データ漏洩の影響、データ保護のための業界固有のセキュリティポリシー、そしてクラウドセキュリティへの多層的アプローチがいかに鍵を握るかについて解説します。
私たちは個人として、日常生活のあらゆる場面で自分自身に関する情報を共有しながら生きています。ローンのための信用調査から、健康保険に加入するための個人や家族全員の病歴に至るまで、多岐にわたります。個人データを提供しなければ、一般的なサービスの多くは利用できません。しかし、現代のオンライン世界において、私たちは自分のデータがどこへ行くのか、データは安全か、誰がアクセス権を持っているのか、そして第三者と共有されるのかについて、かつてないほど意識を高めています。
個人情報を正当な組織に渡すと、その組織は「データ処理者」となり、そのデータセキュリティの焦点は業界固有の基準によって管理されることになります。個人としても、不審な連絡先のブロック、個人用コンピュータへのウイルス対策ソフトのインストール、生体認証セキュリティの使用など、役割を果たすよう促されることはあります。しかし、正当な取引においては、個人データを保護する責任は保管者にあります。
残念ながら、ハッカーはファイアウォールを突破するためにこれまで以上に独創的な方法を見つけ出し、詐欺師は最も価値のある情報にアクセスするために、社会的弱者や一瞬の「油断」をした人々を狙い続けています。そして、データ漏洩のコストは壊滅的なものになる可能性があります。
業界固有のデータセキュリティコンプライアンス
米国には単一のデータプライバシー法は存在せず、データ保護法は特定のセクターに対処するための連邦法と州法の組み合わせとなっています。明るいニュースとしては、2021年5月に米国大統領が、データ保護を強化しサイバーセキュリティ防御を近代化することを目的とした「国家のサイバーセキュリティ向上に関する大統領令」に署名したことが挙げられます。
当然ながら、特定の業界は、そのビジネスの性質や扱うデータの種類から、すでにセキュリティとコンプライアンスを重視しており、堅牢なデータセキュリティコンプライアンス規制を遵守しています。業界の例は以下の通りです。
- ヘルスケアおよびライフサイエンス: おそらく最も機密性の高い個人の機密情報を処理・管理する業界です。ケア提供者、保険会社、患者、およびその介護者が使用するアプリケーションを、安全かつ確実に統合する能力に重点を置いています。さらに、一部の州の医療記録保持ポリシーでは最大30年間の保管が義務付けられていることを考えると、データセキュリティが極めて重要になります。
- 規制の例:医療保険の相互運用性と責任に関する法律(HIPAA)、HIPAAセキュリティ規則、一般データ保護規則(GDPR、EU居住者の個人データを保存または処理する米国組織に適用)
- 金融: デジタルプラットフォームに完全に依存している業界であり、そのためサイバー犯罪者の主要な標的となっています。特にオンライン取引が金融市場を支配している現在、顧客資産や個人を特定できる情報(PII)を悪意のある活動から保護することに重点を置いています。
- 規制の例:グラム・リーチ・ブライリー法(GLBA)、公正信用報告法(FCRA)、クレジットカード業界のデータセキュリティ基準(PCI-DSS)
- 電気通信: 組織が高い技術力を備えていることが期待される業界であり、グローバルな相互接続性とデジタルインフラが業務の中核をなしています。サブスクリプションベースの形式であるため、大量のPIIを保護すると同時に、ネットワークハイウェイや通信システムを保護することが主な焦点となります。
- 規制の例:電話消費者保護法(TCPA)、コンピュータ不正操作防止法、電子通信プライバシー法
- 保険セクター: 医療IDや社会保障番号を含む、財務データと個人を特定できるデータの独自の組み合わせを持つ保険セクターは、詐欺師にとって明らかな標的です。データセキュリティ、そして顧客の信頼と忠誠心の維持は、保険組織の存続にとって極めて重要です。
- 規制の例:NAIC保険データセキュリティモデル法、NYDFSサイバーセキュリティ規制、およびGLBA、HIPAA
クラウドがいかに鍵を握るか
最近の「ISC2 2020 クラウドセキュリティレポート」によると、サイバーセキュリティ専門家の34%が、データセキュリティ、紛失、または漏洩のリスクが組織のクラウド導入を妨げていると回答しています。「私のデータはクラウド上で安全か?」という問いに対し、回答者の62%は、進化し続けるセキュリティ需要に対応するため、従業員の資格取得と並行してクラウドネイティブなセキュリティ技術に投資しています。
ビッグデータの爆発的な増加に伴い、パブリック、プライベート、またはハイブリッドを問わず、クラウドへの移行はほぼ避けられない状況です。今後3年間で生成されるデータ量は、過去30年間を合わせた量よりも多くなると予測されており、クラウド技術はあらゆる場所に浸透するでしょう。したがって、組織がスケーラビリティ、俊敏性の向上、TCOの削減といったクラウド技術のメリットを認識する中で、クラウドセキュリティを信頼できる能力もまた不可欠となります。
同じISC2のレポートでは、回答者の78%が、自分自身やチームがクラウド環境で運用するための備えができていないと考えています。ここで、必要なスキルと専門知識を備えた信頼できるクラウドプロバイダーが、クラウドデータのセキュリティに関する懸念に対処することができます。
- 深い技術的ノウハウ:企業が確立された社内ITリソースを持っている場合でも、それらの部門はビジネスの多くの側面を管理していますが、必ずしもクラウドサイバーセキュリティの専門家であるとは限りません。主要なクラウドプロバイダーは、クラウド内のデータ保護のみを専門とする高度な資格を持つ専門家の大規模なチームを擁しています。彼らは、ダイナミックかつ急速に進歩するクラウドセキュリティツールやサービスの最前線におり、より強固なセキュリティ対策を提案・実施し、比類のないレベルの専門知識を提供できます。
- リスク軽減戦略:クラウドプロバイダーは、最新のクラウドセキュリティ技術を取り入れるだけでなく、画期的な自動化やAIも活用します。漏洩が発生する前に脅威を検出し、トラブルシューティングのための次のステップを自動的に開始する能力は、最高レベルのセキュリティをもたらします。
- 業界規制への準拠:新しい業界規制が発行されたり、既存の規制が更新されたりした際、自社のシステムが準拠しているという確信が必要です。関連する業界コンプライアンス認定を持つクラウドプロバイダーは、クライアントのシステムが常に厳格なデータセキュリティ基準を満たしていることを保証できます(例:AWS ヘルスケアコンピテンシーパートナー)。
- リアルタイムモニタリング:高度なクラウドデータおよび分析サービスを組み込むことで、レポートおよび監査機能が提供されます。潜在的な脆弱性に対するビジネスインサイトが特定され、優先順位が付けられるため、最も効果的で回復力のある安全なインフラストラクチャの構築に役立ちます。
結論:クラウドにおけるデータセキュリティは、多層的なアプローチによって達成されます。クラウドプロバイダーが最先端のクラウドセキュリティサービスを導入することで、CTOやCIOは社内のデータセキュリティ意識の向上、トレーニング、データアクセス権限ポリシーに集中できるようになります。データセキュリティを最大化するためのこの共同アプローチは、クラウド導入の障壁を取り除き、今日利用可能な強力なクラウドセキュリティ技術への信頼を築くのに役立ちます。
SourceFuseがいかにして、コンプライアンスに準拠したクラウドデータセキュリティサービスの安心感を提供し、お客様がコアビジネスのイノベーションに集中できるようにしているかをご覧ください。
