解説：2021年にデータセキュリティとプライバシーを優先すべき理由

多すぎるツール

大規模なデータ漏洩が発生するとセキュリティとプライバシー保護について改善の必要性が認識されますが、それを効果的なアプローチで進める際に最大の障壁の１つが、多すぎるツール群です。

プロティビティセキュリティプライバシー部門のマネージングディレクタ兼グローバルリードであるTerry Jostは次のように述べています。
「現在、企業は平均75個ものセキュリティツールを使っており、運用が複雑になってしまうことでセキュリティとプライバシー保護における運用リスクをもたらしています。こうした沢山のツールは、サイバーセキュリティやプライバシーに対する脅威の深刻化への対応に必要なため導入されましたが、今後各組織は、現在のシステムやモデルを再構築し、ツールを大幅に統合してツールベンダーの数を減らすことで、これらの脅威を管理するために、より継続可能で理解可能なソリューションを作っていくようになると想定しています。」

プロティビティイタリアのテクノロジーコンサルティング部門のマネージングディレクタであるEnrico Ferrettiも同様の見解を述べています。
「サイバーセキュリティにどれだけのリソースを割いているかだけが問題なのではありません。それらのリソースが有効に使われているか、また、使われているツールが最適なものかが重要です。投資したテクノロジーを最適に活用できていないため、本来のメリットを得られない組織を私は多く目にしています。CIOやCISOの主な2021年の目標の一つは、サイバーセキュリティのアプローチを、予防、検知、対応の3つのフェーズ全てにおいて効果的なものにすることです。予防策に注力する一方で、インシデントの検知・対応プロセスやテクノロジーの整備が手薄になる組織が多くあります。この場合、インシデントの発見に数週間から数ヶ月後を要し、その間にデータが失われ、取り返しのつかない状態に陥ります。」 

ユースケースとゼロトラスト 

プロティビティのプライバシープラクティスを担当するManisha Agarwal-Shahは、適切なツールやプロセスを導入するためには、ユースケースを検討することが最も効果的であると述べています。
「 『当社には4つほどの技術的ソリューションがあります。プライバシー保護に関する私の責任を果たすためには、これらをどのように利用していくのが効率的か、理解するのを手伝ってくれますか。』とクライアントから依頼されることが多々あります。2021年には、コスト意識の高い企業にとって、プライバシー保護に関するニーズを満たすために必要なすべてのユースケースを評価・検討することが重要です。クライアントには、『自社の目的達成のために既存の技術がどのように実装されているか、そのサービスを提供するにはどのようなテクノロジーがほかに利用可能で、それにより実際どれぐらい目的を達成できるのか』を検討することをお勧めしています。組織によっては、それらのユースケースの80％がすでに十分に満たされていることに気づくかもしれません。また、組織がデータをどのように統制し、管理するかも重要です。2021年には、単に利用可能なソリューションの中で最もコスト効率の良いものを選ぶことにとらわれるのではなく、現在どのような種類のテクノロジーが必要なのか大局的な意思決定をすることが重要です。テクノロジーの責任者は、単なるコスト削減の決定ではなく、良質な意思決定を行うことを望んでいます。」

ユーザーデータの管理と保護のために、法的に要求され文書化されたプロセスと、既存または新規のテクノロジーとの整合性は、ビジネス、IT、法務の関係者の間に断絶をもたらすケースがあります。テクノロジーは、ガバナンスを犠牲にすることなくビジネス上の要求をサポートする形で、どのようにコンプライアンスを促進することができるのでしょうか。ロバートハーフリーガル社のプライバシーコンサルティング部門のマネージングディレクタであるJoel Wuesthoffは次のように述べています。
「人、プロセス、テクノロジーは、首尾一貫して機能しなければなりません。規制当局は、テクノロジープラットフォームの特定の機能範囲内でのみコンプライアンス義務を果たしている企業を良しとしません。」

また、マネージングディレクタ兼テクノロジーコンサルティングイノベーションリーダーのCurt Daltonは次のように述べています。
「ゼロトラストアーキテクチャ、あるいは、保護すべきデータの近くに保護機能をシフトさせるアプローチが浸透してきています。ゼロトラストとは、保護機能をデータの近くに移す方法の１つです。ゼロトラストでは、利用者の状況やIT環境等のコンテクスト情報を使うことでリスクベースの意思決定を行えるようにします。今後は、ゼロトラストに向けたステップを踏み、環境内から信頼を取り除いていく企業が増えてくるでしょう。すべてはデータを守るためであり、よりコンテクスト情報を活用できるようにすることで、データ保護を最適に行うための意思決定が行えるようになります。」

Ferretiは次のように付け加えています。
「企業データへのアクセスや処理に、信頼されていない（管理外の）メディアやデバイスが使用されるケースが増加しています。ユーザーやデータ側に様々なセキュリティ機構を施しつつ、今日すでに一般的となったリモートワークに使用されるデバイスのケースがそうであるように、インフラやデバイスが安全ではない可能性があることを想定する、ゼロトラストアーキテクチャアプローチの導入が加速するでしょう。また、データの分類と保護、および高度な認証技術の導入が拡大していくと考えられます。インシデントの検出と対応能力を向上させるために、セキュリティとモニタリングの技術は、特に相関分析やATP（Advanced Threat Protection）などの高度な機能が統合されたものがより広く採用されると思われます。」

自動化による生産性の持続的向上  

Ferrettiは、データがクラウドで保有されるようになったこと、また、データ所有者の権利に関して人々の認識が高まったことにより、企業が顧客やその他のステークホルダーのプライバシー問題に対応するために、より多くのリソースを必要としていると考えています。2021年には、このようなプロセスを持続的に維持するために、自動化が重要な要素となります。さらに、規制当局がデータ転送をコントロールするために企業に求めている対応策の実現のためには、さらなる暗号化やマスキング技術の導入が必要です。  

Jostは、AIやRPA等のハイパーオートメーションの活用やタスクを本格的な自動化プロセスへ移行する企業が増えることを予測しています。また、ロボティクス技術の導入は新たな段階へと進み、自動化の幅は広がり、ビジネスエコシステムの自動化が実現可能になると予測しています。  

また、「企業はバックエンドのコンプライアンス対応ではなく、本業に集中できるようにリソースを振り向けたいと考えています。テクノロジーを活用せずにコンプライアンスを運用するのは非常に面倒であるため、各組織は徐々にマネージドサービスのモデルへ移行しつつあります。つい先日もあるお客様から、プライバシーに関する要件（プライバシー影響評価:PIA、情報の特定・棚卸、データ主体によるアクセス要求:DSARへの対応）に対応するために、49か国以上におけるバックエンド処理の運用を当社にご依頼いただきました」とAgarwal-Shahは述べています。  

セキュリティとプライバシーの状況がさらに変化していくことにより、今年もテクノロジーの責任者は対応に追われることになることでしょう。
プロティビティが提供するサイバーセキュリティとプライバシーに関するサービスについては、問い合わせボタンよりお問い合わせください。

（2021年1月19日）

英語版ブログ「Why Data Security and Privacy Must be a Priority in 2021」へのリンクはこちら