クラウドベースの DLP データ検出を使用したセキュリティ、コンプライアンス、ガバナンスの強化
Google Cloud Japan Team
※この投稿は米国時間 2020 年 10 月 21 日に、Google Cloud blog に投稿されたものの抄訳です。
データ セキュリティについて語る際、重要でありながら忘れられがちな問題として、保護すべきデータをどのように検出するかという点が挙げられます。セキュリティ業務を始めて日の浅い方にとっては、この問題が矛盾しているように思えるかもしれません。保護すべき貴重なデータを本当にしっかりと保護できているのでしょうか。
現実には、機密性が高く、個人情報を含み、規制対象にもなっているさまざまなデータが「誤った形で保管されている」組織もあります。たとえば、正式なカード所有者データ環境(CDE)外に決済データ(特にクレジット カード番号)が保管されているケースは、長年にわたって驚くほど数多く見られます。このようなケースは、情報セキュリティ評価機関(QSA)による PCI DSS の評価中に明らかになったり、最悪の場合はデータ漏洩発覚後に調査するまでわからなかったりすることも多くあります。
同様に、(GDPR や CCPA などの施行により)個人情報への注目が高まっている昨今、思いもよらない場所に個人データが保存されていたというケースもあります。また、クラウドへの移行ペースの加速に伴い、個人データがパブリック クラウドにアップロードされるケースも増えています。このような事態は、必要な対策の欠如により、セキュリティー チームやプライバシー チームの気づかないうちに発生することすらあります。たとえば、元々データセンターにあった、データ分析アプリケーションのテスト インスタンスを、本番環境の顧客データが使用されていたということを考慮せずにクラウドに移行するとします。この場合、アプリケーションを社内で開発、デプロイしている間は試験的に個人データを使用してもよかったのですが、問題となるのはパブリック クラウドに移行することで事情が変わったという点です。
このようなケースや他の類似のケースから、DLP 技術の主要要素であるデータ検出の重要性が高まっています。以前も Google のブログで述べたとおり、機密データの検出は、セキュリティ、コンプライアンス、プライバシーに関する構想を実現するために非常に重要です。そのため、機密データがどこに存在するか(クラウド内か否かにかかわらず)を常に把握しておく必要があります。
驚くべきことに、機密データを検出する作業が不要であると考えているセキュリティ リーダーがいまだに見受けられます。重要データの外部漏洩(盗用)のを防ぐことに尽力しながら、その重要データを内部で検出することには必ずしも積極的でないリーダーもいます。
しかし、そのような考えはこのクラウド時代においてすでに時代遅れです。内部と外部の境界がさまざまな形に変貌しているため、ただ境界にとどまって(とどまる境界がわかっていればの話ですが)、外部に出ていくデータを探すことは(今までは現実的であったとしても)もはや現実的ではありません。このことを踏まえ、データが組織外に出ていくことが一切なくとも、組織内で機密データが不注意により広範囲に漏洩した場合、これを「内部データ漏洩」と考える組織も存在します。実際のところ、あるグローバル組織では、このような内部データ漏洩が発生すると、他国の職員にデータが見えてしまうため、規則違反とみなされる場合があります。
データ検出が必要な理由
現時点で唯一うまくいっている対策は、機密データが存在する場所をまず把握することでその機密データを保護するという手法です。このことは、長年にわたり概念上は正しいと考えられてきましたが、今日では、運用面でも正しいことがわかっています。クラウドのおかげでこの運用が実現しています。
ただし、クラウドに機密データを保管することについては、大いに議論が行われています。あるアンケートから、「クラウドに保管しているデータの大半が機密データであることを 71% の組織が認めている」ことがわかりました。ただし、実際に問題となっているのは、多くの組織が機密データをクラウドに保管しており、どのデータがクラウドのどこに保管されているかを認識していない可能性が高いということです。Gartner が最近指摘したところによると、データ検出がデータ アクセス ガバナンス(DAG)に一定の役割を果たしています。
そのため、データ検出自体がデータの安全性を高めるわけではないとしても、重要な第一歩と言えます。データ検出を行うことで、より正しい情報に基づき、より安全にデータに関する意思決定(アクセス リクエスト、データ共有、データ保管などの承認)を行えます。
検出対象
機密データの定義は、セキュリティ コミュニティにおいて今もなお議論の対象となっています。漏洩すると被害が出るデータと定義する人もいれば、他人が盗みたがるデータと定義する人もいます。さらには、単に規制対象になっているデータと定義する(そのため、「機密データ」の代わりに「規制対象データ」と呼び、ほぼ同じ意味で使う)人もいます。
「機密データ」の普遍的な定義は今もなお明確になっていないと考えられますが、機密であると幅広く認識されているデータには、以下の 3 種類があります。
決済データ、個人情報(PII)、個人の健康に関するさまざまな情報(PHI)などの規制対象データ。
企業秘密など、事業上明らかに重要で機密性が高いとされるデータ。
