ニュース
» 2015年03月04日 08時00分 公開

ビッグデータ利活用と問題解決のいま:米国の情報漏えいに学ぶビッグデータのセキュリティ対策 (2/2)

[笹原英司,ITmedia]
前のページへ 1|2       

ビッグデータで複雑化するセキュリティの運用

 サイバー攻撃後の緊急事態が続く中でも企業は、「誰が」「どのデータに」「どのソースから」「いつアクセスしているのか」などのセキュリティの監視/分析作業をリアルタイムで実行しなければならない。

 ビッグデータのインフラストラクチャは、様々なデバイスから収集された異なるタイプのデータを迅速に処理/分析するために、オンプレミス型やクラウド型のコンポーネントシステムを連携させた混在環境で構成されているケースが多い。それらに関わる全てのノードのパフォーマンスや健全性を内部リソースだけで常時監視することは不可能である。自前で制御できないパブリッククラウドの場合、契約時のSLAの内容によっては、クラウドサービス事業者側が開示する情報の内容も大きく変わってくる。

 現在、企業やクラウドサービス事業者の間で利用されているセキュリティ監視/分析ツール(関連記事一覧)を見ると、HIPAA、SOX法、プライバシー/個人情報保護規制など、個別のコンプライアンス対応について効率化/自動化を図るための機能が集積されてきたソリューションが多い。複数の所管省庁にまたがるインシデントへのコンプライアンス対応では技術的な仕組みよりも、現場の運用力でカバーしているのが実情だ。

 米国では、複雑化するリアルタイムなセキュリティ監視/分析向けのフレームワークとして、米国国立標準技術研究所(NIST)が開発した「セキュリティ設定共通化手順(SCAP:Security Content Automation Protocol)」を活用する企業が増えている。元々「9・11事件」の教訓を基に、2002年に施行された政府省庁の情報システムのセキュリティ強化を義務付ける「連邦情報セキュリティマネジメント法(FISMA)」を契機として、各省庁の様々な法令・標準規格・ガイドライン類から共通のセキュリティ要求事項を洗い出して整理したものであり、民間レベルのサイバーセキュリティ対策にも応用できる内容だ。

 SCAPは、以下の6つの標準仕様から構成されている(詳細はIPA資料を参照

  • 共通脆弱性識別子(CVE):脆弱性の識別
  • 共通セキュリティ設定一覧(CCE):セキュリティ設定の識別
  • 共通プラットフォーム一覧(CPE):製品の識別
  • 共通脆弱性評価システム(CVSS):脆弱性の深刻度の評価
  • セキュリティ設定チェックリスト記述形式(XCCDF):チェックリストを記述するための形式
  • セキュリティ検査言語(OVAL):脆弱性やセキュリティ設定をチェックするための言語
SCAP セキュリティ対策の自動化と標準化を支援するSCAP(出典:IPA)

 SCAPのように、様々な法令・ガイドライン類に共通するセキュリティ要求事項をあらかじめセキュリティ監視/分析ツールの仕組みに追加しておけば、万一サイバー攻撃に遭っても、個々のコンプライアンス対応に共通する部分から情報セキュリティ対策を実施することで重複を省き、運用の現場における作業の効率化・自動化を図ることができる。

ビッグデータセキュリティの基本とは?

 今後、ビッグデータの普及拡大とともに、Hadoopに代表される大量データの分散処理技術やNoSQLに代表されるリアルタイムの非構造化データベース技術などを利用するシーンが増えていく。それによって、“現場力”に依存したセキュリティ監視/分析業務では対応できなくなる。ビッグデータに関わるICTインフラ全体のパフォーマンスや健全性を維持しながら、不意のサイバー攻撃への準備を整えるには、SCAPのような標準化の仕組みづくりに加えて、ビッグデータならではの分析技術を活用した高度なセキュリティ監視/分析ツールの開発も必要となる。

 日本の現状をみると、企業全体のレベルでセキュリティ監視/分析の仕組みづくりを担う情報セキュリティ管理者や個人情報保護管理者と、業務部門の現場で実際に運用を回すデータベース管理者やデータサイエンティストとの間に距離感が存在する。両者の間はもとより、過去に培った経験・ノウハウが社内全体で共有されていないケースが目立つ。

 このような状況下で不意のサイバー攻撃に遭ったら場当たり的な対応に追われ、日常業務が止まってしまう可能性が大きい。日頃から情報セキュリティに関わる仕組みと運用の両輪を回しておくことは、ビッグデータセキュリティやサイバーセキュリティにもつながる基本である。


 次回は、データベース管理の観点から、ビッグデータセキュリティの仕組みと運用を取り巻く課題を取り上げる。

著者者紹介:笹原英司(NPO法人ヘルスケアクラウド研究会・理事)

宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。

Twitter:https://twitter.com/esasahara

LinkedIn:https://www.linkedin.com/in/esasahara

Facebook: https://www.facebook.com/esasahara

日本クラウドセキュリティアライアンス ビッグデータユーザーワーキンググループ:

http://www.cloudsecurityalliance.jp/bigdata_wg.html

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -