ホーム Topics データ保護 データ保護とは
Explore Guardium Data Protectionの詳細はこちら セキュリティー・トピックの最新情報を購読する
雲、携帯電話、指紋、チェックマークのピクトグラムのコラージュ付きイラスト

公開日: 2024年4月5日
寄稿者: Annie Badman、Matthew Kosinski
データ保護とは

データ保護は、機密情報をデータの損失や破損から保護することです。その目的は、データを保護し、可用性を確保し、規制要件に準拠することです。

効果的なデータ保護戦略は、単にデータを保護するだけではありません。紛失または破損の際には、データを複製して復元します。なぜなら、データ保護の主な原則は、データを保護し、かつデータの可用性をサポートすることだからです。可用性とは、データ侵害やマルウェア攻撃などでデータが損傷、紛失、破損した場合でも、ユーザーが業務運営のためにデータにアクセスできるようにすることです。

データの可用性に着目することで、データ保護がデータ管理と密接に関連している理由を説明できます。データ管理とは、データが正確かつ安全で、戦略的なビジネス上の意思決定に活用できることを保証するために、ライフサイクル全体を通じてデータを管理することに焦点を当てた、より大規模な取り組みです。

今日、データ保護戦略には、データのバックアップやリストア機能といった従来のデータ保護対策と、事業継続と災害復旧(BCDR)計画の両方が含まれます。このため、多くの組織では、より広範なデータ保護戦略の一環としてDisaster-Recovery-as-a-Service(DRaaS)などのサービスを導入しています。
IBM Security Guardium Data ProtectionのTotal Economy Impact™(TEI)。
データ保護とデータ・セキュリティー

多くの人がデータ保護とデータ・セキュリティーという用語を同じ意味で使用していますが、これらは2つの異なる分野で、決定的な違いがあります。

データ・セキュリティーは、デジタル情報を不正アクセス、破損、盗難から保護することに焦点を当てたデータ保護の一部分です。これは物理的なセキュリティー、組織のポリシー、アクセス制御など、情報セキュリティーのさまざまな側面を包含しています。

対照的に、データ保護はデータ・セキュリティーのすべてを包含し、さらにデータの可用性を重視します。

データ保護とデータ・セキュリティーには、データ・プライバシーが含まれます。データ・プライバシーは、個人は自分の個人データを管理すべきであるという一般原則をサポートするポリシーに焦点を当てており、組織がデータをどのように収集し、保存し、使用するかを決定できることも含まれます。

言い換えれば、データ・セキュリティーとデータ・プライバシーはどちらも、データ保護という広範な分野における一部分です。
データ保護が重要な理由

データ保護の重要性を理解するために、社会におけるデータの役割を考えてみましょう。誰かがオンラインでプロフィールを作成したり、アプリで購入したり、Webページを閲覧したりすると、個人データの証跡が増え続けます。

企業にとって、このデータは非常に重要です。これは、業務の合理化、顧客へのより良いサービスの提供、重要なビジネス上の意思決定に役立ちます。実際、多くの組織はデータに依存しているため、短時間のダウンタイムやわずかなデータ損失でさえ、業務や利益に深刻な打撃を与えかねません。

IBMのデータ侵害コスト・レポートによると、2023年のデータ侵害の世界の平均コストは445万米ドルで、3年間で15%増加しました。

その結果、多くの組織が、より広範なサイバーセキュリティーへの取り組みの一環として、データ保護に重点を置いています。強固なデータ保護戦略により、組織は脆弱性を強化し、サイバー攻撃やデータ侵害からより良く身を守ることができます。サイバー攻撃が発生した場合、データ保護対策ではデータの可用性を確保することでダウンタイムを短縮し、命を救うことができます。

また、データ保護対策は、組織が絶えず進化する規制要件に準拠するのにも役立ちます。その多くは多額の罰金を科せられる可能性があるものです。例えば、2023年5月、アイルランドのデータ保護当局は、カリフォルニアに本社を置くMeta社のGDPR違反 (ibm.com外部へのリンク)に対して、13億米ドルの罰金を科しました。データ保護は、データ・プライバシーに重点を置くことで、組織がこうした違反を回避するのに役立ちます。

