データは急速に増え続け、オンプレミスでもクラウドでも保管され、毎日複数のアプリケーションを経由しています。このようなデータの急速な増加に伴い、複雑性が増し、攻撃対象が拡大するため、データ・ストレージのセキュリティを確保することが課題となっています。
データ・ストレージのセキュリティに関して、その問題点、潜在的な危険性とリスク、そして組織のために適切に管理するために企業ができることについて説明しよう。
データStorage Security とは?
データ・ストレージのセキュリティ一般に入る前に、まずデータ・ストレージを定義しよう。
データ保管とは、ビジネスクリティカルなデータやPII(個人を特定できる情報)などのデジタル情報を、その後の検索のために媒体に保持することを指す。データを保管する媒体には、オンプレミス・サーバーやクラウド・データ・プラットフォームのほか、いくつかのハイブリッド・シナリオ(プライベート・クラウドとパブリック・クラウド、オンプレミス・データセンターとクラウド・ソリューションの組み合わせなど)がある。
データ・ストレージのセキュリティといえば、第三者による不正アクセスや悪意のある攻撃、保存データの搾取を防ぐために組織が講じるセキュリティ対策を指す。
データ・ストレージのセキュリティは、データのプライバシーを確保するために、さまざまな方法や技術を用いてデータを保護するように設定されている。
なぜ重要なのか:
企業の財務記録であれ、ユーザーの個人的な写真であれ、データは非常に貴重なものです。データ・ストレージ・セキュリティは、デジタル情報を特定のハードウェアやソフトウェアに保存するだけでなく、データへのアクセスや検索が可能であることも保証します。さらに、データ漏洩の多くはデータ・ストレージ・セキュリティの不備が原因であるため、データ・ストレージ・セキュリティは企業にとって極めて重要である。データ・ストレージ・セキュリティのリスクについては、この記事の後半で説明する。
規制遵守に関する考慮事項
企業は、データストレージセキュリティの最適な管理方法を決定する際に、適用されるコンプライアンス要件を検討する必要があります。データコンプライアンスとは、企業がデータストレージの規則、規制、業界標準に従って、リスクを軽減しながらデータセキュリティ、プライバシー、完全性を維持する方法を指します。コンプライアンスによって、企業はプライバシー要件を遵守し、適切なデータ保存および廃棄ポリシーを維持することができます。
以下の規制は、データ・セキュリティとプライバシーを重視した、そのような規制遵守の考慮事項の例である:
| 規制 | OPSWATについて | コンプライアンス違反のリスク |
| PCI DSS(ペイメントカード業界データセキュリティ基準) | クレジットカード情報を受け入れ、処理し、保管し、または送信するすべての企業が安全な環境を維持することを保証するために策定されたセキュリティ基準。 | PCI DSS に準拠しない場合、多額の金銭的罰則、法的問題、データ侵害、顧客の信頼喪失につながる可能性があります。また、業務上の混乱、ビジネスの損失、不正行為に対する責任につながる可能性もあります。 これに従わない場合、毎月最高10万ドルの罰金が課され、カードの利用が停止される。 |
| GDPR(一般データ保護規則) | EU(欧州連合)のデータプライバシーとセキュリティに関する法律。個人情報へのアクセス、訂正、削除の権利を含め、EU市民の個人情報の収集、利用、保護に関する枠組みを規定し、違反した場合には大きな罰則を課している。 | コンプライアンス違反は、多額の罰金、法的措置、評判の低下、業務の中断、ビジネス機会の損失、経営幹部の個人的責任につながる可能性がある。 また、コンプライアンス違反には、企業の年間売上高の4%または2,000万ユーロのいずれか高い方の罰金が科される。 |
| HIPAA(医療保険の相互運用性と説明責任に関する法律) | この米国連邦法は、機密性の高い医療関連情報を保護する。特定の取引のために医療情報を電子的に送信する事業者は、HIPAAのプライバシー基準を遵守しなければならない。組織は、暗号化、アクセス制御、定期的なリスク評価、従業員研修、PHI(保護された医療情報)の機密性、完全性、可用性を保護する方針と手順の採用など、強固なセキュリティ対策を実施しなければならない。 | コンプライアンス違反に対する罰則は、過失の度合いに応じて、1違反(または1記録)あたり100ドルから5万ドルの範囲となり、同一条項の違反に対しては、最高で年間150万ドルの罰則が科される。また、違反した場合は刑事責任を問われ、懲役刑が科されることもある。 |
さらに、ストレージ業界固有の規格や非営利の業界監視団体が、多種多様なストレージシステムに対して詳細なガイダンスを提供しています。 OPSWAT がコンプライアンス・リスクの最小化にどのように貢献するか、詳細をご覧ください。
データの課題Storage Security
データ・ストレージ・セキュリティの背後には、データ保護の複雑さと重要性を反映し、特にコンプライアンス規制を取り入れる上で、いくつかの重要な課題がある。
- スケーラビリティと急速なデータ増加:データが急速に増加するにつれて、その管理と保護はより困難になり、パフォーマンスを犠牲にすることなく増加するデータ量を保護するための高度な戦略とツールが必要になります。
- データ漏洩とサイバー攻撃:攻撃者は、マルウェア、ランサムウェア、フィッシング詐欺など、データ保管システムを侵害する新しい手法を常に開発している。機密情報にアクセスできる従業員や請負業者などの インサイダーの脅威は、データの誤用や偶発的な漏洩により重大なリスクをもたらす可能性がある。
