定のストレージの種類のデータ分類コントロールの例を示しています。
| ストレージの種類 | 社外秘 | 内部 | Unrestricted |
|---|---|---|---|
| リムーバブル ストレージ | 禁止 | 暗号化されていない限り禁止 | コントロールは必要ありません |
実際には、適切なレベルのデータ分類を正しく適用することは複雑な場合があります。 そのため、エンド ユーザーに負荷がかかる場合があります。 組織が必要なレベルのデータ分類を定義するポリシーまたは標準を作成しても、プロセスは完了しません。 代わりに、エンド ユーザーが日常業務でこのフレームワークを実現する方法を案内することが重要です。 ここで、データ分類処理ルールまたはガイドラインが重要な役割を果たします。
データ分類処理ガイドラインは、様々なストレージ メディアのライフサイクルに対して、各レベルのデータを適切に処理する方法に関する特定のガイダンスをエンド ユーザーに提供します。 これらのガイドラインは、エンド ユーザーが実際にルールを正しく適用するのにも役立ちます。 たとえば、ドキュメントの共有、メールの送信、異なるプラットフォームや組織間での共同作業などです。
Microsoft のお客様は、Information Protection プロジェクトの約 50% が技術ではなくビジネスに重点を置いていることを示しています。 そのため、エンドユーザーのトレーニングとコミュニケーションは成功に不可欠です。
適切に設計されたデータ分類フレームワークの作成
組織は、データ分類フレームワークを開発、刷新、または改良する際に、次のベスト プラクティスを検討する必要があります。
1日目に 0 から 100 まで進める必要はありません。 Microsoft では、クロールウォークランアプローチをお勧めします。 組織にとって重要な機能を優先度付けし、タイムラインにマップする必要があります。 最初の手順を完了し、成功したことを確認してから、次のフェーズに進み、得られた教訓を適用します。 データ分類フレームワークを設計しても、組織のリスクがなくなるわけではないことに留意してください。 そのため、少数の分類レベルで小規模に開始し、必要に応じて後で拡張してもかまいません。
あなたはサイバーセキュリティの専門家のためだけに書いているだけではありません。 データ分類フレームワークは、幅広いユーザーを対象としています。 これには、平均的なスタッフ メンバー、法務チームとコンプライアンス チーム、IT チームなどが含まれる場合があります。 データ分類レベルは明確でわかりやすい定義で記述することが重要です。 可能な場合は、実例を提供してください。 専門用語を避け、頭字語や高度な技術用語の用語集を検討してください。
データ分類フレームワークを実装します。 組織がデータ分類フレームワークを設計するだけでは十分ではありません。 成功するには、組織はそれらを実装する必要があります。 これは、各データ分類レベルの制御要件を作成する場合に特に重要です。 要件を明確に定義していることを確認します。 また、実装中に発生する可能性のあるあいまいさを予測し、対処する必要もあります。 たとえば、顧客の個人情報を管理している場合は、社会保障番号やパスポート番号など、そのコントロールの意味を正確に説明してください。
必要に応じて、きめ細かく行ってください。 データ分類フレームワークには、通常、3 つから 5 つのデータ分類レベルが含まれます。 ただし、5 つのレベルを 含めることができるからといって、必要なわけではありません。 必要な分類レベルの数を決定するときは、次の条件を考慮してください:
- 業界と関連する規制義務 (規制の厳しい業界では、より多くの分類レベルが必要な傾向があります)。
- より複雑なフレームワークを維持するために必要な運用オーバーヘッド。
- ユーザーと、ユーザーのより多くの分類レベルに関連する複雑さと微妙な違いを遵守する能力。
- 複数のデバイスの種類に手動分類を適用する場合のユーザー エクスペリエンスとアクセシビリティ。
適切な人を参加させます。 上級利害関係者を置くことは、成功を収めるために不可欠です。 多くのプロジェクトは、上級管理者の支援なしには、開始するのに苦労したり、開始するまでに時間がかかったりしています。 通常、情報技術チームがデータ分類フレームワークを所有しています。 ただし、法的、コンプライアンス、プライバシー、変更管理に影響を与える可能性があります。 組織は、作成したフレームワークがビジネスの保護に役立っていることを確認する必要があります。 これを行うには、ポリシーの策定にプライバシーと法的利害関係者を含める必要があります。 たとえば、会社のプライバシーの最高責任者や一般顧問室などです。 組織にコンプライアンス部門、データ ライフサイクル管理の専門家、またはレコード管理チームが存在する場合、貴重な知見を得られる可能性があります。 フレームワークをビジネスにロールアウトする際には、内部メッセージングと導入のために、コミュニケーション部門が重要な役割を果たすこともあります。
