「データセキュリティ」データマネジメント知識体系(DMBOK)第7章の解説
はじめに
データ利活用を行いビジネス貢献を行う一方で、ひとたび個人情報が流出してしまうと会社の存続が厳しくなるほどのダメージを負ってしまうため必ずセキュリティの対応をしないといけない。
一番古い記憶だと、YBBの個人情報流出だったり、最近では出会い系アプリだったりと情報流出していない企業はないのではないかというくらい頻繁に狙われている。その中にクレジットカード番号だったり、マイナンバーカードだったりのようなユーザーの財産に直結するような情報が入っていると大変なのでクリティカルな状態になることは避けないといけない。
ビジネスでの活用しやすさと堅牢性を保つためには情報を区分ごとに分けて適切なアクセス制限を書ける必要がある。
DMBOKの各章の要約・解説
他の章も興味ある人はこちらからどうぞ。
今すぐわかるデータマネジメントの進め方
著者のDMBOKを用いてCDO室を立ち上げデータマネジメントを推進した経験を基にデータマネジメントの進め方をまとめたkindle本を執筆しました。
動画で学びたい方ははこちらから
データマネジメント知識体系(DMBOK)第7章「データセキュリティ」について
データセキュリティとは
データセキュリティとはセキュリティポリシーや手順や定義、立案、開発、実行し、データと情報資産に対して適切な認証と権限付与を行い、アクセスを制御し、監査することである。
具体的な方法としては、まずは管理する情報を一覧化し、センシティブなデータを把握する。センシティブデータとは、マイナンバー、病歴、クレジットカード番号など業界や組織によってさまざまである。
次に一覧化した情報をどのように守るのか決定する。アクセスの容易性とリスクはトレードオフな関係であるため、情報によって守り方を変えてビジネスとセキュリティのバランスを保つ。
セキュリティを守るために、定めたルールや設定などが継続して運用されているのかという監査が不可欠である。
セキュリティはいざというときの対策のため、ビジネス側にとってはセキュリティは必要性が理解されづらくステークホルダーへの理解を求めながら過度な規制をすることのなくセキュリティを守り続ける必要がある。
セキュリティは軽視されやすいが、データのセキュリティが正しく整備されていることは情報と同様に資産であると評価できる。
セキュリティにおける重要な観点
悪意を持った外部者
自分の利益のために企業の情報を奪い取ることを狙う人が存在する。
企業の情報を窃盗するために、攻撃する意図を持った組織が存在するために脆弱性を減らすように対応する必要がある。
無知な内部者
無知な内部者は知らないうちに、組織に対して攻撃を行う可能性がある、例えば不用意にメールの添付を開いて脆弱性を作ることなども、無知な内部者による攻撃ともいえる。
セキュリティポリシーとは
セキュリティのビジネス要件、規制要件に基づいてデータセキュリティ・ポリシーを作成する必要がある。データを保護するために必要な振る舞いを記述し、正しく行動することを監査する。
規制要件とは、データを用いてビジネスを行う上で押さえておく必要がある、個人情報保護法や業界によって定められている業法のことである。
セキュリティ・ポリシーはビジネスとセキュリティのバランスを保つ必要があるため、定期的に再評価する必要がある。
データセキュリティガバナンスとは
情報を保護するためには、セキュリティの重要性を全社的に認識し、ITと業務ステークホルダーの協力が必要である。組織が持つ情報を一覧化し、情報ごとに定めたルール・原則・ガイドラインを定義する。
ガバナンスの組織としては、最高セキュリティ責任者(CISO)が置かれて、各業務側のマネージャーを業務ごとのセキュリティの主軸として、配下のユーザー権限の付与や、セキュリティポリシーの遵守を担当する。
CISOが中心となり、組織のセキュリティ基準を定めて維持し続けるために、ガバナンスを効かせ続ける必要がある。
「データセキュリティ」のゴール
セキュリティポリシーやルールを定義、実行し、データと情報資産に対して適切な認証と権限付与を行い、アクセスを制御し、監査されていること。
企業の情報に対して適切なアクセスを許可し、不適切なアクセスが防止されている
プライバシー、保護、機密性に関するすべての規制とポリシーを理解し遵守されている
プライバシーと機密性に関するすべてのステークホルダーの要求が実行され、監査されていることが保証されている
「データセキュリティ」の進め方
データセキュリティ要件の特定
データセキュリティ要件はビジネス要件、規制要件とソフトウェア製品による制限を区別することが重要である。ビジネス要件は企業の業種や規模によって求められるセキュリティ機能が異なる。
