一般データ保護規則 (GDPR)、カリフォルニア州消費者プライバシー法 (CCPA)、またはその他の規制の違反によるデータの損失、株価への影響、および義務付けられた罰金を集計すると、機密データの侵害は組織にとって非常に大きな損失となります。また、侵害の結果として個人情報の盗難、クレジット カード詐欺、またはその他の悪意のある活動の被害者となった人々の信頼を損なう可能性もあります。 2021 年には、データ侵害の数は 68% 増加して 1,862 件 (17 年間で最高) になり、1 件あたりの平均コストは 424 万米ドルでした。 1約 4,500 万人が医療データ侵害だけで影響を受けました。これは、わずか 3 年前に影響を受けた数の 3 倍です。 2
機密データは、組織が顧客、見込み客、パートナー、および従業員から収集した機密情報です。一般的な種類の機密データには、クレジット カード番号、自宅の住所や生年月日などの個人を特定できる情報 (PII)、社会保障番号 (SSN)、製品の回路図などの企業の知的財産 (IP)、保護された医療情報 (PHI) などがあります。個人を特定できる医療記録情報。
IT 運用チーム、赤チームと青チームから取締役会に至るまで、組織のあらゆるレベルがデータ侵害の影響を受ける可能性があります。組織はどのようにして機密データを大規模に特定し、そのデータが偶発的に公開されるのを防ぐのでしょうか?機密データの 4 つの最大の課題とそれを保護するための戦略を見てみましょう。
1.機密データがどこにあるかを発見する
データ ディスカバリー プロセスは、時には不愉快な方法で組織を驚かせることがあります。機密データは、組織内の予期しない場所に存在する可能性があります。たとえば、従業員が知らないうちに、保護されていない Microsoft 365 サイトまたはサード パーティのクラウドに顧客の SSN を保存している可能性があります。 2021 年にハッキングされた推定 2 億 9,400 万人のうち、約 1 億 6,400 万人が、機密データがオンラインで脆弱なまま放置された場合のデータ漏洩イベントのために危険にさらされました。 3
機密データが適切に保存されていることを確認する唯一の方法は、徹底的なデータ検出プロセスを使用することです。データをスキャンすると、これらの意外な保管場所が検出されます。ただし、手動で処理することはほぼ不可能です。
2. データを分類して何が最も重要かを知る
これは、 データの分類につながります。データが見つかったら、ガバナンスの開始点として値を割り当てる必要があります。データ分類プロセスでは、データの機密性とビジネスへの影響を判断して、リスクを十分に評価できるようにします。これにより、機密データを盗難や紛失から保護する方法での管理が容易になります。
Microsoft は次の分類を使用します。
- 非ビジネス: Microsoft に属さない私生活のデータ。
- Public : ビジネス データは自由に利用でき、一般消費が承認されています。
- 一般: 一般ユーザー向けではないビジネス データ。
- Confidential : 過度に共有された場合に Microsoft に損害を与える可能性があるビジネス データ。
- 機密性の高い: 過度に共有された場合に Microsoft に多大な損害を与える可能性のあるビジネス データ。
大規模なデータを特定することは大きな課題であり、従業員がドキュメントを機密として手動でマークするプロセスを強制することも同様です。企業全体で機密データの自動ラベル付けを可能にするセキュリティ製品を活用することは、これらのデータの課題を克服するのに役立ついくつかの方法の 1 つです。
3. 重要なデータの保護
データを機密または極秘として分類した後、悪意のあるアクターにさらされないように保護する必要があります。最終的に、偶発的なデータ漏洩を防止する責任は、最高情報セキュリティ責任者 (CISO) と最高データ責任者にあります。彼らは、職場の生産性を妨げずに、保護を可能にするプロセスとワークフローを介して情報を保護し、データを共有する責任があります。
データ漏洩保護は、業界で急速に高まっているニーズです。 Allianz Risk Barometer は、今後 12 か月間の企業の最大のリスクを特定する年次報告書です。 2022 年のレポートのために、アリアンツは 89 の国と地域の 2,650 人のリスク管理専門家から洞察を集めました。サイバーインシデントがバロメーターを上回ったのは、調査の歴史の中で 2 度目です。サイバー インシデントは 44% で、事業中断の 42%、自然災害の 25%、パンデミックの発生の 22% よりも上位にランクされています。 4
4. データを管理して不要なデータ リスクを軽減する
