ガートナー、AI時代の情報漏えい対策要素を発表

ZDNET Japan Staff

2024-10-30 12:13

 ガートナージャパンは、AIおよび生成AIが台頭する時代に必要だという6つの情報漏えい対策の要素を発表した。同社調査で2023年に情報漏えいが発生した企業は、サイバー攻撃が原因の場合で34.0%、内部関係者が原因の場合では27.7%に上り、セキュリティ部門の57.2%が、AIなどによるデータ活用の拡大に不安を感じていることも分かったという。

 AI時代に必要な情報漏えい対策の要素は次の通り。

1.情報漏えい対策の知見

 多くの企業が境界型セキュリティ施策を取っていたため、セキュリティ部門やシステムインテグレーターには、データセキュリティについての実務経験者がいないなど、セキュリティの知見がサイバーセキュリティに偏っているような現状が見られる。セキュリティの範囲は広く、サイバーセキュリティに詳しい担当者が必ずしもデータセキュリティに明るいわけではないという点を認識する必要がある。

 実務経験者が少ない企業は、現実性のある運用を想定するのが難しい場合がある。新しい時代の情報漏えい対策の知見を得るために、公開事例に頼らず、先進的な取り組みを行っている企業に自らインタビューを実施するなど、新しい情報収集方法の実践が重要となる。

2.情報漏えい対策のフィロソフィー(コンセプト)

 企業は、セキュリティの境界を定め、ユーザーは境界の中で、自由にデータにアクセスし、分析できた。しかし、これでは情報を外に持ち出せず、クラウドの利用や外部との共有を思うようにできず、企業が目指すデジタル時代の姿と大きく懸け離れてしまうことになる。境界型セキュリティ、つまり、データ保護をネットワークやシステムといった大きな単位で行うのではなく、ユーザー、データの種類、ユーザーの作業範囲などの小さな単位で暗号化や権限付与を行うことが求められている。

 アクセスできる人や操作できる内容を限定する、情報漏えい対策に向けた過剰なアクセス権の付与をなくすことへ大転換することが重要であり、さらに、これを従業員が生成AIなどを本格利用する前に、大々的に周知することが重要になる。

3.情報漏えい対策の責任の所在

 情報漏えいで困るのは、経営陣だけではない。ユーザー部門も取引先や顧客の情報には責任があり、何かあった場合には、それを伝える説明責任がある。境界型セキュリティでは企業のセキュリティがインフラセキュリティに大きく依存していたことなどから、情報漏えいの責任が経営、IT/セキュリティ部門にあると誤解しているユーザーが多く存在する。

 セキュリティ部門は、ルールの制定やテクノロジーの評価に責任を持つものの、ビジネスで必要なデータを使う上で、データ保護/アクセス管理を行い、情報が漏えいしないようにする責任がユーザー部門にもあることを今一度周知しておく。

4.データマップの作成

 データの生成、保存の場所、所有者、そのデータの重要度と使用者を示す「データマップ」を作成することが重要になる。作成する際は、どのデータがそのビジネスにとって重要なのか、ユーザーはそのデータを本当に扱う必要があるのかなど、さまざまな観点を踏まえて作成する必要がある。

5.テクノロジーの評価と活用

 データ保護では、データの分類/検出、データ暗号、ファイル保護、権限管理などさまざまな種類のテクノロジーが用いられる。しかし、これらは決して新しいものではなく、これまでにもある。現在は「どのように実装するか」といった点に検討の重心が移動しつつある。評価する際は、機能面だけでなく、「ユーザーにとって使いやすいものなのか」という運用面にも十分な時間を費やすことが重要。また、新しく「データセキュリティポスチャーマネジメント」(Data Security Posture Management)など、リスクの変動を分析できるようなものを検討できるようになっているが、過度に依存し過ぎず冷静に評価する。

6.ユーザーのリテラシー向上

 情報漏えい対策に関するルールは、データ分析に用いるツールや取り扱うデータの種類によってさまざま。ユーザーもそうした状況に応じて適切なルールを適用しなければならないが、セキュリティのリテラシーは一定ではない。戦略的な業務や重要なデータを扱う場合は、ユーザーのルールの順守を促進させるために、セキュリティ部門でユーザーのデータの使い方を積極的に理解し、セキュリティマニュアルに、これまで以上にリアリティーを持たせることが肝要となる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  2. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. セキュリティ

    「どこから手を付ければよいかわからない」が約半数--セキュリティ運用の自動化導入に向けた実践ガイド

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]