クラウドで活用するデータ、どこまで許可するか

これまで、CASB(Cloud Access Security Broker)によって、マルチクラウドの利用を一元的に制御、可視化ができることは解説してきた。ただし、CASBを評価中、検証中の企業について気になるのが、「企業として取り締まるべき情報(データ)の定義があいまい」であることが顕著な点だ。

例えば、製造業や金融機関などにおいては、業界ごとに定められたガイドラインや他社に漏れては困る開発・設計データが明確に定められている。そうでない場合は、部署ごとにデータの機密性についての捉え方が異なっているために、企業全体としての「データ取り扱い」に関するルールが設定されていないことも多い。

そんな中、ややフライング気味にクラウドシフトしてしまった企業は、いざCASBで情報流出対策を打とうという時に、肝心のポリシーを設定することができないのだ。

一方の欧米諸国の現状はどうだろうか。例えば、「訴訟大国」とも揶揄されるアメリカでは、あらゆる業種がコンプライアンスに厳しく、企業では情報の取り扱いに対する教育を徹底する文化が根付いている。また欧米では、取引先の情報が自社から漏れることによるリスク、インパクトが明らかに日本に比べると段違いだ。それゆえ、古くからDLP(情報流出対策)の導入が自然と進んでおり、「データの棚卸し」が自動化されている(導入比率でいうと、欧米:日本=10:1ほどだ)。もちろん、「どのようなデータがどこまで活用されることが許容されるか」といったデータガバナンスが根底にあるからこそ、データの棚卸しの自動化が可能なのだ。

よって欧米では、自分たちが採用したクラウドのセキュリティを強化するには、オンプレミスに徹底されているデータ取り扱いに関するポリシー(DLPポリシー)をCASB経由で適用するだけでよい。日本企業の大部分は、そもそもオンプレミスにしっかりとしたDLPポリシーがない。にもかかわらず、CASBによりクラウド上のデータを保護しようとしても、適切なポリシーも設定できなければ、またCASBで取り締まったところでオンプレミスの端末やメール添付、ファイル転送といったデータ流出経路はまったく可視化できないため、情報流出対策として十分な投資効果が出るとは思えない。

GDPRが日本企業にとってターニングポイントか?

ただ、日本企業だけが欧米と比べてデータの取り扱いについて劣っているわけではない。例えばGDPR(General Data Protection)。日本はEU在住者の個人データをEU域外の国へ転送して利用することを許可されていない。もっと言えば、改正個人情報保護法がありながらも、日本という国自体がデータの取り扱いに難があると欧州からは見られているのだ。そのため、日本企業が企業レベルでGDPRへの対応が迫られているのは、読者の方もご存じだろう。

今までのように曖昧なデータ活用を続けていると、知らずのうちにEU個人データを収集してGDPRの枠組みを逸脱し、EU側機関から直接制裁を受けることになりかねない。GDPRに関しては、全世界での企業の年間売上4%ないしは2000ユーロといった制裁金ばかりが話題になるが、デジタルトランスフォーメーションだ、働き方改革だ、クラウドシフトだ、とデータを企業の枠外で活用していく時代において、企業のデータ取り扱いに対するポリシーが定義されていないことの重さに気づくべきだ。

これなくしては、クラウドの活用も二の足踏まざるを得なくなるし、結果として、情報はオンプレミスで閉じて限定活用するといった時代に逆行するビジネス展開を強いられることで、競合他社に穴を空けられてしまうだろう。

2020年の国際的イベントの開催に向けて

このようなギャップを少しでも早く埋めようと、昨年から動いている業界がいくつかある。そして彼らの目的は共通している。2020年に日本で開催される国際イベントへの対応だ。

このイベントの開催に伴い、日本は世界各国からの観光客を迎え入れることとなり、交通、通信、宿泊、サービス、幅広い業界でEU個人データを収集し得る場面が出てくる。世界から注目を集め、平昌オリンピックと同様に妨害工作などの企業に対する攻撃が予測される中、サイバー攻撃への対策だけではなく、個人情報の取り扱いに隙を作るわけにはいかない。

厳しい罰則の回避に加え、データの取り扱いについても信頼できる日本企業として、グローバルにビジネスを展開していきたい企業からすれば、GDPR対応は最低限対応しておく必要があるボーダーラインだ。そのためにも、クラウドに保存されたデータだけではなく、社内の端末、ファイルサーバ、データベース、ファイル転送やメール添付といったすべてのデータ経路を可視化し、制御を自動化していく必要がある。

「右にならえ」の日本企業は、同じ業種の企業の成功事例をもとにGDPRレベルのデータ保護を実装していくようになるだろう。「DLP」という技術の復権が日本で確立する日が来れば、その時こそ、日本もデータ取り扱いにおいて先進国と肩を並べられたと言えるのかもしれない。

著者プロフィール

髙岡 隆佳


株式会社シマンテック セールスエンジニアリング本部 エバンジェリスト


セキュリティ業界での18年の経験を生かし、製品やソリューションに捉われない、セキュリティ投資の方向性について講演やメディアを通じて啓蒙活動を行っている。エバンジェリストとして、企業のセキュリティリスク、対策、課題に精通している。近年は、クラウドセキュリティアライアンス日本支部(CSA Japan)CASB WGにてクラウドセキュリティ啓蒙に力を入れている。