データ保護戦略は、個人データの処理を合理化したり、重要な洞察を得るために重要なデータをより適切にマイニングしたりするなど、効果的な情報ライフサイクル管理(ILM)の多くの利点ももたらすことができます。

データが多くの組織の生命線となっている世界では、企業は重要なデータをどのように処理し、扱い、保護し、最大限に活用するかを知る必要性が高まっています。

 
データ保護規制と基準

データ保護の重要性を認識し、官公庁・自治体やその他の当局は、企業が顧客と取引するために遵守すべきプライバシー規制やデータ標準の制定をますます増やしています。

最も一般的なデータ・コンプライアンスの規制と規格には、次のようなものがあります。

 一般データ保護規則(GDPR)

一般データ保護規則(GDPR)は、「データ対象者」と呼ばれる個人の個人情報を保護するために欧州連合(EU)によって制定された包括的なデータ・プライバシー・フレームワークです。

GDPRは主に個人識別用情報(PII)に焦点を当て、データ・プロバイダーに厳しいコンプライアンス要件を課しています。これは、ヨーロッパ内外の組織がデータ収集の実践について透明性を保つことを義務付けています。組織は、データの取り扱いを監督するデータ保護責任者を任命するなど、特定のデータ保護措置を採用する必要もあります。

また、GDPRにより、EU市民は自分のPIIの管理を強化し、名前やID番号、医療情報、生体認証データなどの個人データの保護を改善できるようになります。GDPRから免除されるデータ処理活動は、国家安全保障や法執行活動、ならびにデータの純粋に個人的な使用のみです。

GDPRの最も顕著な側面の1つは、コンプライアンス違反に対する妥協のない姿勢です。プライバシー規制を遵守しない者には多額の罰金を課しています。これらの罰金は、組織の年間世界売上高の4%または2,000万ユーロのいずれか大きい方に達する可能性があります。

 医療保険の相互運用性と説明責任に関する法律(HIPAA法)

医療保険の相互運用性と説明責任に関する法律(HIPAA法)は、1996年に米国で可決されました。同法は、医療機関や企業が患者の個人健康情報(PHI)をどのように扱い、その機密性とセキュリティーを保証するかについてのガイドラインを定めています。

HIPAAでは、すべての「対象事業体」が特定のデータ・セキュリティーとコンプライアンス基準を遵守する必要があります。これらのエンティティーには、医療従事者や保険プランだけでなく、PHIにアクセスできるビジネス関係者も含まれます。データ送信サービスや医療転写サービス・プロバイダー、ソフトウェア会社、保険会社などがPHIを扱う場合は、HIPAA法に準拠する必要があります。

 カリフォルニア州消費者プライバシー法(CCPA)

カリフォルニア州消費者プライバシー法(CCPA法)は、米国における画期的なデータ・プライバシー法です。

GDPRはGDPRと同様に、データの取り扱いについて透明性を確保する責任を企業に課し、個人が個人情報をより自由に管理できるようにします。CCPA法に基づき、カリフォルニア州の居住者は、企業が収集したデータの詳細を要求し、データ販売をオプトアウトし、データの削除を要求することができます。

しかし、GDPRとは異なり、CCPA(および他の多くの米国データ保護法)はオプトインではなくオプトアウトを定めるものです。企業は、特に断りがない限り、消費者情報を利用できます。また、CCPA法は、特定の年間収益のしきい値を超える企業や大量の個人データを扱う企業にのみ適用されるため、すべてではありませんが、多くのカリフォルニア州の企業に関係します。

 ペイメントカード業界のデータ・セキュリティー規格(PCI-DSS)

ペイメントカード業界のデータ・セキュリティー規格(PCI-DSS)は、クレジットカードのデータを保護するための一連の規制ガイドラインです。PCI-DSSは政府の規制ではなく、ペイメントカード業界セキュリティ基準審議会(PCI SSC)として知られる独立規制機関が実施する一連の契約上の約束です。

