「データは21世紀の石油」という言葉もある通り、現在データの活用においては、現在政府や企業主導で様々な取り組みが行われています。政府や自治体主導では、Society 5.0を実現するための データ利活用型スマートシティ推進、そして情報銀行によるデータ流通ビジネスなど、今後もますますビジネスや様々な分野でデータの利活用がより活発になされることが予想されています。
本稿では、DX時代にデータを活用するにあたって、必要とされるセキュリティ対策について解説します。
データ活用に立ちはだかる『DXに対する誤解』とは
データに関する話をする前に、まずDXとは何か、考えてみましょう。DXに対する重要な手掛かりとなる言葉として、「Digitization(デジタイゼーション)」と「Digitalization(デジタライゼーション)」の2つが挙げられます。どちらの言葉もデジタル化を達成しようとする行動を指し示していますが、前者の「Digitization」は業務の無駄をなくして能率の向上をはかることを目的としたペーパーレスや自動化などをする単なるデジタル化と言えるため、その目標を一言で表現してみるとデジタルトランスフォーメーションというよりは、むしろデジタルオプティマイゼーションの方が適しています。
一方の「Digitalization」は影響のある範囲をとても広くとらえており、全く新しいデジタルサービスや顧客コミュニケーションを新しくつくり出して、古い固定観念のビジネスモデルを大きく変えることによって、会社が取り組んでいる事業が今までなかったものを将来にわたって作り出す経済的価値や、企業ブランドと顧客との間で生じる一連のやりとりを通じて意識的・無意識的に得る満足度を向上させることを目指しているため、「デジタル化による変革」つまり文字に書かれたとおりに全く誇張ではないデジタルトランスフォーメーションをあるべき姿に据えています。
セキュリティ対策を効率化するデータ中心型セキュリティ
ビジネスにおけるデータの重要度が上昇することに伴い、企業におけるデータ保有の危険性も確実に増加しているため、99%の情報セキュリティ事故はデータに関連して発生しています。情報漏洩事故で企業が負担すべき損害賠償額は平均1件あたり3億円以上で、その額は経営的に決して無視できるものではありませんが、データの活用が広がりを見せる中での管理徹底が難しさを増していることも事実です。 こういった状況を根本から見直す改善策として「データ中心型セキュリティ」が挙げられます。
情報セキュリティに関連するシステムの管理手法が入り組んでいて、簡単に理解できないために関連する費用も増大しています。従来ならば業務データはデータベースに格納されており、すみずみまで対策が行き届いていることによって、危険がなく安心であることの度合いを担保できるとされ、ストレージ暗号化・データベース暗号化・ファイルシステム暗号化といった多種多様なITスタックにおいて個別のセキュリティを適用してきました。
実際にはそれぞれのスタックにおいて個別にセキュリティをかけていても、個別のITスタックが稼働している間や別のITスタックへ移動するまでの間データは丸裸で利用可能となります。ファイルシステムにおいて暗号化していたとしても、マルウェアが感染することによってデータを容易に持ち出されてしまう状況が発生します。なおいっそう深刻なことがひとたび社外のクラウド上へデータが持ち出された場合には、そのデータは危険に対する備えがない状態となってしまうため、クラウドベンダーが情報を漏洩した場合には何も対策できません。
これまでの暗号化では一つの管理単位の中に様々な要素が含まれているため、1つのデータを読み込むには全体を復号してから利用しなければなりません。また暗号文はそれ自体が見た限りでは無意味なデータに見えるため、既存のアプリケーションでは利用できず、既存のデータベースの構造を変更する必要が出てきました。こうした状況の中でデータ所有に深く関係しているリスクを低減する答えがデータを中心に据えた対策を意味する「データセキュリティ」です。
これまでのようにポイントごとにデータを暗号化するソリューションでは、今となっては構造が複雑となったサイバー攻撃に対して、脆弱の程度がこの上なく甚だしいために全体のパフォーマンスが低下してしまいます。そこでデータベースなどで個々のデータに割り当てられた単位で暗号化して認証をかけることによって、本当に欠かすことのできないデータだけを復号できるため、データに最も近い部分でセキュリティをかけられます。また、暗号化したデータそのものが元のデータと同じレベルの利便性を持ち続けることが、データ中心型のセキュリティの大きな特徴です。
