CISOになりたいなら: データ保護について知っておくべきこと

データはあらゆる組織の生命線です。最高情報セキュリティ責任者 (CISO) であろうと、CISO になりたいと考えていようと、重要なビジネス データを保護することは最優先事項です。しかし、仕事は楽にはなりません。 2021 年には、データ侵害の数は 68% 増加して 1,862 件になり、1 件あたり平均 424 万米ドルの費用がかかりました。 ¹漏えいによる損害はすべての人に影響を及ぼし、ブランド エクイティと消費者の信頼の低下、株主の信頼の低下、監査の失敗、規制当局による精査の強化を引き起こします。

次のランサムウェア攻撃からの保護に夢中になり、組織内のリスクを見落としがちです。インサイダーによる機密データの漏洩、知的財産 (IP) の盗難、詐欺、規制違反など、いずれも見出しを飾る侵害と同じくらい早く会社 (およびあなたのキャリア) を崩壊させる可能性があります。今日の幅広いデジタル資産 (オンプレミス、クラウド、エッジ) を考慮して、 Microsoft Purviewは、有効な CISO が内部および外部のデータ侵害のリスクを発生前に軽減するために必要な、インサイド アウトの統合アプローチを提供します。自分自身で優先順位を付けるときと、取締役会と話すときの両方で、考慮すべき点がいくつかあります。

自分の家に気をつけてください – インサイダーの脅威

「大辞職」または「大改造」が続く中、世界中の組織は、出口に向かっている多数の人々に対応しています。 Microsoft の最新のWork Trend Indexの結果によると、従業員の 43% が来年中に転職を検討する可能性が高いことが示されています。この雇用形態の大規模な変化には、「大規模な流出」が伴います。移行中の従業員の多くは、意図的かどうかにかかわらず、機密データを個人のデバイスに保存したり、サードパーティのクラウド経由でアクセスしたりして退職します。 2021 年には、従業員の 15% が 2020 年と比較して、より多くの企業データを個人のクラウド アプリにアップロードしました。さらに憂慮すべきことは、2021 年には退職した従業員の 8% が通常の 100 倍以上のデータ量をアップロードしたことです。 ²

CISO は、複数のプラットフォーム、デバイス、およびワークロードに広がるデータを担当します。そのテクノロジが組織のビジネス プロセスとどのように相互作用するかを検討する必要があります。これには、データの流出を防ぐためのポリシーを整備することも含まれます。特に、金融やヘルスケアなどの規制された業界で働いている場合。誰がデータにアクセスできるのか?データをどこに置くか (または置かないか)?データはどのように使用できますか?過度の共有を防ぐにはどうすればよいですか?クラウド ネイティブで包括的な最新のデータ損失防止(DLP) ソリューションを使用すると、クラウド サービス、デバイス、オンプレミスのファイル共有全体ですべての DLP ポリシーを一元管理できます。さらに良いことに、このタイプの統合 DLP ソリューションは追加のインフラストラクチャやエージェントを必要としないため、コストを抑えることができます。大きな変化の時代にあっても、今日の職場では、プラットフォームやサービス全体でデータを自由に作成、管理、共有できることが求められます。しかし、彼らが所属する組織は、ユーザーのリスクを軽減しようとする際に、限られたリソースと厳格なプライバシー基準によって制約を受けることがよくあります。そのため、内部関係者の脅威を分析し、 統合された検出および調査機能を提供できるツールが必要になります。インサイダーの脅威に対する最善の解決策は次のとおりです。

• 透明性 – プライバシー バイ デザイン アーキテクチャを使用して、ユーザーのプライバシーと組織のリスクのバランスをとります。
• 構成可能 – 業界、地理的位置、およびビジネス グループに基づいてポリシーを有効にします。
• 統合 – データがどこにあっても、すべてのデータにわたって統合されたワークフローを維持します。
• 実用的—レビュアーへの通知、データ調査、およびユーザー調査を可能にする洞察を提供します。

内部関係者の脅威からの保護には、どのトリガー イベントとリスク指標が検査を必要とするかを定義するテンプレートとポリシー条件を含める必要があります。そのため、インサイダー リスク ソリューションは、組織全体の潜在的なリスク パターンを調べ、エンド ツー エンドのワークフローで危険なアクティビティを調査できる必要があります。さらに、 行動規範違反 (嫌がらせや脅迫的な言葉、アダルト コンテンツ、機密情報の共有) を検出するのに役立つソリューションは、内部関係者による脅威の可能性を示す信頼できる指標となる可能性があります。機械学習は、特定の単語やキー フレーズに関するより詳細なコンテキストを提供するのに役立つため、調査担当者は修正を迅速に行うことができます。

