目次:
デッドペリメーター、永続的な敵、クラウド、モビリティ、独自デバイスの持ち込み(BYOD)のおかげで、データ中心のセキュリティが不可欠です。 データ中心のセキュリティの原則は単純です。ネットワークが危険にさらされたり、モバイルデバイスが紛失または盗難にあった場合、データは保護されます。 このパラダイムシフトを受け入れる組織は、従来のソリューションを超えてデータセキュリティに制御と可視性を追加する必要性を認識しています。 データ中心のセキュリティに関するこの進化したビューを採用することで、あらゆるレベルの組織が機密データを保護し、データがどこにあるかに関係なく事実上テザリングできます。
データ中心のセキュリティソリューションは、従来、内向きであり、組織のドメイン内のデータを収集および保存する際の保護に重点を置いてきました。 ただし、データは組織の中心から離れる方向に移動しており、クラウドやモビリティなどの巨大なトレンドはプロセスを加速しているだけです。 効果的なデータ中心のセキュリティは、組織の中心から離れて共有および消費されるデータを保護します。 これには、ドメイン境界を超えたアドホックな関係が含まれ、顧客やパートナーとの安全なやり取りが可能になります。 (ITセキュリティの背景を読んでください。ITセキュリティの7つの基本原則をお試しください。)
データ中心のセキュリティの3つの重要な真実
データ中心のセキュリティの進化したビューは、セキュリティを効果的に実装する方法を示す3つの重要な真実に基づいています。- データは、あなたが知らない場所に行き、コントロールできず、ますます信頼できなくなります。 これは、通常の処理過程、ユーザーのエラーまたは自己満足、または悪意のある活動を通じて発生します。 データの行き先は信頼できない可能性があるため、ネットワーク、デバイス、またはアプリケーションのセキュリティに依存してそのデータを保護することはできません。
- データを保護するには、暗号化だけでは不十分です。
暗号化は、発信者がキーを許可する条件を定義し、状況に応じてそれらの制御を変更できるようにする永続的で適応可能なアクセス制御と組み合わせる必要があります。
- 誰がいつ、何回保護データにアクセスするかを包括的かつ詳細に可視化する必要があります。
この詳細な可視性により、規制要件の監査可能性が確保され、使用パターンと潜在的な問題に対する広範な洞察のための分析が強化され、結果として制御が向上します。
データ:ああ、行く場所
最初の真実から始めて、重要で実用的な運用標準を結論付けることができます。データ中心のセキュリティを有効にするには、データを発信元で保護する必要があります。 プロセスの最初のステップとしてデータが暗号化されている場合、データがどこに行くのか、どのネットワーク上を移動するのか、最終的にどこにあるのかにかかわらず安全です。 そうでなければ、情報が発信者の注意を離れる時点から、およびそのコピーが存在する限り、すべてのコンピューター、すべてのネットワーク接続、およびすべての人の信頼が必要です。
起点でデータを保護することは大きな前提です。データ中心のセキュリティソリューションは、どこにいてもデータを保護できる必要があります。 最初の真実が示すように、データとその多くの自然に作成されたコピーは、モバイルデバイス、パーソナルデバイス、クラウドなど、多くの場所に移動します。 効果的なソリューションは、デバイス、アプリケーション、またはネットワークから独立したデータを保護する必要があります。 そのデータは、その形式や場所に関係なく、また、データが静止しているか、動いているか、使用中かに関係なく保護する必要があります。 境界の境界を超えて容易に拡張でき、アドホックダイアログを保護できる必要があります。
