お客様のデータは戦略的資産です。ビジネスに利益をもたらすには、データの構造、アクセス、ライフサイクルを厳密に管理する必要があります。しかし、ほとんどのセキュリティ リーダーはデータ セキュリティについて疑問を持っています。最高情報セキュリティ責任者 (CISO) の 70% 近くが、ランサムウェア攻撃でデータが危険にさらされることを予想しています。 1問題の一部は従来のデータ管理ソリューションにあります。従来のデータ管理ソリューションは、複数の接続されていない重複プロセスが点単位の統合で強化され、過度に複雑になる傾向があります。このパッチワーク アプローチは、攻撃者が悪用するインフラストラクチャのギャップを明らかにする可能性があります。
対照的に、プロアクティブなデータ ガバナンスは、リソースを節約し、データ資産の保護を簡素化する全体的なアプローチを提供します。データ ガバナンスに対するこの統合されたアプローチは、ゼロ トラスト セキュリティの重要な要素であり、データのライフサイクル全体に及びます。また、爆発範囲を縮小し、攻撃者がネットワーク内を横方向に移動するのを防ぐことで、データ侵害によって発生するコストを削減します。 Microsoft Purviewは、オンプレミス、マルチクラウド、サービスとしてのソフトウェア (SaaS) のデータを管理できるように設計された包括的なデータ ガバナンス ソリューションを提供します。データをさらに活用できるように、5 つのガイドポストをまとめました。
1. すべてのデータ資産のデータ マップを作成する
データを保護する前に、データがどこに保存され、誰がアクセスできるかを知る必要があります。つまり、データの分類、アクセス方法、所有者など、デジタル資産全体にわたるすべてのデータ資産の包括的な説明を作成することを意味します。理想的には、自動化されたデータ検出、機密データの分類、およびすべての資産のエンド ツー エンドのデータ系列のマッピングを処理する、完全に管理されたデータ スキャンおよび分類サービスが必要です。また、使い慣れたビジネスおよび技術検索用語でデータにラベルを付けて、データを簡単に見つけられるようにすることもできます。
ストレージは、あらゆるデータ マップの重要なコンポーネントであり、技術、ビジネス、運用、およびセマンティック メタデータを含める必要があります。これには、スキーマ、データ型、列、および自動データ スキャンですばやく検出できるその他の情報が含まれます。ビジネス メタデータには、説明や用語集の用語などの自動タグ付けが含まれている必要があります。セマンティック メタデータには、データ ソースまたは分類へのマッピングを含めることができ、運用メタデータには、実行ステータスや実行時間などのデータ フロー アクティビティを含めることができます。
2. 意思決定と説明責任の枠組みを構築する
すべてのデータがどこにあるかがわかったら、各資産の役割と責任を文書化する必要があります。 7 つの基本的な質問に答えることから始めます。
- 私たちのデータはどのようにアクセスされ、使用されますか?
- データの責任者は誰ですか?
- ビジネス要件または規制要件が変更された場合、どのように対応しますか?
- 役割の変更または従業員の退職によりアクセス権を取り消すプロセスはどのようなものですか?
- データアクセスを追跡するための監視とレポートを実装していますか?
- ライフサイクル管理をどのように処理しますか?
- セキュリティとコンプライアンスを強化するために権限管理を自動化していますか?
1 番目の質問に答えて、従業員、ゲスト、パートナー、およびベンダーを対象とするデータ アクセスの詳細なライフサイクルを作成する必要があります。誰かがアクセスする必要があるデータを決定するときは、その人の役割と、問題のデータがどのように使用されるかの両方を考慮してください。ビジネス ユニットのリーダーは、各ポジションに必要なアクセスの量を決定する必要があります。
収集された情報に基づいて、IT およびセキュリティ パートナーは、従業員の役職およびパートナーまたはベンダーの要求ごとに役割ベースのアクセス制御(RBAC) を作成できます。コンプライアンス チームは、監視と報告を担当し、これらの管理が確実に実行されるようにします。 アクセス許可管理ソリューションを実装すると、アクセス許可の誤用や悪意のある悪用を防ぐことができ、組織にも役立ちます。異常なアラートを自動的に検出することで、組織は IT ワークロードを削減し、リソースを節約し、ユーザーの生産性を向上させることができます。
3. アクセスを監視し、ポリシーを使用する
次に、各データ リポジトリのポリシーを文書化する必要があります。誰がデータにアクセスできるか (読み取りアクセスと書き込みアクセスを含む)、およびデータを他のアプリケーションや外部ユーザーと共有して使用する方法を決定します。あなたの組織は、名前、識別番号、自宅または IP アドレスなどの個人を特定できる情報 (PII) をこのリポジトリに保存しますか?機密データには、最小特権またはジャストインタイム (JIT) アクセスのゼロ トラスト原則を適用することが不可欠です。
JIT パーミッション モデルは、特権がアクティブに使用されている時間だけに攻撃対象領域を減らすことによって、最小特権の原則を強化します (永続的な特権の終日、毎日の攻撃対象領域とは異なります)。これは Just-Enough-Privilege (JEP) に似ており、ユーザーはアクセスする必要があるタスクとデータを記述する要求を完了します。要求が承認されると、タスクを完了するための一時的な ID がユーザーにプロビジョニングされます。タスクが完了したら、ID を無効にするか削除できます。また、「ブローカ アンド リムーブ アクセス」アプローチもあります。このアプローチでは、永続的な特権アカウントが作成され、その資格情報が安全に保存されます。ユーザーは、特定の期間、アカウントの 1 つを使用してデータにアクセスすることを要求するときに、正当な理由を提供する必要があります。
