Gartnerがビッグデータやクラウドなどの利用を前提にしたセキュリティ対策について、提言を発表した。セキュリティを経営視点で統括する情報セキュリティ最高責任者(CISO) を設置すること、ビッグデータと従来のセキュリティを分けて考えるのではなく、すべてのデータをカバーするポリシーを策定することだ。
企業ではこれまで、データを構造化、非構造化サイロの枠内で管理し、リレーショナルデータベース管理(RDBMS)、ファイルストレージ、非構造化ファイルを使った共有がなされてきた。
ビッグデータとクラウドストレージ環境の登場により、データの格納やアクセス、処理の一部を自前のシステムで実施するのではなく、外部のクラウドサービスに頼る企業が増えてきた。このため、企業が持つデータの格納場所が物理サーバ、クラウド環境などにかかわらず、ビジネス要件と連動した横断的な視点でデータを定義、管理し、セキュリティ施策を施す「データ中心型のセキュリティ」を実践する必要があるとした。
しかし、データのセキュリティポリシーとその管理構造がしっかりと確立されていないため、CISOなどセキュリティ部門の責任者は、企業全体を網羅したデータのセキュリティポリシーを策定する必要がある。データの格納場所や、各関係者の責任範囲、ビジネスニーズ、データプロセスのニーズ、セキュリティのコントロール方法を定義する必要があるとしている。
一方、現在市場には、CISOが一貫性をもってすべてのサイロを管理するために必要な「データ中心型の監査と保護 (Data-Centric Audit and Protection:DCAP)」が可能な製品やサービスがないと指摘。サイロごとに異なるツールが使用されており、これらのツールごとに機能、ネットワークアーキテクチャ、データの貯蔵方法が異なるため、全社規模のデータのセキュリティ計画が立てづらいと説明した。
クラウドサービスやセキュリティの事業者が利用するIaaS/PaaSなどのインフラ基盤も、セキュリティ計画をさらに複雑化させる要因という。IaaS/PaaS事業者は、オンプレミスとクラウドの双方の環境を通じ、異なるサイロでのデータ貯蔵に適用できる製品の開発に取り組んでいるものの、ユーザーのリテラシーがこのレベルにまで達していないという。
解決策として、まずCISOがセキュリティ部門との連携に慣れていない各部門の責任者と信頼関係を構築し、データセキュリティの管理構造を確立するべきと指摘。各部門を横断した教育、研修の必要性を明確にする必要があると提言している。
2016年までに企業や団体の80%以上がこのようなサイロを横断するデータのセキュリティポリシーの策定に失敗し、結果として法令を遵守できない恐れがあると予見している。
