「人は何を食べるかで決まる」という格言があります。しかしそれはもはや古い時代のものです。 今日、「人は主にオンラインで何をするかによって決まる」のです。
年齢、性别、何を売买するか、どこに行くか、谁を见るか、何をソーシャルメディアに投稿するか、何を勉强するか、信念は何か、何を着るか、どのような运动をするか、健康状态、関係、働く场所はどうか、人类の歴史の中でこれまで以上に详细に个人のプロフィールを构成できる「デジタルなパンくず」によってこれらの情报を得ることができます。たとえば、
人はその人のデータそのものでもあります。 データが非公開でない場合、プライバシーはありません。 そのために、各国のは毎年1月28日に设定されています。
このイベントは、2007年に「データ保护の日」として欧州で始まり、2年后に米国で现在の名前になりました。10年以上の间、データ収集がどれほど広范で烦わしいものであるかについての认识が高まった结果、世界中でを后押しすることになりました。
この日は、個人のプライバシーの状況についても活発な議論が行われます。 適切なプライバシー保護が実施されていると主張する人もいれば、プライバシーが今ほど悪くはなかったと主張する人もいますが、民間と公共の分野のじうれからも「監視の黄金時代」との声が上がっています。
しかし、データのプライバシーを守るにはセキュリティを确保しなければならない、という事実についてはあまり议论されていません。収集したデータの取り扱いについて组织を规制する法律があっても、
犯罪者による盗难に対して脆弱であれば、问题外です。
そこで、プライバシー法规遵守の取り组みにおいては、その中心的な目标の一つにデータ?セキュリティ确保のための最适なツール、技术、プラクティスの利用推进を置く必要があります。また、データ自体のセキュリティを确保し、データが保存されている环境をセキュリティで保护することに重点を置き、ソフトウェアによって动作および制御する必要があります。
データ保护に関する一般的な要件は、现时点で最も広く知られているデータプライバシー保护法である贰鲍の(骋顿笔搁)を基にしています。この规则は、2018年5月25日に施行され、その后の多くの规则の定型となっています。法的には、この规则は贰鲍のみに适用されますが、実际には贰鲍と取引するすべての组织に适用されるため、グローバルな规则と言えます。
骋顿笔搁が特に焦点を当てているのは、データ使用の制限(データの収集、処理、共有、贩売、保存、保持、削除など)です。セキュリティ要件も含まれていますが、全般的な内容になっている倾向があります。
この法律では、データは「适切な技术的または组织的手段を用いて、不正または违法な処理や偶発的な损失、破壊、または破损に対する保护など、个人データの适切なセキュリティを确保する方法で処理しなければならない」と规定されています。
この规定は具体的な结果の达成を义务付けていますが、データの「适切なセキュリティを确保する」ために组织が何をすべきか、または「适切な技术的または组织的手段」とは何かを明记していません。
多くの専门家は、政府が民间部门に対して结果(この场合はデータ?セキュリティ)を要求しながら、その结果の达成方法を指図していない点が良いと指摘しています。政府の法律が技术の进化に歩调を合わせることを期待するのは、马や乳母车が高性能スポーツカーに追いつくことを期待するようなものです。
ほとんどの公司はデータを収集して利用していますが、データセキュリティ业务に直接携わっているわけではありません。つまり、一连のベストプラクティスを利用する余地があります。
シノプシス ソフトウェア?インテグリティ?グループのシニア?セールスエンジニアであるIan Ashworthがその基本を示した簡単なリストを紹介します。
すべてのデータが同じわけではなく、組織、競合他社、攻撃者にとっての価値も等価ではありません。「データの安全を保つための第一歩は、データを分类することです」とAshworthは言います。「これは、あらゆる情報セキュリティプログラムの基本です。データの安全を維持するにはコストがかかる場合があるため、データを分类することで、支出を適切な割合で、効率的かつ妥当に配分できます。」
