企業が有する重要なデータへの不正アクセスや、システム障害などによるデータ漏えい、そしてデータ消失トラブルなどからデータを守るためには、データ保護が欠かせません。本記事では、データ保護の重要性や必要とされている理由、保護を実現するために検討すべきポイントについて解説します。
データ保護の重要性
データ保護とは、不正なアクセスや、システム障害・災害などからデータを守ることです。データ利用が急拡大する現在、データの消失は企業に大きな影響を与えます。過去には各国で情報が流出したケースもあり、プライバシーを守る取り組みは企業の信頼に関わるものとなりました。現代では、データの管理問題が社会問題化しており、不祥事が発生すると企業への信頼度が低下し、BCP(事業継続計画)にも影響を及ぼす可能性があります。
データ保護法とは、企業が守るべきデータ保護に関する法律です。EUでは1995年には「EUデータ保護指令」が採択、さらに2018年に「EU一般データ保護規則」、英語では「GDPR」、が施行されました。EU一般データ保護規則は、EU加盟国の個人データ保護のための規制です。状況により、資格は不要ですがデータ保護責任者(DPO)を選任します。
GDPRは、EU域外の企業でもEU域内に拠点がある場合や、EU域内の個人のデータを扱う企業に適用されます。GDPR適用の場合、日本国内の企業がEU域内企業と契約してデータ取得委託の委託契約(DPA)を結び、委託先が情報漏えいした場合、委託元の企業が監督当局に通知しなければなりません。
各国のデータ保護法令には、韓国の「PIPA」、中国の「CSL」、イスラエルの「PPDS」、ブラジルの「LGPD」などがあります。
アメリカでは統一した法令がなく、カナダ、オーストラリア、シンガポール、香港、タイ、ベトナム、ロシアなどが参加するAPECの「越境プライバシールールシステム」に同意しています。
また、中国では、医薬品の開発試験データ保護制度に関する法案が2018年に公表されました。これにより、特許庁が定める特許制度同様に、薬事制度でも新薬の特許有効期間中ジェネリック薬が販売された場合、特許侵害に該当します。新薬には5年ほど再審査期間があり、不正競争防止法により独占販売の権利が守られます。
米国ではバイオ医薬品の簡易申請を認めた「BPCIA」が成立してから、申請方法が簡略化され、権利保護体制が強化されました。
金融業界でも、金融庁による「ブロックチェーン技術等を用いたデジタルアイデンティティの活用に関する研究」では、デジタル化の急速な進化、分散台帳技術のブロックチェーンが注目され、さらなる技術開発に取り組む動向がみられます。
https://www.fsa.go.jp/policy/bgin/ResearchPaper_NRI_ja.pdf
日本では、2005年には個人情報保護法が施行され、さらに改正個人情報保護法が2017年に施行されています。
https://www.johokokai.metro.tokyo.lg.jp/kojinjoho/hogohou/index.html
千葉県では県としても個人情報保護制度を条例で取り入れています。また、データ保護法がわかりやすく書かれたデータ保護法ガイドブックが頒布されるなど、データ保護への関心は広まっています。
データ保護は緊急の課題
ヴィーム・ソフトウェアデータはプロテクションレポート2021により、世界全体の14%、日本においては15%のデータがバックアップされておらず、世界全体の58%はデータ復旧に失敗していると発表しました。
https://www.veeam.com/jp/wp-executive-brief-2021.html
この発表は、外付けHDD、USBメモリ、フラッシュメモリなどに保存していてもリストアできないリスクを示しています。
マイクロソフトのMicrosoft365(旧Office365)データの保護も課題のひとつです。ExcelやWord、Exchange、SharePoint、OneDrive、Teamsなど多くのソフトがあり、エクセルなどの共有ファイルは、複数のPC、タブレット、iPhoneなどのスマホから接続し、同時のセル入力も可能です。ただし、共有するMicrosoft365のデータについて、OneDriveへの保管ではデータ破損後リカバリーができません。Google Workspace、サイボウズが提供するkintone、ServiceNow、Azure DevOpsなどのプラットフォームも同様です。