- コンプライアンス様々なコンプライアンス規制を常に最新の状態に保つことは、組織が機密性の高い顧客データのプライバシーとセキュリティを維持するために必須である。PCI DSS、HIPAA、NERC CIPなどの規制は、業界特有の規制であり、機密データを不正アクセスから保護するための要件を備えています。一方、GDPRやCCPAなどのプライバシー法は、個人データへの不正アクセス、保存、悪用を防止することを組織に義務付けています。
- アクセス・コントロールとアイデンティティ管理アクセス・コントロールとアイデンティティは、データ・セキュリティにとって重要な要素であると同時に課題でもある。なぜなら、アクセス・コントロールとアイデンティティは、許可された個人だけがデータにアクセスし操作できるようにし、内部および外部の脅威から保護し、法的要件に準拠し、組織のセキュリティ体制を向上させるからである。
- データの完全性と可用性:データの完全性を維持し、伝送中や保存中にデータが失われたり破損したりしないようにすることは、データ・ストレージ・セキュリティの継続的な課題です。そのため、効果的なディザスタリカバリ戦略も、イベント中およびイベント後のデータの可用性を保証し、必要な場合は重要なデータを迅速に復元するために必要です。
最後に、オンプレミスやクラウド環境の実際の構成状況を把握することは、決して軽視できない課題である。構成ミスは重大なデータ漏洩につながる可能性があり、構成管理を熱心に行うことの重要性が強調される。
データのトップリスクStorage Security
ストレージ・セキュリティ・リスクは、ストレージ・システムやインフラストラクチャが扱う情報に対する脅威、(異なるストレージ媒体に内在するような)脆弱性、脅威の悪用が成功した場合の影響によって引き起こされる。
データ・ストレージのセキュリティとインフラが抱えるリスクには、以下のようなものがある:
- マルウェア攻撃
- データ漏洩および/または侵害
- 誤設定と不正アクセス
- インサイダーの脅威
- 規制不遵守による責任
- データの破損、変更、破壊
上記のリスクは、規制の不遵守による上記の罰則など、様々な結果をもたらす可能性がある。ストレージ・システムおよびインフラストラクチャーに関する最も深刻な問題は、データ侵害、データの破損または破壊、アクセス/可用性の一時的または恒久的な喪失、および立法、規制、または法的要件を満たさないことである。
事実:ほとんどのサイバーセキュリティ侵害の主な原因は人為的ミスである。その半数以上がソーシャル・エンジニアリングの手口を使ったBEC(Business Email Compromise)攻撃であり、テクノロジーと人間の相互作用のリスクを浮き彫りにし、IT および OT サイバーセキュリティにおいて人間が最も弱いリンクであることを強調している。
データの脆弱性Storage Security
リスクはすべてのテクノロジーに内在しており、悪質な行為者は常に脆弱性を悪用する新しい方法を発見している。ストレージデバイスは、クラウドベースであれ、ネットワークであれ、オンプレミスであれ、多くの点で脆弱である。
データ・ストレージのセキュリティは、データの安全性、アクセス性、可用性を維持しながら、ストレージ・システムに内在する以下のような弱点を認識し、関連するリスクを軽減する必要がある:
推奨事項とベストプラクティス
ストレージはデータの保管場所です。AWS S3、OneDrive、Microsoft Azure、Dell EMC Isilon、その他のオンプレミスおよびクラウドプラットフォームのストレージソリューションを採用する組織がますます増えているため、データや基礎となるストレージシステムへの不要なアクセスを避けるために、強力なストレージセキュリティポリシーを適用することが不可欠です。
組織は、高度なマルウェア攻撃、データ漏洩や侵害、機密データの損失など、ストレージ・セキュリティに関連するリスクに対処する必要がある。
さらに読む: Secure 企業データストレージのための10のベストプラクティス
データ漏洩の主な原因はヒューマンエラーであるため、セキュリティ第一の企業文化を採用することをお勧めします。従業員のサイバーセキュリティへの取り組みと、貴社のセキュリティ意識を高めるためのトレーニングについては、こちらをご覧ください。
データ・コンプライアンス方針は、データ保護、プライバシー、およびコンプライアンスに対する組織のアプローチを明確に定義する必要があります。また、データの収集、処理、保存、共有、保持、破棄の手順についても明記する必要があります。
暗号化、アクセス制限、ファイアウォール、その他のセキュリティ技術といった強力なデータセキュリティ対策を導入し、機密データを不正アクセス、開示、改ざん、破壊から保護します。さらに、定期的に監査を実施し、企業がデータコンプライアンスポリシーを遵守し、データセキュリティを確保していることを確認します。
OPSWAT MetaDefender Storage Securityは、複数のストレージ・プロバイダにまたがる企業データを保護するための統合された包括的なアプローチを提供し、クラウドおよびオンプレミスのストレージやコラボレーション・ソリューションにおけるデータ漏洩、ダウンタイム、コンプライアンス違反を防止します。
API MetaDefender Storage Security 直感的なGUIとRESTful を介してSIEMシステムとシームレスに統合しAPI、既存のワークフローに迅速に組み込むことができます。
OPSWAT 、データ・ストレージのセキュリティを保護する方法をご覧ください。