一般公開されると、会社やブランドに損害をもたらす、イメージを悪化させるなどの被害をもたらすデータ。
業界全体または企業ごとに、他にもさまざまなデータが機密データとして取り扱われているでしょう。なお、データを事業資産とみなすことについては、多くの研究が行われています。
検出のタイミング
ここで取り扱うのはクラウド内に保管された機密データであるため、検出作業をクラウド移行に合わせて行うと便利です。移行プロセス全体を通して機密データを検出することには大きな意味があります。
クラウド移行前 - どのデータをパブリック クラウドに移行できるか、そのデータを特定のクラウド サービスに移行するときに追加の対策が必要か否かを判断しやすい段階です。究極的には、クラウドに保管する機密データを判断するうえで、各組織が正しい情報を収集しやすい段階であるといえます。
クラウド移行中 - 移行対象のデータが適切にセキュリティ保護された場所に移行されているかを確認することに重点が置かれます。データ分類に誤りがないか(たとえば、誤って誰もがアクセスできる環境に機密データを移行したり、規定の対策を講じていない環境に規制対象データを移行したりしていないか)も確認します。リスク低減のためのデータ変換(マスキング、トークン化、匿名化)を行うことができる段階でもあります。
クラウド移行後 - データの配置の誤り、セキュリティの高い場所から低い場所への不注意によるデータ移行、その他多くの誤った移行状態に着目します。この作業が、今後恒久的に継続して行う検出作業につながっていきます。セキュリティ面とコンプライアンス面の対策として、権限の変更、セキュリティのより高い場所へのデータの移行、データの暗号化などが実施されます。
機密データをクラウドに移行してそのワークロードをクラウドで運用するには、上述の 3 つのタイミングすべてでデータ検出を行うこととなります。
検出方法
データ検出実施のタイミングに応じて、実施を考慮すべき作業がいくつかあります。
まず、クラウド移行前に、移行対象の特定のロケーションとシステムをスキャンして、特定のデータタイプを検索します。移行前にデータを点検することで、そのデータをどのように移行すればよいかを判断しやすくなります。たとえば、特定のデータを選んでクラウド外に保存しておき、その他のデータをクラウドに移行する方法もあれば、移行時に機密データを選び出してマスクおよびトークン化するという匿名化方策を導入する方法もあります。
移行中、移行対象のデータは、機密データを検索する DLP エンジンを使用してフィルタリングされます。移行中に DLP を使用できる場合の例を 2 つ、以下に示します。
1.データ変換 - 移行中に、機密データを点検して削除またはマスクすることをおすすめします。これは、特定のデータタイプに固有のリスクを低減し、保存時の暗号化やアクセス制御などのセキュリティ対策を補完するための手法とも考えられます。(移行ソリューションの例)。
2.検疫 - 複数の移行元(組織内、パートナー、顧客など)からクラウドに移行するデータがあり、必ずしも事前にこのデータを点検できるわけではないとしましょう。このデータをまず保護されたゾーンに配置してから、DLP を使用してこのデータを精査できます。その後、精査結果に応じて、データを非公開にするか、「非公開状態」から所定の承認済みロケーションにデータを移行するかを判断できます(トリアージ ソリューションの例)。
実施中の検出作業に着目すると、幅広くスキャンする(すべてのシステムにおいて一部またはすべての機密データを検出する)のと深くスキャンする(1 つのシステムにおいて特定の機密データを検出する)のとでは、どちらが理にかなっているかがわかります。これにより、データ アクセス ガバナンスの要望に応えることもできます(つまり、誰がどのデータになぜアクセスしているのかを把握できます)。「まずは幅広く、次に深く」というパターンが、実際にはデータ検出を行う上で効果的な方法です。
たとえば、多くの(またはすべての)クラウド ロケーションで多くのデータタイプを幅広くスキャンすると、「クラウドに機密データが保管されているか」、「特にどのようなデータが保管されているか」、「正確にはクラウドのどこに保管されているか」という問いに対する答えが得られます。このような幅広いスキャンは継続することが理想的です。
最後に、データ検出では問題に特化したスキャンも行われます。監査中は、多くのロケーションを対象としてスキャンが実行され、特定のデータタイプが検索されます。一方、特定のプロジェクトのセキュリティとプライバシーの問題を調査中の場合は、その環境における膨大な種類の機密データをスキャンすることもあります。
DLP がどのようにデータ変換を支援しているかに関する詳細な考察は、次の投稿で説明します。
参考記事
Cloud Next OnAir を視聴するハイブリッド DLP に関する動画
データ セキュリティ プログラムに向けて計画すべき事柄
クラウドでは内部と外部の境界がなくなるため、より積極的にデータ カバナンスに取り組む必要があります。
クラウドに移行することで、データ検出を通常業務(BAU)のプロセスの一部として扱え、セキュリティ、コンプライアンス、ガバナンスの強化を図れます。
移行前および移行後のデータ検出作業をプログラムに導入するか、実施中のデータ検出作業を検証しましょう。
-ソリューション戦略担当責任者 Anton Chuvakin
-Google Cloud プロダクト マネージャー Scott Ellis