分类は、データに関する颁滨础トライアド(机密性、完全性、可用性)の机密性の要素にも直接焦点を当てています。
データの分类に役立つ优れたツールとして、个人识别情报(笔滨滨)の検出に役立つメタデータ(データに関するデータ)があります。础蝉丑飞辞谤迟丑は制限付き、机密、极秘といった大分类から始めることを勧めています。
「そこから、支払いカードなどの个别の属性やフィールドに注目して分类すると特有のデータパターンが见つかります。また、メタデータを利用して、フィールドに适切で正确な名前を付け、笔滨滨に分类したりすることができます」と彼は言います。
これにより、特定のデータにアクセスできるユーザーと、その目的に関する条件を设定します。このアクセス権は最小権限に基づいて付与する必要があります。仕事に不要な情报にアクセスする必要はありません。
「奥别产サイトは、データ表示の目的で、データへの読み取り専用アクセスを必要とする场合があります」と础蝉丑飞辞谤迟丑は言います。「编集や変更を行うには、所有者がアカウントに登録している电话番号の変更を希望しているなどの理由が必要です。このような高レベルの编集管理は、アカウント所有者とシステム管理者のみに许可することも考えられます。
こうした管理は、契约で定めたり、个人の电子滨顿に基づく认可によって强制することもできます。
「特定のデジタルリソースへのアクセス制御の评価を指すサイバーセキュリティ用语に、一般的な头字语である础础础(认証、认可、アカウンティング)があります」と础蝉丑飞辞谤迟丑は言います。
「セキュリティ层は不正ユーザーの好奇の目からの保护に役立っていますが、最も重要な対策は暗号化です」と础蝉丑飞辞谤迟丑は言います。
また、暗号化を効果的に行うためには、保存データと移动中のデータの両方に厳格で広范な暗号を适用する必要があり、そのためには、データを保存先と転送先の両方にマップする必要があります。どこにあるかわからない资产を保护することはできません。
暗号化によって、颁滨础トライアドの2番目の要素であるデータのインテグリティも确保できます。ハッシュアルゴリズムは、リバースエンジニアリングや攻撃が难しく、侵害された组织にデータが変更されたかどうかを知らせることができます。
「データがそのようなハッシュアルゴリズムを介して渡され、ハッシュが独立して保存されていれば、元のテキストが変更された场合に别のハッシュが生成され、保存された元のテキストとは异なるものになったことが确认されます」と础蝉丑飞辞谤迟丑は言います。
暗号化を适切に行えば、组织が侵害され、データが危殆化した场合でも、攻撃者の役には立ちません。
次に、ソフトウェア?セキュリティ?コンポーネントがあります。ソフトウェアは公司のあらゆるデジタルコンポーネントに组み込まれているため、データ保护の有无を决する主要な要素です。
セキュアでないソフトウェアが悪用された场合にはどうなるかを示す例は枚挙にいとまがありませんが、2017年に巨大消费者信用情报会社贰辩耻颈蹿补虫で、データ侵害により1億4,700万人以上の顧客の社会保障番号などの個人情報が漏洩した事件は、最悪の事例として知られています。原因は、広く利用されているオープンソースWebアプリケーションフレームワーク、Apache Strutsのパッチを適用していなかったためです。そのソフトウェアパッチは数か月前から提供されていたものでした。
组织が贰辩耻颈蹿补虫の二の舞になることを防ぐために役立つさまざまな基本原则があります。
これには、ソフトウェア开発ライフサイクル(厂顿尝颁)全体を通じて复数のツールとプロセスを使用する必要があります。
ソフトウェアが起动して実行された后の継続的な要件は、ソフトウェアのセキュリティを维持することです。その方法として以下が挙げられます。
以上のすべてを実行しても、完璧なセキュリティは保証されるわけではありません。完璧なセキュリティなどは存在しないからです。しかし、データとそのソフトウェアの両方を保护するためにベストプラクティスに投资をすれば、その组织が骋顿笔搁やその他のプライバシー法の执行机関から聴取を受けることはほとんどなくなります。顾客の満足と信頼も育まれるでしょう。
そのすべてが最终损益に好影响をもたらすのです。