データセキュリティを実際に実現するにはいったい何をしたらいいのでしょうか？ DMBOKはその手順や基準を私たちに提示してくれます。 この記事を読むことによって、DMBOKが示すデータセキュリティの実現方法を簡単に把握することができます。

データセキュリティを実現するには

データセキュリティを実現するプロセスは、 ・要件の特定 ・データセキュリティ・ポリシーの決定 ・達成のための手順 ・セキュリティ・ポリシー遵守の管理 データセキュリティを実現するにはこのサイクルが、継続・改善されて行かなくてはなりません。 では、それぞれの項目を詳しく見ていきます。

データセキュリティ要件の特定

データセキュリティ要件の特定には、ビジネス要件と外部からの規制を考慮に入れて特定する必要があります。 ビジネス要件 組織のニーズや業界のよって変化し、業務とセキュリティの接点を特定してから、定義する必要があります。 外部からの規制 政府が新しい法律や基準を策定した際にそれ遵守する必要があるということです。 組織の業務とセキュリティの接点に、外部の規制を取り入れたデータセキュリティ要件の特定が、データセキュリティ実現の第一歩です。

ポリシー・基準の決定

組織はデータセキュリティ要件の特定プロセスに基づいてデータセキュリティ・ポリシーを作成する必要がります。 ポリシーとは一連の目標を達成するために、選択された活動方針と望ましい行動様式の概要を記述した文書です。 策定に際して セキュリティポリシーを策定するには、ITセキュリティ管理者やデータ管理者、社外の監査人、法務部門などの協力の元、適切なセキュリティ分類の一貫した適用や、データ規制遵守措置を調整する必要があります。 ポリシーの内容 組織全体のセキュリティ関連に関する行動を管理するためには、様々なレベルのポリシーが必要になります。 このレベルが低くなっていくほど、操作の手順などの、より詳細な性質を持つことになります。 ポリシーはデータセキュリティ要件を満たしていることはもちろんですが、従業員が、理解しやすい・実行しやすい・いつでもみられるという三つの性質も持っている必要があります。 データセキュリティ基準 ポリシーは行動様式を提供するものです。そこで、基準を定義することによってポリシーを補完し、ポリシーが意図することをどのように達成するかを提供します。 例）ポリシーで強度の高いパスワードを要求された際に、基準によって詳細に指定がなされる。 データの機密性レベルの定義 公開用や登録者限定機密といった、高レベルから低レベルにすべてのデータを分類する必要があり、各組織はビジネス要件を満たし容易に適用できるスキーム（典型）を作成する必要があります。 データ規制対象カテゴリの定義 近年データ特有の法律が導入され始め、世界中の政府が追加の規制をするようになりました。 規制は目標を意味し、目標に到達できるように手段を決定するのは企業の責任であり、監査可能な措置を取ることによって、法令遵守の証拠を提供できるようになります。 様々な国の規制を便利に扱うには、同じような規制はおなじ保護措置上のカテゴリを利用することによって適切に管理できます。 セキュリティ分類と規則対象カテゴリの両方にとって重要な原則は、それぞれの情報がより高いセンシティビティまたはより低いセンシティビティを持つように集約できるということです。 データ開発者がデータ集約をする際にはその処理が全体のセキュリティ分類と規制対象カテゴリにどのように影響を与えるかを知っておくことが重要です。 セキュリティロールの定義 データアクセス制御を行う際に、ロールグループを利用することが推奨されます。ロールとは役割や役職の意味であり、これであれば、個人をそのロールに応じてグループに追加することによって、簡単に適切な権限を付与することが可能になります。 ロールグループを使用する際にはデータの一貫性が課題になります。データを複数の場所に保存することによって、その保存や更新、削除により、一つの「真実」に対して複数のバージョンができてしまうことがあります。一貫性を欠き、ロールグループが不適切に適用されると組織にとって重大なリスクが発生する恐れがあります。 ロールベースのセキュリティには、明確な定義と一貫性を持ったロールの割り当てが必要です。

実現のための手順とそれの継続

上記で決定されたポリシーや基準をもとに、それらが達成されるように制御する必要があります。 セキュリティリスクの特定と把握 まずは組織のセキュリティリスクの現状を把握することが必要です。 どこに保護が必要なセンシティブデータが保存されているのか、そのデータに対する保護は何が必要なのかを特定し、それらをドキュメント化しておくことによって、セキュリティを将来的に監査・改善していくことが可能になります。 コントロールと手順の実施 DMBOKではセキュリティポリシーを満たすための最低基準を提示しています。 ・ユーザがシステムやアプリケーションへのアクセス権をどのように取得し喪失するか ・ユーザーがどのようにロールを割り当てられ、削除されるか ・権限レベルをどのように監視するのか ・アクセス変更の要求がどのように処理され、監視されるか ・機密性と適用される規制に従ってどのようにデータを分類するか ・検出されたデータ侵害にどのように対処するのか DAMA International(2018) 「データマネジメント知識体系ガイド　第二版 P280 日経BP社 重要なのは、ポリシーや基準からやるべきことを見出し実施することです。 機密レベルの割り当て 上記の機密レベルの定義によって決定されたことにのっとり、データのなかで一番レベルが高い部分に基づいて割り当てをします。 また、情報の作成者は情報の適切な機密レベルを正確に評価し分類、ラベル付けを行う必要があります。 規制対象のカテゴリ割り当て 組織は規制遵守の要件を満たすために、その分類方法を構築し、情報の分類を行わなければなりません。 この割り当てを行う際に注意が必要なのは、セキュリティ担当者はこれらの分類方法、割り当て基準を策定し、データ管理者がそれに基づいて、データを分類するということである。

セキュリティポリシー遵守の管理

データセキュリティを実現するには、企業活動や、今まで行ってきた定義や手順を監視し、改善して行かなくてはならない。 法規制遵守の管理 いままで定めてきた、ポリシーがしっかりと守られていると証明するためには監査が必要である。そのため、監査が実施可能な制御方法を設計する必要がある。 例） ユーザーが特定データにアクセスする前に、トレーニングを受けなくてはならない。その場合にトレーニングを受けたことを証明できる必要がある。 データセキュリティと遵守活動の管理 データセキュリティとポリシーを確実に守らせるためには、企業活動に対して定期的であり一貫性がある監査が必要である。 監査によって、客観的な評価を取得することができ、ポリシーや基準の再検討が可能になる。