McAfeeは公式ブログで5月3日、「ビッグデータのセキュリティに関連して企業が回答を確認すべき10の質問」と題した記事を掲載した。増大し続けるビッグデータについての保護を主題としたもの。抄訳は8月17日に掲載されている。
「10の質問」の概要は以下の通り。
1.リスクと価値が高いデータはどれか?
データにはそれぞれの価値や機密性に応じたセキュリティが求められ、その分類には労力を要するが、避けて通れない作業でもある。同社では、明確に定義された分類システムを確立するとともに、ビジネス部門チームが、法務およびセキュリティ担当者と協力してデータを分類し、それぞれのデータ管理者を決定することを求めている。
2.どのようなデータの保持/削除ポリシーを採用しているか?
リスクを低減するためには不要なデータを削除することも必要となる。そのため同社では、企業がデータの保持方法や期間に対する明確な方針を策定した上で、ポリシーも誰もが遵守できるように明確化して施行し、遵守を徹底することを求めている。また、プライバシー面の負担を減らすため匿名化技法の適用も勧めている。
3.誰がどのデータにアクセスするかをどのように追跡しているか?
データそのもの、およびデータにアクセスするユーザーの追跡も欠かせない。追跡機能があらかじめ装備されたツールとストレージメカニズムは、後から追加することは困難なため、最初から導入しておく必要があると同社は指摘する。
4.ユーザーは自社のデータのコピーを作成しているか?
ユーザーはデータを活用する際、ローカルのデータベースやExcelデータなどにコピーを作成していると考えるのが自然だ。そのため同社では、コピーされることを念頭に置いた上で、「このプロセスのガバナンスモデルはどうなっているか?」「新しいコピーとこのリソースの管理者には制御ポリシーがどのように引き継がれるか?」といった点を確認すべきだとしている。
5.どのようなタイプの暗号化およびデータ整合性メカニズムが必要か?
暗号化の強度や、データ整合性のためのハッシュなどといった技術的問題も重要だが、それより先に、見過ごされがちな問題が隠れていると同社は指摘。「使用している暗号化手法は環境全体でシームレスに機能しているか?」「暗号鍵は安全に保管、管理しているか?これらの鍵には誰がアクセス権を持っているか?」といった質問を挙げている。
6.独自のアルゴリズムやデータ分析手法を採用している場合は、アルゴリズムと手法をどのように保護しているか?
競争が激しい業界においては、優れたアルゴリズムが非常に価値の高い知的財産になると同社は指摘する。独自の手法を使う場合には、その手法から発見された内容だけでなく、発見にたどり着くまでの手段そのものも、同レベルの保護が必要だとした。
7.分析コンピューティングクラスタ内のすべての物理ノードと仮想ノードのセキュリティ体制はどのように検証しているか?
分散コンピューティングを活用することが多いビッグデータ分析では、不正なノードや感染したノードがクラスタ内のデータ漏えいを引き起こす可能性があるため、ハードウェアベースの制御を考慮すべきだとした。
8.IoTセンサーによって生成されたデータを使用しているか?
IoTセンサーは、それ固有のセキュリティ課題をもたらす可能性があると同社は指摘。IoTをデータソースとして用いる場合、エッジからデータセンターまでのデータを一貫して確実に保護することが重要で、特にプライバシー関連のデータには注意が必要だとした。
9.分析プログラムでクラウドはどのような役割を果たしていますか?
クラウドを利用する場合、そのデータセンターの地理的な場所がコンプライアンス面での影響をもたらす場合があると同社は指摘。データのホスティングや処理を行う業者の契約義務や内部ポリシーを再確認するよう求めている。
10.IT組織内の誰がビッグデータツールセットに関する特別なセキュリティスキルと知識を習得していますか?
プロジェクトのリスト、データセット、ツール群は経時的に増大していくため、社員は環境内の知識を習得していくこととなる。その結果、セキュリティに関してさらに重要な質問が生まれるようになると同社は指摘する。