データセキュリティとは
データセキュリティとは、機密データの所在の明確化、秘匿性の確保、整合性の維持、アクセスの管理により、データのライフサイクル全般にわたる保護を目的としています。
データセキュリティのベストプラクティスとしては、機密データの暗号化、暗号鍵管理、鍵に対するアクセス制御などが求められます。
なぜ、今、データセキュリティが求められるのか
企業のIT環境の変化にともない、様々な機密データが分散され、クラウド、オンプレミスのハイブリッド環境に渡ってデータを保護する必要にせまられています。このような境界線の無い環境では、「従来型のネットワーク境界線防御では機密データを守り切ることができなくなってきており、データそのものに鍵をかける、データセキュリティ」の考え方が求められます。
企業はデータセキュリティの徹底により、「顧客信頼の維持」、「法的コンプライアンス」、「事業継続の維持」、「知的財産の保護」を実現することができます。
データ セキュリティに関わる 規制・基準
個人情報保護法
(個人情報保護委員会)
個人情報の漏洩が発生した場合、組織は個人情報保護委員会と情報が漏えいした本人に対する報告義務があります。
ガイドラインでは、暗号鍵管理を独立させた、高度な暗号化による仮名化がされている場合は報告義務は免除されるとしています。
PCI-DSS
(Payment Card Industry Data Security Standard)
PCI DSSは、クレジットカード情報および取り引き情報を保護するために、国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
政府機関等のサイバーセキュリティ対策のための統一基準
(内閣サイバーセキュリティセンター)
政府機関における情報セキュリティ対策の基本的枠組み、情報の取り扱い、情報システムのセキュリティ要件等を定めており、暗号鍵は耐タンパー性を備えた暗号化モジュールに格納すると定義されています。
データ セキュリティ ガイドライン
サイバーセキュリティ
経営ガイドライン
(経済産業省)
令和5年に公開されたサイバーセキュリティ経営ガイドラインV3.0 では、サプライチェーン全体を通じた対策推進の必要性に言及しています。
金融機関等コンピュータシステムの安全対策基準・解説書
(公益財団法人金融情報システムセンター)
安全対策基準では暗号鍵の蓄積、管理、クラウド利用における暗号鍵の所有権についての基準を定めています。
地方公共団体における住民基本台帳ネットセキュリティ
地方公共団体では住民基本台帳ネットワークにおいて、HSM(ハードウェアセキュリティモジュール)によるセキュリティ確保が求められます。
外部攻撃、環境の変化
増え続けるランサムウェア攻撃
警察庁に報告された令和4年のランサムウェア被害報告件数は前年比57.5%増の230件に登っています。特徴として、身代金支払後に盗んだデータの公開を人質とした、二重恐喝が65%を締めていると報告されています。
IT環境の複雑化による管理不徹底
タレスの2023年クラウドセキュリティ調査によると、調査対象の79%が複数のクラウドを利用していました。そして、55%がマルチクラウド環境の管理はより複雑と回答しています。
医療・介護関係事業者における個人情報の適切な取り扱いのためのガイダンス
医療・介護関係の情報は個人情報保護法における個人情報の範囲に含まれ、高度な暗号化等の必要な措置を講じて個人の権利利益を保護することが求められます。
データ セキュリティにおける注目トピック
- 【調査レポート】2024年データ脅威レポート- 重要インフラ版
- 【ホワイトペーパー】クラウドデータの保護に最適なセキュリティソリューションの選択
- 【ビデオ】タレス高速ネットワーク暗号装置
- 【オンラインセミナー】2024年9月18日(水):日経Automotive主催「オートモーティブ・セキュリティー セミナー 2024」にて講演を行います
- 2024年 クラウド セキュリティ調査レポート:クラウド全盛期におけるセキュリティの基準は?
- タレスのLuna HSMが業界初のFIPS140-3認証を取得
- 【導入事例】三菱電機㈱ 三田製作所、タレスのLuna HSMを使いECUへのSW書込みプロセスのセキュリティを強化
- 【ビデオ】PCIDSS 4.0対応:暗号化と鍵管理のスムーズな導入手法 セミナービデオ(YouTube)
- 【ニュースルーム】タレス2024年予測、量子コンピューティングが意思決定の場に登場
- 【プレス発表】タレスがImpervaの買収を完了、サイバーセキュリティのグローバルリーダー創出へ
- 【プレス発表】タレス、Google Cloud テクノロジーパートナーオブザイヤー」データ保護アワード受賞
- 【ビデオ】今求められる、企業レベルでのシークレット一元管理(YouTube)
- 【プレス発表】タレス、Oracle Cloud Infrastrucreの外部暗号鍵管理サポートを発表
- 【プレス発表】タレスとインテル、機密コンピューティングの信頼性強化で協力
- 【導入事例】大日本印刷株式会社、IoT向けセキュリティサービスの信頼の基点としてタレスHSMを採用
- タレス高速ネットワーク暗号化でデータセンター間やクラウドバックアップのネットワーク通信を保護
- 【ブログ ポスト】ランサムウェア - 支払う?支払わない?
データ セキュリティ 導入事例
「個人情報の保護とPCIDSSへの準拠」
世界に事業展開する大手百貨店の事例。大規模なデータ侵害・個人情報漏洩に見舞われましたが、顧客情報管理とカード決済システムの再構築に成功しブランドを守ることが出来ました。
「サプライチェーンセキュリティ」
アジア太平洋地域の自動車技術サプライヤーの事例。柔軟な公開鍵基盤(PKI)とHSM(ハードウェアセキュリティモジュール)の運用を構築し、製造とそのサプライチェーンのセキュリティを確保することに成功。
「ランサムウェア対策」
機密情報を予め暗号化し、複合鍵へのアクセス管理に多要素認証(MFA)を組み合わせることで、ランサムウェアが悪用する特権IDによる不正なアクセスと、情報盗難による二重恐喝を防ぐことが出来ます。