組織は、昇格されたアクセス (許可または拒否) のすべての要求のログを維持することで、アクセスが取り消されたときを含め、組織自体を保護できます。すべての組織、特に PII を保存する組織は、プライバシー ポリシーが施行されていることを監査人や規制当局に証明できる必要があります。永続的な特権アカウントを排除することで、組織は監査の問題を回避できます。
4. 構造化データと非構造化データの両方を追跡する
従来、データ ガバナンスはビジネス ファイルと電子メールに重点を置いてきました。しかし、より厳しい規制により、組織はすべてのデータが保護されていることを確認する必要があります。これには、クラウド アプリ、オンプレミス データ、シャドー IT アプリなど、すべてで共有される構造化データと非構造化データの両方が含まれます。構造化データは、Microsoft Office や Google Docs など、簡単に検索できるパターンを持つ明確に定義されたデータ型で構成されています。非構造化データには、オーディオ ファイル、ビデオ、さらにはソーシャル メディアの投稿など、あらゆるものを含めることができます。
では、このような膨大なデータ ランドスケープ全体に独自のデータ保護を実装することは、個々の資産所有者に任せるべきでしょうか? Microsoft の一部の顧客が採用している代替案には、データ ガバナンスへのマトリックス型アプローチの開発が含まれます。このアプローチでは、セキュリティとコンプライアンスの専門家が、データ所有者がデータを保護するための要件を満たすのを支援します。このシナリオでは、「共通データ マトリックス」を使用して、組織全体でデータ ドメインがどのようにやり取りされているかを追跡します。これは、ビジネスのどの領域がデータ資産の読み取り、アクセス、または削除に対して単純にデータを作成できるかを文書化するのに役立ちます。データ マトリックスは、使用中のシャドー IT システムを含め、データのソースを特定する必要があります。政府の規制に従って、機密データまたは機密データを含むドメインおよびサブドメインを必ず取得してください。また、各ビジネス ユニットの役割と責任を文書化することで、誰が特定のデータを特定のジョブに使用しているか、システムにデータを追加しているのは誰で、誰が責任を負っているのかを誰もが理解できます。
5.不要になったデータを削除する
組織が保存にお金を払っているにもかかわらず、意思決定に十分に活用されていない「ダーク データ」は、現在、年間 62% の割合で増加しています。 2ほとんどの IT チームがすでに過負荷になっていることを考えると、膨大なデータ レイクを監視するように頼むことは、セキュリティのレシピではありません。では、一部のデータが組織にとって役に立たなくなった場合、どうすればわかりますか?
データを保護する最も簡単な方法は、データを削除することである場合があります。 「侵害を想定する」というゼロトラストの原則に沿って、データが少ないほどリスクが少なくなります。知的財産 (IP) の盗難は金銭的に危険な場合がありますが、顧客の PII の盗難はブランドにとって長期的に悲惨な結果になる可能性があります。プライバシー法により、企業は PII を本来の目的を果たしている間だけ保持する必要があります。 3ただし、どのファイルが削除対象であるかを手動で追跡することは、ほぼ不可能です。より良いアプローチは、PII を自動期限切れにする継続的な制御を実装するか、機密データを確認してまだ必要かどうかを判断するための自動リマインダーを設定することです。
データのライフサイクルを理解すると、不要になったときに簡単に削除できます。インテリジェントな機械学習機能を備えた統合データ ガバナンス ソリューションは、作成時にコンテンツを分類し、適切なサンセット ポリシーを自動的に適用して、作業を行います。 4または、 多段階の保持ポリシーを使用して、保持期間の終了時に新しいラベルを自動的に適用します。
もっと詳しく知る
プロアクティブで全体的なデータ ガバナンスは、データ保護の不可欠な部分であり、ライフサイクル全体にまたがり、データを検出可能、正確、かつ安全にすることでビジネスの成果を促進します。 Microsoft Purviewは、機密データにライフサイクル制御を設定し、データ損失から保護し、RBAC を管理することにより、データ ガバナンスを統合および自動化します。組織で Purview を体験するには、無料トライアルから始めてください。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
1CISO のほぼ 70% がランサムウェア攻撃を予想しています, Danny Bradbury. 2021 年 10 月 19 日。
2021 年 9 月2日、マイクロソフトが Vital Findings から委託した、米国のコンプライアンス意思決定者 512 人を対象とした調査。
3GDPR の個人データ — これにはどのような情報が含まれますか? 、GDPR。 2022年。
4 Microsoft は、AI システムが責任を持って、人々の信頼を保証する方法で開発されるように取り組んでいます。このコミットメントの一環として、Microsoft Purview エンジニアリング チームは、AI ソリューションを設計、構築、管理するためのMicrosoft の Responsible AI 戦略の6 つのコア原則を運用しています。 AI を責任を持って展開する取り組みの一環として、組織が AI システムを責任を持って使用できるように、ドキュメント、ゲーティング、シナリオの証明などを提供しています。
Comments