PCI-DSSは、カード会員データの収集・保存・送信などを扱うあらゆる企業に適用されます。クレジットカード取引にサードパーティーのサービスが関与している場合でも、企業は引き続きPCI-DSS準拠の責任を負い、カード所有者のデータを安全に管理・保管するために必要な措置を講じる必要があります。
データ保護のトレンド

データ保護の状況が進化するに伴い、いくつかのトレンドが組織の機微情報保護のための戦略を形成しています。

これらのトレンドには、次のようなものがあります。

データ・ーポータビリティ

データ・ポータビリティーは、プラットフォームやサービス間でのデータのシームレスな移動を重視します。このトレンドは、アプリとシステム間のデータ転送の簡易化により、個人が自分のデータをより自由に制御できるようにします。データ・ポータビリティーは、顧客の透明性と権限付与の向上という一般的なトレンドとも合致しており、ユーザーが個人データをより効率的に管理できるようになります。
モバイル・データ保護

スマートフォンの普及に伴い、組織はモバイル・デバイスのデータ・セキュリティーにますます関心を寄せています。そのため、多くの企業が、暗号化や安全な認証方法など、スマートフォンやタブレット向けの堅牢なデータ・セキュリティー対策を実装するモバイル・データ保護に重点を置いています。

ランサムウェア攻撃

ランサムウェア攻撃の増加を受けて、多くの組織が高度なデータ保護戦略を採用するようになりました。

ランサムウェアは、被害者のデータやデバイスをロックし、被害者が攻撃者に身代金を支払わない限り、ロックされたままになる、あるいはさらに悪いことに、ロックを続けると脅すマルウェアの一種です。IBM Security X-Force Threat Intelligence Index 2023によると、2022年には、ランサムウェア攻撃がサイバー攻撃全体の17%を占めていました。また、ランサムウェア攻撃による被害総額は、2023年には全体で推定300億ドルに上ると予想されています(ibm.com外部へのリンク)。

これらの攻撃は進化し続けているため、組織がランサムウェアの影響を軽減し、機微情報を保護するために、定期的なバックアップやリアルタイムの脅威検知、従業員トレーニングなどの積極的なセキュリティー対策を講じる必要があります。

 
サービスとしての災害復旧(DRaaS)

サイバー攻撃がますます高度化するにつれ、組織は災害時に継続性を維持することの重要性を認識し始めています。その結果、多くの企業がサービスとしての災害復旧(DRaaS)に投資しています。

DRaaSは、データ保護と災害復旧(DR)機能を提供するサードパーティー・ソリューションです。高水準の自動化を使用してダウンタイムを制限し、災害復旧サービスをアウトソーシングし、組織が大災害時に重要なデータとITインフラを復旧するためのスケーラブルでコスト効率の高いソリューションを提供します。

DRaaSソリューションを決定する際、組織にはデータセンターとクラウドベースのソリューション、ならびに物理データセンターとクラウド・ストレージを組み合わせたハイブリッド・バックアップの3つの選択肢があります。

 
コピー・データ管理(CDM)

コピー・データ管理(CDM)は、組織が重複データをより適切に管理・制御できるようにすることで、ストレージ・コストを削減し、データへのアクセス性を強化します。CDMは、冗長性とストレージの非効率性を最小限に抑えながらデータの価値を最大化するのに役立つため、情報ライフサイクル管理(ILM)の一環として重要です。
データ保護ソリューションとテクノロジー

