サイバー攻撃後の緊急事態が続く中でも企業は、「誰が」「どのデータに」「どのソースから」「いつアクセスしているのか」などのセキュリティの監視/分析作業をリアルタイムで実行しなければならない。
ビッグデータのインフラストラクチャは、様々なデバイスから収集された異なるタイプのデータを迅速に処理/分析するために、オンプレミス型やクラウド型のコンポーネントシステムを連携させた混在環境で構成されているケースが多い。それらに関わる全てのノードのパフォーマンスや健全性を内部リソースだけで常時監視することは不可能である。自前で制御できないパブリッククラウドの場合、契約時のSLAの内容によっては、クラウドサービス事業者側が開示する情報の内容も大きく変わってくる。
現在、企業やクラウドサービス事業者の間で利用されているセキュリティ監視/分析ツール(関連記事一覧)を見ると、HIPAA、SOX法、プライバシー/個人情報保護規制など、個別のコンプライアンス対応について効率化/自動化を図るための機能が集積されてきたソリューションが多い。複数の所管省庁にまたがるインシデントへのコンプライアンス対応では技術的な仕組みよりも、現場の運用力でカバーしているのが実情だ。
米国では、複雑化するリアルタイムなセキュリティ監視/分析向けのフレームワークとして、米国国立標準技術研究所(NIST)が開発した「セキュリティ設定共通化手順(SCAP:Security Content Automation Protocol)」を活用する企業が増えている。元々「9・11事件」の教訓を基に、2002年に施行された政府省庁の情報システムのセキュリティ強化を義務付ける「連邦情報セキュリティマネジメント法(FISMA)」を契機として、各省庁の様々な法令・標準規格・ガイドライン類から共通のセキュリティ要求事項を洗い出して整理したものであり、民間レベルのサイバーセキュリティ対策にも応用できる内容だ。
SCAPは、以下の6つの標準仕様から構成されている(詳細はIPA資料を参照)
SCAPのように、様々な法令・ガイドライン類に共通するセキュリティ要求事項をあらかじめセキュリティ監視/分析ツールの仕組みに追加しておけば、万一サイバー攻撃に遭っても、個々のコンプライアンス対応に共通する部分から情報セキュリティ対策を実施することで重複を省き、運用の現場における作業の効率化・自動化を図ることができる。
今後、ビッグデータの普及拡大とともに、Hadoopに代表される大量データの分散処理技術やNoSQLに代表されるリアルタイムの非構造化データベース技術などを利用するシーンが増えていく。それによって、“現場力”に依存したセキュリティ監視/分析業務では対応できなくなる。ビッグデータに関わるICTインフラ全体のパフォーマンスや健全性を維持しながら、不意のサイバー攻撃への準備を整えるには、SCAPのような標準化の仕組みづくりに加えて、ビッグデータならではの分析技術を活用した高度なセキュリティ監視/分析ツールの開発も必要となる。
日本の現状をみると、企業全体のレベルでセキュリティ監視/分析の仕組みづくりを担う情報セキュリティ管理者や個人情報保護管理者と、業務部門の現場で実際に運用を回すデータベース管理者やデータサイエンティストとの間に距離感が存在する。両者の間はもとより、過去に培った経験・ノウハウが社内全体で共有されていないケースが目立つ。
このような状況下で不意のサイバー攻撃に遭ったら場当たり的な対応に追われ、日常業務が止まってしまう可能性が大きい。日頃から情報セキュリティに関わる仕組みと運用の両輪を回しておくことは、ビッグデータセキュリティやサイバーセキュリティにもつながる基本である。
次回は、データベース管理の観点から、ビッグデータセキュリティの仕組みと運用を取り巻く課題を取り上げる。
宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook: https://www.facebook.com/esasahara
日本クラウドセキュリティアライアンス ビッグデータユーザーワーキンググループ:
http://www.cloudsecurityalliance.jp/bigdata_wg.html
Copyright © ITmedia, Inc. All Rights Reserved.