また、SaaSにはスプレッドシート、カレンダーなどのツールが使えるGoogle、Salesforce、オラクルの Cloud Infrastructureなどもあり、データ保護はSaaSサービスで行います。セールスフォースの場合、Sandbox、APIツールなどの利用でバックアップ・復元が可能です。ベンダーがデータ管理するケースは、AWS、GCP、Azure files、Nutanix Filesなどのパブリッククラウドなどの利用時です。
また、PCの紛失による情報漏えいにも注意が必要です。Windows10 Pro以上であれば、内蔵ストレージを暗号化する「BitLocker」機能、officeデータを人的ミスなどから保護するAIP、WIPなどが有効です。WIPは設定により領域外へのコピーなどを防げます。
最適なデータ保護を実現するために検討すべきポイント
最適なデータ保護は、バックアップやランサムウェア対策、BCP対策などで行えます。データ消失時にすぐ復旧し、企業活動への影響を最小限に抑えるためには、ポイントを押さえて対策することが大切です。
バックアップをどのようにとるのか
バックアップの手法には、主にいつの時点まで復元するか定める「RPO」と、復旧までに必要な時間の目標値「RTO」があります。データ破損後、直前の状態まで復元し、可用性を高度に維持するための環境構築にはコストがかかります。種類や性質により被害を抑えたいデータなどは、重要性やコストを勘案して決定しましょう。
ランサムウェア対策はとれているか
バックアップの感染防止には、ノートンなどのセキュリティソフト導入や、アクセス制御によるID・パスワード設定、また、サイバネットのNetskope、NetAppのONTAPなど、CASB利用も適しています。ゼロトラストにより、CASBを活用し社内の使用方法や、セキュリティポリシーについて監査し対策できます。
PCから直接アクセスできるメモリや外付けHDDなどへの保存には感染リスクがあります。感染したPCのWindowsやiOSなどのOSからアクセス不可能な場所へ保管するか、サーバクライアント型でバックアップする必要があります。
OSの破損には、バックアップの長期保管、RAIDでファイルやアイテム単位で保存するなどの手法が適しています。仮想HDDとして運用できるDroboなどの導入でRAIDを簡単に構築できます。
感染対策には、2箇所以上への保存も有効です。ボリュームあるデータの保管ができるNetApp、日立システムズのNutanix、HPのNimble、デル(DELL)のEMC SCなど、ハイブリッドクラウド対応サーバー、またはNASの導入がおすすめです。
BCP対策ができているか
災害時にデータ管理インフラに影響が及ぶと、データ被害も甚大になります。データの消失は事業継続の停止に直結しうるため、遠隔地にデータ保存するなどのBCP対策が必要です。
企業データは、テープにバックアップをとり遠隔地に保存するテープ保管、遠隔地のストレージに同期するストレージミラーリング、月額費用を支払って保存場所を確保するパブリッククラウドなどの方法で遠隔地に保存できます。停電対策にはバッテリーの準備もあると安心です。
NetAppで強固なデータ保護を実現
NetAppのONTAPはアプライアンスOSです。ウェブブラウザで管理画面から簡単に設定できる操作性の高さ、最小限の処理や負荷で行える拡張性と管理性が特徴です。バックアップ、リストア、データ複製・DR、サイト間ミラー構成などのデータ保護機能で企業の重要なデータを強固に守ります。
まとめ
データ保護とは、不正アクセスやシステム障害、災害などのトラブル時にデータを消失から守ることです。近年では、EUのGDPR、韓国のPIPAなどのデータ保護法令が制定されるなど、世界的にデータ保護を重視する動きがみられます。
データが消失すると業務の継続が困難になり、BCPにも影響がでる恐れがあります。システム障害、データ消失から復旧するまでの損失を抑えて、企業の健全な経営を守るためには、重要なデータの消失に備えてバックアップ環境を構築するなどの対策が必要です。