多くの場合、組織はサイバー脅威から保護し、データの完全性・機密性・可用性を確保するために、いくつかのデータ保護ソリューションとテクノロジーを使用しています。

こうしたソリューションには、次のようなものがあります。

  • データ損失防止(DLP)とは、サイバーセキュリティー・チームが機微データを盗難・紛失・悪用から保護するために使用する戦略やプロセス、テクノロジーを指します。DLPはユーザーのアクティビティーを追跡し、不審な行動にフラグを立てて、機微情報への不正アクセスや送信・漏洩を防ぎます。
  • データのバックアップとは、重要な情報のセカンダリー・バージョンを定期的に作成し、保存することです。バックアップは、データの損失や破損が発生した場合に組織がシステムを迅速に以前の状態に復元できるようにすることで、データの可用性をサポートし、ダウンタイムや潜在的な損失を最小限に抑えます。
  • ファイアウォールは、送受信されるネットワーク・トラフィックを監視・制御することで、データに対する防御の第一線として機能します。これらのセキュリティー障壁は、事前に設定されたセキュリティー・ルールを強制し、不正アクセスを防ぎます。
  • 多要素認証などの認証と承認テクノロジーは、ユーザーのIDを確認し、特定のリソースへのアクセスを規制します。これらを組み合わせることで、許可された個人のみが機微情報にアクセスできるようになり、全体的なデータ・セキュリティーが強化されます。
  • IDおよびアクセス管理(IAM)ソリューションは、ユーザーIDと権限の管理を一元化します。役割と責任に基づいてユーザー・アクセスを管理することで、組織は不正なデータ・アクセスのリスクを軽減し、重要なデータを危険にさらし得る内部脅威を減らせます。
  • 暗号化により、データはコード化された形式に変換され、適切な復号化キーがなければ読み取れなくなります。このテクノロジーはデータ転送とデータ・ストレージを保護し、不正アクセスに対する防御をさらに強化します。
  • エンドポイント・セキュリティーは、コンピューターやモバイル・デバイスなどの個々のデバイスを悪意のあるアクティビティーから保護することに重点を置いています。これには、ウイルス対策ソフトウェアやファイアウォール、その他のセキュリティー対策など、さまざまなソリューションが含まれます。
  • ウイルス対策およびマルウェア対策ソリューションは、ウイルスやスパイウェア、ランサムウェアなど、データを侵害するおそれのある悪意のあるソフトウェアを検知・防止・削除します。
  • パッチ管理により、ソフトウェアやオペレーティング・システム、アプリケーションに最新のセキュリティー・パッチが適用されていることが保証されます。定期的な更新によって、脆弱性の解消や潜在的なサイバー攻撃からの保護が可能になります。
  • データ消去ソリューションは、ストレージ・デバイスからの安全かつ完全なデータ消去を保証します。消去は、機微情報への不正アクセスを防ぐためにハードウェアを廃止する場合に特に重要です。
  • アーカイブ・テクノロジーは、履歴データの体系的なストレージと検索を容易にします。アーカイブはコンプライアンスの点で有用であり、組織がデータを効率的に管理し、データ損失のリスクを軽減するのに役立ちます。
  • 認証および監査ツールは、組織が業界規制や社内ポリシーへの準拠を評価・証明するのに役立ちます。定期的な監査により、データ保護対策が効果的に実施され、維持されていることも確認されます。
  • DRaaSなどの災害復旧ソリューションは、破壊的な事象の後にITインフラとデータを復元します。災害復旧には多くの場合、ダウンタイムを最小限に抑えるための包括的な計画やデータのバックアップ戦略とメカニズムが含まれます。
関連ソリューション
データ・セキュリティー・ソリューション

ハイブリッドクラウド全体でデータを保護し、コンプライアンス要件を簡素化します

 データ・セキュリティーソリューションの詳細はこちら
IBM Security Guardium

オンプレミスおよびクラウド上の機密データを保護します。IBM Security Guardiumは、脅威環境の変化に適応できるデータ・セキュリティー・ソリューションで、データ・セキュリティーのライフサイクル全体にわたる完全な可視性、コンプライアンス、および保護を提供します。

 IBM Security Guardiumの詳細を見る
IBM Storage Protectのデータ保護

エンタープライズ・スケールのデータ保護を実現します。IBM Storage Protectは、データのバックアップおよび復旧ソフトウェアです。

 IBM Storage Protect はこちら
次のステップ

IBM Security Guardium Data Protectionが、オンプレミスとハイブリッド・マルチクラウドのデータ・ストアのコンプライアンスを徹底し、一元管理された可視性とコントロールを実現する包括的なデータ保護を実現する方法をご覧ください。

 Explore Guardium Data Protectionの詳細はこちら watsonxの概要