2016年10月14日

企業は、競争力、顧客維持、顧客満足、法規制、監査義務など、様々な目的でデータの安全性を確保しようとしています。EUの立法者は新たにデータセキュリティの強化に踏み出し、消費者という別の視点から企業のデータセキュリティを捉えています。そのため、一般データ保護規則(GDPR)がEUで適用され、個人情報がいつ収集され、どのように使用されるかについて、EU市民が従来よりもコントロールできるようになりました。EUではすでに消費者データ保護法が成立していましたが、GDPRで初めて、企業が収集したデータの保護を怠った場合に高額な制裁金が課せられることになりました。

GDPRは2018年5月に施行され、EU域内で事業を展開し、個人を特定できる情報(PII)をEU域内の市民から収集しているすべての企業(本社がEU域内に所在しているかを問わず)に影響を及ぼしています。また、GDPRは厳しい規定を設けており、企業が準拠していない場合、最大で全世界年間売上高の4%または2,000万ユーロのいずれかの高額の制裁金を課せられる可能性があります。

PCI DSS、HIPAASOX(米国の場合)などの既存の規制、またはEU加盟国のデータ保護法のいずれかに対応している場合には、すでに基盤が十分に整備されていると言えるかもしれません。しかし、GDPRがEUデータ保護指令などの既存の規制に取って代わることを考慮すると、より慎重に検討する必要があります。問題を複雑にしているのは、GDPRが一律に適用される規制ではないことです。実際には、リスク可能性が高まるほど、企業の義務も増えるというのがユニークな点です。例えば、従業員数が250人以上の企業は、250人未満の企業よりも厳格なルールに準拠する必要があります。

GDPRは、顧客データの保管方法・場所、そして従業員、契約社員、ビジネスパートナーに顧客データへのアクセスを許可する方法に関して大きな変更を求めています。さらに、顧客情報が漏洩した場合には、72時間以内に報告することが義務付けられています。既存のセキュリティモデルには、ネットワーク層での情報漏洩の防止を中心としたものから、リアルタイムで情報漏洩を検出・対処できるよう進化させることが求められています。

GDPRは最大で全世界年間売上高の4%の制裁金

企業はこれまで、アプリケーションとそのデータを保護する手段として、ネットワーク境界のセキュリティ確保に注力してきました。しかし、認証情報漏洩、内部攻撃者の行動、未承認の場所に保存されている機密情報の拡散などによる情報漏洩が増加しており、企業はこれらのリスクを軽減するには従業員、契約社員、パートナーなどのアイデンティティ・ガバナンスを強化し、これらの人々がアクセスできるデータ、アプリケーション、システムを制御する必要があることに気付いています。企業はガバナンス管理を強化することで、GDPRの要件を満たすことができます。

アイデンティティ情報を整理する

企業は、機密情報を特定し、誰がそのデータにアクセスできるかを把握し、そのデータに対し適切なアクセス制御を維持するというアイデンティティ・ガバナンスの優先課題に重点的に取り組む必要があります。

機密情報の特定

最初に、GDPRで保護が義務付けられている顧客情報が組織のどこに存在しているかの全体像を把握します。アプリケーションやデータベースなどの構造化データとして存在している場合も、ファイルシステム、コラボレーションポータル(SharePointなど)、さらにはクラウドストレージシステム(Box、Google Driveなど)にある非構造化データ(アプリケーション、データベースからエクスポートされたExcelシート、PDFレポートなど)として存在している場合もあります。

誰がアクセスできるかの決定

次に、誰が顧客情報へアクセスすべきかを理解し、権限付与をその人物と一致させます。これは一回限りの作業ではなく、継続的に実施すべきです。顧客情報を保存しているすべてのアプリケーションとファイルストレージプラットフォーム(オンプレミスとクラウドの両方)が対象になっていることも確認します。

予防と発見のためのコントロールの確立

ユーザーには必要最低限のリソースへのアクセス権(「最小権限の原則」)を付与し、機密情報へのアクセスを厳しく制限すべきです。アプリケーションやデータに対するアクセス権を、ビジネスニーズに基づき調整できるガバナンスモデルを構築する必要があります。このモデルでは、包括的なアイデンティティ・ガバナンスプログラムにより、ユーザーが不適切なアクセス権を持てないようにし、ユーザーのアクセスの検証・監視プロセスを自動化します。

包括的なアイデンティティ・ガバナンス戦略の導入

アプリケーションとファイルに保存されたデータを対象とする包括的なアイデンティティ・ガバナンスソリューションにより、「誰が何にアクセスできるか」だけでなく、どうアクセス権が使われているか、完全に可視化できます。これにより、情報漏洩、ID・アクセス権のの再棚卸、その他セキュリティイベントの発生時に、適切な決定を行うことができます。

最初は、GDPRの要件、特に準拠していない場合に課せられる高額の制裁金に躊躇するかもしれません。しかし、顧客情報へのアクセスを保護するために、アイデンティティ・ガバナンスをセキュリティ戦略の中心に置くことで、情報漏洩とその結果制裁金が課せられるリスクを軽減できます。