[技術解説]

自社のデータを守るために押さえておきたい4つのポイント

2012年7月17日(火)

データの安全対策内容を再点検 守りを強化しIT活用に挑む データのセキュリティ対策は、後ろ向きの取り組みと捉えがちだ。しかし、現実はむしろ逆。守りを強くすることによって、「漏洩の可能性がある限りはモバイルは御法度」といった極端に消極的な“IT活用”方針から抜け出す道が開けるはずだ。 栗原 雅(編集部)

ユーザー企業のセキュリティ対策担当者やベンダーのセキュリティ技術者の意見を総合すると、データのセキュリティ対策に臨む際に心がけたいポイントは、大きく4つに整理できる。パート3のデータセキュリティ座談会で触れた暗号鍵の管理やトークナイゼーションなど技術的なポイントのほか、「情報のグランドデザインを描く」「セキュリティポリシーを見直す」といった非技術的なポイントも含まれる(図4-1)。多くは当たり前と言えば当たり前の観点だが、現状の対策に見落としがないことを再確認する意味で、4つのポイントを改めて見ていく。

図4-1 データのセキュリティ対策に取り組む際に心がけたい4つのポイント
図4-1 データのセキュリティ対策に取り組む際に心がけたい4つのポイント

情報の全体構造を鳥瞰し経営リスクを最小化

「漏れてはいけないデータがどのシステムに存在するのか、明示してもらえない」。「何を重要なデータと位置づけているのかが漠然としている」。「大切なデータが複数の機器に分散しているのに、その状況をほとんど把握できていない」。これらは、セキュリティ対策を支援する複数のエンジニアやコンサルタントが、ユーザー企業の現場を目の当たりにして感じた本音だ。

ポリシーに応じてデータの機密レベルを自動で判定し、外部への送信遮断や外部メディアへの書き込み制限ができるDLP(データ漏えい防止)ツールのように、セキュリティ対策ツールは高機能化が進んでいる(詳細はパート5を参照)。そうしたツールを使いこなすには、守るべきデータの種類や所在、管理方法、利用権限などを鳥瞰できる情報のグランドデザインが欠かせない。最新技術を取り込みIT活用を深化させるために、システムのグランドデザインが必要なのと同じである。

もちろん情報のグランドデザインを描くとは、言うは易く行うは難しである。企業が取り扱うデータは多種多様なうえ、エンドユーザーが業務で必要とするデータは千差万別だからだ。しかし実行こそ、セキュリティの弱点の洗い出しとデータが漏えいするリスク、すなわち経営リスクの最小化につながる。「年間IT予算の7〜8%程度」(ガートナー ジャパンの石橋正彦セキュリティ担当リサーチディレクター)とされるセキュリティ維持費を、新規の対策に振り向けられる可能性も出てくる。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

【次ページ】
  • 1
  • 2
  • 3
  • 4
  • 5
関連記事

自社のデータを守るために押さえておきたい4つのポイントデータの安全対策内容を再点検 守りを強化しIT活用に挑む データのセキュリティ対策は、後ろ向きの取り組みと捉えがちだ。しかし、現実はむしろ逆。守りを強くすることによって、「漏洩の可能性がある限りはモバイルは御法度」といった極端に消極的な“IT活用”方針から抜け出す道が開けるはずだ。 栗原 雅(編集部)

PAGE TOP