セキュリティと利便性のバランスを取る。 よくある間違いは、セキュリティで保護されているが制限が厳しすぎるデータ分類フレームワークを作成することです。 組織は、セキュリティを念頭に置いてこの種類のフレームワークを定義しますが、実装するときに苦労することがよくあります。 ユーザーが日々の生活の中でフレームワークを適用するために複雑で厳格で時間のかかる手順に従う必要がある場合、その価値を信じなくなるリスクは常に存在します。 このようなシナリオが発生すると、通常、ユーザーは手順に従うことをやめてしまいます。 このリスクは、組織内の経営幹部レベル (C スイート) のマネージャーを含め、組織内のすべてのレベルに存在します。 使いやすいツールと共に、利便性とセキュリティのバランスを取ると、通常、より多くのユーザーが導入し、使用します。 フレームワークにギャップがある場合でも、すべてが完璧になるまで実装するのを待たないでください。 代わりに、リスクまたはギャップを評価し、軽減する計画を作成し、前進を続けます。 情報保護は体験であることに注意してください。 これは、一晩でアクティブ化できるものではありません。 ツールの進化とユーザーの成熟度とエクスペリエンスの向上に合わせて、いくつかの機能を計画、実装し、成功を確認して、次のマイルストーンへの反復処理を行います。
また、データ分類フレームワークは、機密データを保護するために組織が何をすべきかということのみに対処することに注意してください。 通常、データ分類フレームワークには、技術的およびテクノロジの観点からこれらのポリシーを適用する方法を定義するデータ処理ルールまたはガイドラインも含まれます。
データ分類フレームワークの作成に関する問題点
データ分類の取り組みは、本質的に広範囲に渡ります。 企業内のほぼすべてのビジネス機能に触れます。 この広範な範囲と最新のデジタル環境でのコンテンツ管理の複雑さにより、企業は多くの場合、次の情報を知る上で課題に直面しています。
- どこから始めるか。
- 正常な実装を管理する方法。
- 進行状況を測定する方法。
組織は、多くの場合、次の場合に一般的な問題点に直面します:
- 堅牢でわかりやすいデータ分類フレームワークを設計します。 そのためには、組織は分類レベルとそれらに関連するセキュリティ制御を決定する必要があります。
- 実装計画を作成します。 適切なテクノロジ ソリューションを確認し、計画を既存のビジネス プロセスに合わせ、従業員への影響を明らかにする必要があります。
- 選択したテクノロジー ソリューション内にデータ分類フレームワークを設定します。
- ツールのテクノロジー機能とフレームワーク自体の間のギャップに対処します。
- ガバナンス構造を確立します。 この構造は、データ分類作業の継続的なメンテナンスと正常性を監視する必要があります。
- 進行状況を監視および測定するために、特定の主要業績評価指標 (KPI) を特定します。
- それらが重要である理由や、データ分類ポリシーへの準拠方法など、データ分類ポリシーに対する認識と理解を深めます。
- データ損失やサイバーセキュリティ制御を対象とする内部監査レビューに準拠します。
- ユーザーのトレーニングとエンゲージメント。 ユーザーは、毎日の作業で正しい分類の必要性を念頭に置く必要があります。 また、適切な分類メジャーを適用するタイミングも学習する必要があります。
ガバナンスとメンテナンス
組織がデータ分類フレームワークを開発して実装した後は、継続的なガバナンスとメンテナンスが、その成功に不可欠です。 ユーザーが実際に秘密度ラベルを使用していることを追跡するだけでなく、組織は規制の変更、サイバーセキュリティの主要なプラクティス、管理するコンテンツの性質に基づいて制御要件を更新する必要があります。
ガバナンスとメンテナンスの取り組みには、次のものが含まれます:
- データ分類専用のガバナンス機関を確立するか、既存の情報セキュリティ機関にデータ分類責任を追加します。
- データ分類を監視するユーザーの役割と責任を定義する。
- 進行状況を監視および測定するための KPI の確立。
- サイバーセキュリティのリーディング プラクティスと規制の変更の追跡。
- 標準的な操作手順の開発。 これらの手順は、データ分類フレームワークをサポートし、適用する必要があります。
理解度チェック
次の各質問に最適な回答を選択します。