データ戦略の自動化と統合

多くの組織は 1 つのベンダーにすべてを任せることに抵抗しているため、ほとんどの CISO は、オンプレミスとクラウド ストレージのパッチワークにまたがるデータに対処する必要があります。不格好ではありますが、レガシー データ サイロは現実のものです。大量の「ダーク データ」が機密として正しく分類されない場合、個人を特定できる情報 (PII) や機密性の高い企業 IP を保護し、データ損失防止ポリシーを実装することが難しくなります。倹約家の CISO は、デジタル資産全体を保護するための包括的なソリューションを使用して、可能な限り簡素化する必要があります。優れたデータ管理ソリューションは、ユーザーがドキュメントを手動で分類できる柔軟性と、システム管理者が自動ラベル付けと機械学習でトレーニング可能な分類器を適用する柔軟性の両方を提供する必要があります。

• データの発見:従業員が顧客の社会保障番号 (SSN) を無意識のうちに保護されていないサイトやサードパーティのクラウドに保存していたことを発見することは珍しくありません。そのため、一般データ保護規則 (GDPR) や 1996 年の医療保険の相互運用性と説明責任に関する法律 (HIPAA) など、組み込みの機密情報の種類と規制ポリシー テンプレートを使用して、機密データを自動的に識別する PII のようなデータ管理ソリューションが必要になります。 .また、機密データはどこにでも到達する可能性があるため、適切なソリューションでは、 自動化を使用して、オンプレミス、マルチクラウド、運用、およびサービスとしてのソフトウェア (SaaS) のデータ全体に広いネットをキャストする必要があります。

• データ分類:広く使用されているアプリケーションやサービスと既に統合されている統合された組み込みのラベル付けを探してください。これにより、ユーザーは特定のニーズに合わせて機密レベルをさらにカスタマイズできます。適切なソリューションは、企業規模での迅速な分類とデータ損失防止の展開のために、組織全体で自動ラベル付けとポリシーの適用も可能にする必要があります。さらに、オンプレミス、マルチクラウド、および SaaS にある機密データを識別して分類し 、データ資産全体の全体的なマップを作成する統合データ管理ソリューションを探してください。

• データ ガバナンス:組織のデータを見つけやすく、信頼できるものにし、容易に保護できる場所に保存する必要があります。必要以上に長くデータを保存すると、侵害にさらされるリスクが高まります。一方、データの削除が速すぎると、組織が規制違反のリスクにさらされる可能性があります。データ保持、記録管理、および機械学習機能は、データを分類してライフサイクル ポリシーを自動的に適用することでこの問題を解決し、必要なデータのみを保持して不要なものを削除することで、リスクと責任を管理するのに役立ちます。

データ保護をチームの取り組みにする

CISO の主な責任は、ソフトウェア ソース コード、特許取得済みの設計、創造的な作品など、ビジネスに競争力を与えるほとんどすべてのものなど、組織の IP を保護することです。しかし、ビッグ データの増加と規制基準の変化に伴い、CISO は、PII、個人健康情報 (PHI)、クレジット カード業界 (PCI) データなどのユーザー データを保護することも期待されています。プライバシー法も、社内およびサードパーティ ベンダーの両方で、ユーザー データの使用、保持、および場所に対する制限を強化しています。

さらに、ハイブリッドおよびマルチクラウド サービスは、データの地理的な起点、ストレージの場所、およびユーザー アクセス ポイントを分散させることによって、新たな課題を生み出します。今日の CISO は、データ保護、プライバシー、IT、人事、法務、コンプライアンスの分野で同僚と協力する必要があります。つまり、最高データ責任者 (CDO)、最高リスク責任者 (CRO)、最高コンプライアンス責任者 (CCO) と職務を分担している可能性があります。 ）、および最高情報責任者（CIO）。これは、1 つのテーブルに多くの頭字語です。したがって、効果的な CISO は、作業を重複させたり、テリトリーをめぐって競争したりするのではなく、潜在的な冗長性を排除し、セキュリティ チーム全体が同じスクリプトで作業し続けるのに役立つ、データ保護のための統合ソリューションを採用する必要があります。

おまけのヒント — 簡素化する

ファイアウォールと境界ベースのセキュリティの時代が戻ってこないことは誰もが知っています。効果的なゼロ トラストアプローチを実現するには、マルチクラウド、マルチプラットフォーム環境全体でデータを保護する機能が必要です。データ保護、ガバナンス、およびコンプライアンス機能をMicrosoft Purviewとして統合するという Microsoft の決定は、以前の Microsoft Azure Purview と Microsoft 365 Compliance ポートフォリオを 1 つのブランドにまとめることであり、組織はデータ保護に対してよりシンプルなアプローチを必要としているという私たちの信念を反映しています。

既にMicrosoft 365 E5またはMicrosoft 365 E5 Complianceのお客様である場合は、刷新されたMicrosoft Purview コンプライアンス ポータルにアクセスして、これらの変更の一部を確認してください。既存の Azure Purview のお客様は、新しいMicrosoft Purview ガバナンス ポータルにアクセスしてください。詳細を確認して開始するには、 Microsoft Purview Web サイトにアクセスするか、今すぐ無料試用版を開始してください。

Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

¹Data Breach Report 2021 のコスト、Ponemon Institute、IBM。 2021年。

²「大辞職」とともに、「大脱走」ケヴィン・タウンゼントが登場。 2022 年 1 月 11 日。