これは、市場で利用可能な多くのポイントおよび機能固有のデータ中心のセキュリティソリューションを停止して検討するのに役立つ場所です。 本質的に、これらのソリューションは保護のサイロを作成します。最初の重要な真実が示すように、データが運用範囲外のどこかに存在するためです。 これらのソリューションには必要なユビキタスな保護が欠けているため、代理店や企業は複数のサイロを建設せざるを得ません。 しかし、これらの複数のサイロの最善の努力にもかかわらず、結果は予測可能です。データは依然としてギャップの間に収まります。 そして、これらのギャップは、外部の敵や悪意のある内部関係者が脆弱性を悪用してデータを盗むのを待ち構えている場所です。 さらに、各サイロは、関連するソリューションの取得、実装、およびサポートにおける実際のコストと、複数のソリューションを管理する運用上の負担を表しています。 (思考の糧:多くの企業が見落とすデータセキュリティギャップ)
データの暗号化だけでは不十分
2番目の真実は、暗号化だけでは不十分であり、きめ細かく永続的な制御と組み合わせる必要があることを示しています。 コンテンツを共有する行為は、コンテンツの制御を事実上放棄し、受信者がデータの共同所有者になります。 コントロールにより、発信者は、ファイルにアクセスするためのキーを受信者に付与する条件を設定し、データにアクセスした後に受信者ができることを指示するオプションを有効にすることができます。 これには、受信者がファイルを保存したり、コンテンツをコピー/貼り付けしたり、ファイルを印刷したりできない表示専用機能を提供するオプションが含まれます。
「永続的」という用語は、効果的なデータ中心のセキュリティに必要なアクセス制御の重要な特性です。 データは、発信者に事実上拘束されたままであり、発信者はいつでもアクセスを取り消すか、アクセス条件を変更することで、要件や脅威の変化に対応できます。 これらの変更は、データのすべてのコピーがどこにあっても即座に適用する必要があります。 最初の真実は、データが発信者が知らない場所、または制御できない場所にある可能性があることを思い出してください。 したがって、データが存在する場所や関連するデバイスへの物理的なアクセスに関する事前の知識は想定できません。 永続制御には、紛失または盗難にあったデバイスのデータの失効に対処するという追加のボーナスがあります。これらのデバイスは、ネットワークに再び接続することはないでしょう。
適応性は、競合するソリューションを同時に差別化し、統一されたユビキタスなアプローチのケースをサポートする重要な機能です。 すべてのデータ中心のセキュリティソリューションが平等に作成されているわけではありません。一部のユーザーは、モビリティ、クラウド、およびインターネットの広範な採用の前に発明された暗号化方法を使用しています。 これらの方法では、データが暗号化された時点でアクセス制御が設定されますが、永続的な制御に伴う利点がありません。
データに誰が、いつ、何回アクセスしますか?
効果的なデータ中心のセキュリティの3番目の真実は、包括的な可視性と監査機能の絶対的な必要性です。 これには、許可および非許可の各データオブジェクトのすべてのアクセスアクティビティの可視性が含まれます。 また、境界の内側と外側のあらゆるデータ型に対する可視性も含まれます。 包括的な監査データと否認防止により、組織は誰がいつ、どのくらいの頻度でデータを使用しているかを知ることができます。 可視性により制御が強化され、組織は情報を盗み出すための容赦ない試みに対して迅速かつ十分な情報に基づいた応答を行うことができます。 この可視性は、組織のより広範なセキュリティエコシステムにまで広がり、セキュリティ情報およびイベント管理(SIEM)ツールと運用分析にデータを提供する必要があります。 また、相関と分析により、悪意のある可能性のあるインサイダーの特定などの洞察が得られます。
あなたは破られるでしょう。 ITセキュリティ防御のすべての層が侵害される可能性があります。 組織は、機密データや知的財産を保護するために境界セキュリティに依存することができなくなりました。 機密情報を保護するための代替アプローチを検討する必要があります。 多くのデータ中心のセキュリティソリューションが、モビリティ、BYOD、クラウドおよびWebベースのエクストラドメインインタラクションの前に構築されたため、苦労しているのは境界防御だけではありません。 組織は、進化を遂げたデータ中心のセキュリティソリューションに目を向け、今日の急速に変化する非常に複雑なコンピューティング環境でデータを保護するという厳しい真実に完全に対処する必要があります。
