セキュリティにコンプライアンスと、企業にのしかかる課題は増える一方だ。こうした課題の解決に伴う負担を少しでも減らすため、企業はITを活用している。IT活用の上でカギとなるのが「データ」だ。昨今、企業が成長するためにビッグデータを活用する機運が高まっているが、企業を守るという目的でもデータは大きな任務を負っている。

Nuixは、同社が提供するデータ分析プラットフォームによって、セキュリティ、リスク、コンプライアンスの脅威を予測・検知し、対処が必要とされる情報を特定する。

今回、Nuixのシニアアカウントディレクターを務めるディビッド・グラハム氏と日本代表の長谷一生氏に話を聞いた。

最もリスクが高いのは「非構造化データ」

グラハム氏は、同社のデータ分析プラットフォームの特徴として、「1000種以上のデータに対応していること」「非構造化データに対応していること」を挙げる。

  • Nuix シニアアカウントディレクター ディビッド・グラハム氏

構造化データはその性質上、データベースで管理することが可能なため、管理も難しくない。これに対し、メール、文書、画像、動画といった非構造化データを分析することは簡単ではない。Nuixは独自のエンジンで非構造化データを含む1000種を超えるデータのリアルタイムで分析を行う。

「非構造化データは、ファイルを開かないとその内容がわからないため、分析難しい。他のベンダーは非構造化データの分析に対応できていない。また、われわれは1000種類以上のデータに対応しているため、競合製品が見落とす可能性がある複雑なデータも収集可能」と、グラハム氏は語る。

クラウド、ストレージ、従業員のPCに関わらず個人情報を含む非構造化データをすべて特定でき、収集したデータはインテリジェントマップという形で表示され、データから洞察を得ることを可能にする。長谷氏は、「誰がそのデータにアクセスしているかを明らかにすることで、企業にリスクをもたらす『シャドーIT』を発見できる。そして、『社外の安全ではない場所で機密データを利用する』『機密データのメール添付、可搬性メディアへのコピー/印刷』といったことをブロックすることもできる」と、同社のソリューションの強みを語る。

  • Nuix 日本代表 長谷一生氏

GDPRはガバナンスを見直す機会ととらえるべき

去る5月28日、GDPR(EU一般データ保護規則)が施行されたが、NuixはGDPRへの対応に力を入れている。GDPRに違反すると、最大で全世界での総売上(収益/売上高)の4%または2000万ユーロのいずれか大きい額が制裁金として科されるなど、罰則が厳しいことで注目を集めている。

グラハム氏は、GDPRへの対応として、次の4つの質問に答えることができれば概ね問題ないと説明した。

  • どのような個人を特定しうるデータを持っているか
  • 個人を特定しうるデータがどこにあるか
  • 誰がデータ管理の責任者か
  • 顧客のデータを正しく保護しているか

長谷氏は、2020年にオリンピック開催を控えている日本において、「観光業」と「旅行業」がGDPRの対応が重要となる業種と見ていると指摘した。ホテルやツアーの予約サイトを運営している場合、申込者のデータを取得しているため、GDPRに対応する必要があり、パスポートのコピーもGDPRの対象となるという。

同社のソリューションでは、データの「識別」「理解」「分析」「行動」という4つのステップによって、GDPRへの対応を進める。「行動」では、不正にコピーされたデータの削除、データのアクセス権限のコントロール、機密データの移動、暗号化といったことが行える。

GDPRというと、罰則の厳しさからネガティブに論じられることが多いが、グラハム氏は「自社のガバナンスを見直すいい機会」と語る。「インフォメーション・マネジメン管理を通じて、サイバーセキュリティの戦略を強化することができる」と同氏。

グラハム氏は具体的な対策として、エンドポイントで内部のデータの統治を利かせることで、漏洩などのリスクの低下につながることを挙げた。そして、「人、プロセス、テクノロジーが三位一体とならないと、機能しない」と述べた。

GDPR対応としてテクノロジーの活用が進まぬ日本企業

長谷氏に、日本企業のGDPRへの対応状況を聞いてみたところ、「対策は不十分」という答えが返ってきた。

対応が進んでいる企業では、管理責任者を設けるなど、「人」に関する対応は進みつつあるが、全従業員の教育までは手が回っていない一方、プロセスやポリシーは構築され、導入は始まっているという。

長谷氏は、GDPR対応の要素の残りの1つであるテクノロジーについては、次のような指摘を示した。

「能動的に、社内にどのようなデータがあって、本来あるべき姿にどうやってもっていくか、テクノロジーの活用にまでは至っていない。構造化データに含まれる個人情報の保護はできるかもしれないが、非構造化データに含まれる個人情報への対応は未知の領域だろう」

グラハム氏は「これまで、個人情報は持ち主の意思にかかわらず、活用が行われてきたが、GDPRによって、個人情報の権利が本人に回帰している。GDPRはいわば個人情報が流用されている現在に対し、警鐘を鳴らしている。GDPRはデータのパラダイムシフトを起こしており、企業としては蓄積してきたデータの扱い方を見直すチャンス」と述べた。