機密データが適切に管理されていない場合の潜在的なリスクを認識し、データ検出プロセスを実行して、データがすべて保存されている場所を把握しました。この機密データ (顧客、見込み客、パートナー、および従業員から収集されたクレジット カード番号や自宅住所などの機密情報) を、非ビジネス、公開、一般、機密、または極秘のいずれかに分類しました。露出や盗難や紛失のリスクから保護するためのリスクを評価しました。次のステップは、データを管理することです。しかし、それは何を意味し、データ ガバナンス計画をどのように開始するのでしょうか?
データ ガバナンスは、データを戦略的資産として管理するプロセスです。これは、データ、その内容、構造、使用、および品質に関する管理を設定することを意味します。 Microsoft は、データ ガバナンスをエンタープライズ データ戦略の基本的な柱と考えています。計画を立てるには、前述のすべての手順 (データ検出、データ分類、データ保護) が必要です。データ ガバナンスが適切に行われると、企業は自社のデータが一貫性があり、信頼でき、適切に使用されていることを確認しやすくなります。
これらの問題を回避するには、データを適切に管理するようにしてください。データ ガバナンス計画を作成する際に実行する 3 つの手順を見てみましょう。
1.機密データのライフサイクル管理を設定する
データを保持しなければならない期間や、データを削除する必要がある状況は、数多くの法律や規制によって規定されています。多くのプライバシー法では、名前、ID 番号、自宅の住所、IP アドレスなどの個人を特定できる情報 (PII) を、本来の目的を達成している限り保持する必要があります。 1
GDPR 第 5 条 (1) (c) の下では、データ最小化の原則により、事業体は「必要な」「適切で、関連性があり、限定された」個人データのみを処理する必要があります。 2 GDPR では、この個人情報を仮名化して暗号化することも推奨しています。
組織のデータ ガバナンス計画では、これらのデータ保持要件を考慮する必要があります。保持または削除の規制要件の対象となるファイルを手動で追跡することは、不可能ではないにしても非常に困難です。より良いアプローチは、個人データを自動期限切れにする継続的な制御を実装するか、データがまだ使用されているかアクティブであるかを評価するために定期的にデータを確認する自動リマインダーを設定することです。もう 1 つのオプションは、ドキュメントを削除する前に承認を得て、確認済みの個人データを削除し、間違ったコンテンツを削除して不注意にビジネスに損害を与えないようにすることです。
2. データ ガバナンスの運用化
会社の機密データを管理するためのライフサイクル コントロールを設定したら、次は戦略を定義し、データ ガバナンス プログラムの管理を運用化する方法を考えます。データ ガバナンスは、設定して忘れるという状況ではありません。機密データを保護および管理するには、継続的なプロセスが必要です。
ただし、データの保持と削除に対する企業のアプローチは、その国の法律と企業ポリシーによって異なります。機密データを確認、削除、およびアーカイブする頻度を定義する必要があります。会社のデータ ガバナンス オフィサーまたは法務部門は、何が必要かについてガイダンスを提供できます。
これらの継続的な操作を自動化することで、管理の負担を軽減できます。自動化の 1 つの機会は、さまざまな機密レベルでの安全なドキュメントの自動ラベル付けです。データを機密として適切にラベル付けしないと、データを見つけたり、識別したり、適切に管理したりすることができなくなります。
3. 役割ベースのアクセスを管理する
違反を想定し、各リクエストを検証するセキュリティ モデルであるゼロ トラストの主な原則は、ユーザーが作業を完了するために使用するリソースのみにアクセスできるようにすることです。 役割ベースのアクセス制御を割り当てると、リソースにアクセスできるユーザー、それらのリソースでできること、およびアクセスできるリソースを管理することで、リソースを保護するのに役立ちます。
従業員、ゲスト、ベンダーを対象としたアクセスの詳細なライフサイクルを作成します。権限の設定を新人研修マネージャーに委任しないでください。ロールの権限が過剰または過少になる可能性があります。オンボーディング時にのみID ガバナンスを処理することのもう 1 つのリスクは、従業員が役割を変更したり退職したりするときに必要なアクセスの変更に対処できないことです。
代わりに、組織のすべての部門のリーダーは、各役職が職務を遂行するために必要なアクセス権を事前に決定する必要があります。次に、IT およびセキュリティ パートナーは、これらの各ポジションに対して役割ベースのアクセス制御を作成できます。最後に、コンプライアンス チームは、これらのコントロールが実装され、遵守されていることを確認するための監視と報告を担当します。
人々がアクセスする必要があるデータを決定するときは、そのデータで何をする必要があるか、および仕事を行うために必要なアクセスのレベルの両方を考慮してください。たとえば、営業担当者は顧客データベースへのフル アクセスが必要ですが、売上予測への読み取りアクセスのみが必要で、買掛金アプリへのアクセスは必要ない場合があります。それは、人々が適切な情報に適切なタイミングで適切にアクセスできるようにすることです。
計画を作成する際に尋ねるその他の質問には、次のようなものがあります。
- 役割の変更、オフボーディング、またはその他の理由により、誰かがアクセス権を必要としなくなった場合、どのようにアクセス権を取り消しますか?
- ユーザーがアクセス権を持って何をしているかを確認するために、定期的および例外ベースの監視とレポートを設定しましたか?
- アクセス許可管理ソリューションを実装することで、IT のコストと作業負荷を削減しながら、ユーザーの生産性を向上させることができますか?
組織は、監査人や規制当局に対して、社内でプライバシー ポリシーが守られ、実施されていることを証明できる必要があります。個々のユーザーの役割に基づいてネットワーク アクセスを制限すると、これに役立ちます。
データ ガバナンスで機密データを保護する
データ ガバナンスは、データが発見可能で、正確で、信頼できるものであることを保証します。機密データのライフサイクル管理の設定、データ ガバナンスの運用化、役割ベースのアクセスの管理を含むデータ ガバナンス計画を立ち上げて、機密データを保護します。慎重なデータ検出、データ分類、およびデータ保護のフォローアップとして、データ ガバナンスは、業界の規制に従ってライフサイクル全体を通じて機密データを保護するのに役立ちます。これにより、従業員、顧客、見込み客、およびパートナー。
データ ガバナンスと機密データの保護について詳しくは、次をご覧ください。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
1GDPR の個人データ – これにはどのような情報が含まれますか? 、GDPR。
2GDPR 第 5 条 (1) (c)、 EUR-Lex。 2016年。
参考: https ://www.microsoft.com/en-us/security/blog/2022/03/31/3-strategies-to-launch-an-effective-data-governance-plan/
Comments