データ ガバナンスは、データが検出可能で、正確で、信頼でき、保護できることを保証します。データのライフサイクルを適切に管理するには、データを適切な期間保持する必要があります。必要以上に長くデータを保存することは望ましくありません。これにより、侵害で公開される可能性のあるデータの量が増えるためです。また、データをすぐに削除して、組織を規制違反のリスクにさらしたくはありません。より良いサービスやその他のビジネス価値を提供するために、組織が個人データを収集することがあります。たとえば、サービスについて詳しく知りたい顧客から個人データを収集する場合があります。データ最小化の原則に従うには、データがその目的を果たさなくなったら削除する必要があります。
機密データへのアプローチ方法
これらの課題に対処しないことによる影響は、深刻なものになる可能性があります。組織は、法律や要件に違反することにより、大きな財政的または法的結果に直面する可能性があります。たとえば、いくつかの有名なブランドは、2021 年に数億ユーロの罰金を科されました。これらの罰金の 1 つは、GDPR の個人データ処理要件への違反に関連していました。もう 1 つの理由は、データ処理の慣行に関するプライバシー ポリシーで、消費者への詳細が不十分だったためです。データ保護当局は、2021 年 1 月 28 日以降、GDPR 違反に対して合計 12 億 5000 万ドルの罰金を科しています。 5
コストがかかる可能性があることを考慮して、機密データをどのように保護しますか?前述のように、データ検出では、機密データが保存されているすべての場所を特定する必要があります。これは、組み込みまたはカスタムの正規表現または関数を使用してデータを識別できる機密データ型のサポートにより、はるかに簡単になります。機密データはどこにでもあるため、自動化を活用できるマルチクラウド、マルチプラットフォーム ソリューションを探すことをお勧めします。
データの分類については、ユーザーに頼るのではなく、テクノロジーを通じて計画を実施することをお勧めします。結局のところ、人々は忙しく、物事を見落としたり、間違いを犯したりします。また、組織は何千もの機密文書を保持している可能性があり、プロセスが遅すぎて不正確であるため、手作業によるデータの識別と分類は支持できません。自動ラベル付け、自動分類、および組織全体での分類の実施を可能にするデータ分類テクノロジ ソリューションを探してください。トレーニング可能な分類器は、データ例を使用して機密データを識別します。
一部のソリューション プロバイダーは、生産性とコンプライアンスを切り離し、単にデータ保護を強化しようとしています。代わりに、データ保護を既存のプロセスに統合して機密データを保護するアプローチをお勧めします。保護計画を検討する際は、次のことを検討してください。データにアクセスできるのは誰ですか?データをどこに置き、どこに置かないか?データはどのように使用できますか?
マイクロソフトのソリューションは、データを監視および監視できる監査機能を提供しますが、ブロックする必要はありません。ビジネスの邪魔にならないようにオーバーライドすることもできます。また、永続的なアクセス (ID ガバナンス) とファイルの保護を検討してください。データ漏えい防止ツールは、機密文書を保護できます。これは、法律や規制によって企業が説明責任を負うため、重要です。
データ保護戦略を調べる
セキュリティ侵害は非常にコストがかかります。データ検出、データ分類、およびデータ保護戦略は、会社の機密データを見つけてより適切に保護するのに役立ちます。機密データを保護する方法の詳細をご覧ください。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
1Data Breach Report 2021 のコスト、Ponemon Institute、IBM。 2021年。
2健康保険に対するサイバー攻撃、ビジネス関係者の増加、Jill McKeon、HealthITSecurity xtelligent Healthcare Media. 2022 年 1 月 31 日。
3何十年にもわたるハッキング攻撃にもかかわらず、企業は膨大な量の機密データを保護せずに放置しています , Cezary Podkul, ProPublica. 2022 年 1 月 25 日。
4Allianz Risk Barometer 2022: サイバー ペリルは、Covid-19 と壊れたサプライ チェーンを上回り、世界のビジネス リスクのトップにランクされました。Allianz Risk Barometer. 2022 年 1 月 18 日。
6EU プライバシー法の違反に対する罰金は 7 倍の 12 億ドルに急増し、ビッグ テックが矢面に立たされている , Ryan Browne, CNBC. 2022 年 1 月 17 日。
Comments