規制要件は例えばクレジットカード情報を扱う企業はPCI DSSの準拠が必要となるように、対象となる規制を明確にする。
データセキュリティの現状を評価し、必要な要件を特定する。
データセキュリティ・ポリシーの定義
ビジネス要件、規制要件に基づいてデータセキュリティ・ポリシーを作成する。ポリシーは行動様式のガイドラインを記述した文書である。セキュリティ・ポリシーを定義するには、セキュリティ部門、データ部門、法務部門の協力が必要である。
セキュリティは遵守しないより遵守するほうが簡単でなければならない。定義したセキュリティ・ポリシーはステークホルダーが容易にアクセスできるようにし、定期的に内容を再評価する。
データセキュリティ基準の定義
ポリシーは行動様式のガイドラインであり、内容を概説するものではない。基準はポリシーを保管するものであり、ポリシーを準拠するために必要な事項を具体的に定めたものである。
コントロールと手順の実施
要件に沿ってアクセスコントロールを行い、定義した基準をシステム的に実行する。アクセス挙動を監視し、実行したアクセスコントロールが正しく動作しているのかを管理する。
「データセキュリティ」の成果物
データセキュリティの成果物はポリシー、定義といったガバナンスに関するもの、実際のシステムのアクセスコントロール、セキュリティ分類というメタデータに関するものがある。
データプライバシーポリシー
データセキュリティ・アーキテクチャ
プライバシーと機密性の基準
アクセス制御
法令順守
ドキュメント化されたセキュリティ分類
アクセスログの監査
おわりに
自分の知識をまとめるためと今後誰かがデータマネジメントをやってみたいと思った時のきっかけとなるためにnoteを書くことにしました。
モチベーションのために役にたったという人はぜひ、フォロー&スキをお願いします。
ツイッターでもデータマネジメントに係る情報をつぶやいてますので、よろしくお願いします。
コツコツ書いてます。
— よしむら@データマネジメント担当 (@FP92754991) October 28, 2021
データマネジメント知識体系ガイドDMBOK要約・解説|データマネジメント担当 よしむら #note https://t.co/G9R0eeatZd
データマネジメントを学ぶ人が抑えておきたい本
今すぐわかるデータマネジメントの進め方
著者のDMBOKを用いてCDO室を立ち上げデータマネジメントを推進した経験を基にデータマネジメントの進め方をまとめたkindle本を執筆しました。
データ組織立ち上げ編 AI事務員宮西さん
著者のデータ組織の立ち上げ経験をマンガ+コメントでまとめてみました。立ち上げ編は組織を立ち上げてやることが決まるまでのストーリーです。
無料公開のため0円となります。
データ組織の立ち上げに関係する方は是非読んでみてください。
DXを成功に導くデータマネジメント
DXを成し遂げるために必要なデータをどうマネジメントしていけばよいかが書かれている。
データ環境より、セキュリティの観点であったり、プライバシーの観点であったりといった非技術者向けの内容が多く書かれている。
データマネージメントに興味を持った人はまずは読んでみるとデータマネジメントでなすべき概要が理解できる。
実践的データ基盤への処方箋
データ利活用を行うために必要なデータ基盤の考え方と、利活用するためにはデータをどのようにマネジメントしていけば良いかを具体的な例を用いて説明されている。
技術が中心になるので現在データ技術に係る人がデータマネージメントに興味を持った時には、まず手に取ることをおすすめする。
個人データ戦略活用 ステップでわかる改正個人情報保護法実務ガイドブック
個人情報保護法を順守するための基本的な考え方が実務ベースで書かれている。2022年4月に施工される改正個人情報保護法で新たに追加される概念も同様に記載されている。
政府の出しているガイドラインよりも俯瞰的に読めるためデータプライバシーにかかわる人、データを使ったビジネスを推進する人は読んでおくとスムーズに業務が進められる。
データマネジメント知識体系ガイド(DMBOK)
自分も要約・解説記事を書いているDMBOK。データマネジメントに興味を持った人がまず手に取ると挫折することは間違いないほどのボリュームがある。
読めば読むほど味が出てくるので、データマネジメントを進めようとしている人は各家庭に1冊は是非買っておきたい。
データマネジメントが30分でわかる本
著者もDMBOKを読むためには非常にボリュームが多く読み解くには苦労するので、かみ砕いた解説書をまとめたと書いてある通り、DMBOKを独自解釈してわかりやすく書かれている。
DMBOKを技術者目線で読み解いた内容になっているので、実践的データ基盤への処方箋と同様データ技術に係る人におすすめする。