データの『無害化』によって価値そのものを消滅
データセキュリティを実現するためには、暗号化の技術によってデータを当事者以外の人が理解できない形に変換することによって、データの価値そのものを消滅させることです。つまりデータを『無害化』することによって、データが外部に持ち出されたとしても、演算などによって解析して本来の形に戻せなくなるため、社内および社外に影響を及ぼさない構造を整備できるということです。
サイバー攻撃が急激に発展を遂げている背景には、不正に入手したデータを売買するような闇市場の存在がありますが、重要な資産を保護してダメージを最小化するという観点においては、闇市場によって構築された共通の収益環境を破壊することに貢献します。また組織の保存されたデータに対する暗号化のコントロールを自動化するという点においては、セキュアなアプライアンスでデータ暗号鍵の生成、保存、処理、制御、および鍵へのアクセスの監査ができます。
暗号化は広く行き渡っている技術であるため、現在においては無料のツールも数多く存在していますが、このような暗号化ツールの課題として指摘されていることは、鍵管理の煩雑さから一般的に鍵が暗号化先の機器に一緒に保管されてしまうため、データと暗号化鍵が同じ場所にあることによる脆弱性を払拭できないことです。
しかし、鍵管理のセキュリティを高くすることによって、クラウドを含めた多様なデータの保管先とも連携可能であるため、ローカルの環境で鍵管理することも可能となります。情報を抽出してコンピュータで読み取れるデータに変換するプロセスの時点から、データベース管理システム(DBMS)におけるデータ処理までを暗号化することを保障することによって、中間業者では復号を全く行わないためにシステム監査費用の削減につながるものとして注目されています。
データ活用を成功へ導くためにはデータの組織的管理が 不可欠
DX時代に似つかわしいデータ活用を実現するには、システム面以上に組織面での取り組みが重要な鍵を握ることになります。業務部門とIT部門は多種多様のデータ活用に関して解決するべき問題をおのおので抱え込んでいますが、データ管理組織を実現する可能性が非常に低いことが課題となっています。ほとんどの場合、IT部門や業務部門が上下関係を中心にデータを管理しているため、全社を横断してデータを管理する役割が存在しません。これをすることがまさしく『データ管理の取り組み』ですが、そのための専任組織がないためにデータ管理自体が企業になかなか定着しない現状となっています。
現在多くの企業において可能な限り早くデジタルツールの導入が進められています。そもそもIT部門の指示や管理によって、経営的観点から全社的に適正に取り組むことを配慮しながらツールの導入を進めることが理想にかなっていますが、実際には各部門が他部門とは関係なくツール導入の内容を見極めて結論を下してしまうケースが多くなっています。このような状態を現状のまま放置しておけば、いずれ社内で多種多様なツールが乱立してしまうことによってデータの整合性が取れなくなるため、結果的にDXの実現からは逆に疎遠になってしまいます。
過去に基幹システムの分野ではオープン化をきっかけとして、多くのシステムが乱雑に立ち並ぶようになり『データのスパゲッティ化』問題が発生しました。この問題を解決するために、統合基幹業務システム(ERP)を使用してデータを統一的に管理してきたわけですが、DXをきっかけとして同じ問題が再発しようとしています。このままいけば、過去と同様に『データのスパゲッティ化』が勢いよく進行することによって、挙げ句の果てには再び大規模な統合の仕組みを導入しなければ他に打つ手がなくなってしまいます。
こういった不遇な歴史を繰り返さないためにもデータ管理組織を設けることが不可欠となります。人を管理するためには人事部があり、金を管理する専門組織としては経理部が存在します。さらに物品を管理する専門組織としては物流部門や倉庫部門があります。従ってデータを管理するための専門組織が本来はあって然るべきというわけです。
さいごに
データ活用が重要で注目に値するということは、ITの世界では遥か前の時点から具体的に取り上げて指し示されており、IT技術者ばかりでなく企業の経営者やセールス・マーケティング分野の専門家の間でも熱心に語られるようになってきました。そして、今後やってくる時代に企業がビジネスを維持しつつ規模を拡大させていくためには、データ活用が必須であると言われています。
今データ活用に積極的に取り組んでいる企業であれば、本記事を参考に、データマネジメントやセキュリティに取り組みを進めていきましょう。
データ暗号化ソリューション「D'Amo」