AIやクラウドサービスの利用拡大によって情報漏えいのリスクが高まっている。データ保護対策は急務だ。しかしデータ保護対策を講じるに当たって「完璧主義」や「ツールのサイロ化」といったワナに陥り、運用が破綻するケースは後を絶たない。持続可能な運用を構築するための実践的なアプローチを解説する。
企業のデータは今、かつてないほど多様なリスクにさらされている。クラウドへの移行、AI活用の拡大、サプライチェーンの複雑化――。急速に変化するIT環境において、情報漏えい対策の遅れは重要な経営課題だ。しかし、「どこから手を付ければよいのか」「どのような運用が現実的なのか」という絵を描けず苦慮している企業もあるだろう。
本稿は、ゼットスケーラーが2026年6月に開催したイベント「DATA守るZ!Data Security Dojo 2026〜Zscalerと次世代のデータ保護をマスターせよ!〜」のセッションを基に、データセキュリティの第一歩から運用の定着まで、実践的な道筋を整理する。
高度化するサイバー攻撃、機密情報が入ったPCの無断持ち出し、生成AIへの個人情報の入力など、情報流出の経路は多岐にわたる。どんな企業にも重要なデータが存在するため、無策のままではサイバー犯罪者の餌食になる。情報漏えいはIT部門だけの問題ではなく、ブランド毀損(きそん)や業務停止、信頼失墜、株価下落に至る経営の致命傷になり得る。
「近年、脅威のレベルと量を急激に押し上げているのが生成AI技術の台頭です。攻撃者はAIを使って巧みなフィッシングメールを量産したり、既知の脆弱(ぜいじゃく)性を自動探索したりしています。AIによって攻撃コストは低下して、試行回数を増大できるようになりました。そうして規模の大小や種別を問わず、細かなサプライチェーンまで幅広い企業を標的にしているのです」とゼットスケーラーの高瀬洋歩氏は語る。
情報処理推進機構(IPA)が毎年公表している「情報セキュリティ10大脅威」の2026年版では「AIの利用をめぐるサイバーリスク」が新規で3位にランクインした。背景には、AI利用によるリスクとAIによる脅威の高度化がある。AIは業務効率化のツールであると同時に、サイバー攻撃の被害や情報漏えいのリスクを増大させる存在にもなっている。
一方で、データ保護を巡る規制やガイドラインの整備も急速に進んでいる。国内では経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度」(SCS評価制度)や金融庁のサイバーセキュリティガイドライン、国家サイバー統括室(NCO)の統一基準が整備された。海外ではEUのGDPR、米国のNIST CSF 2.0、米国防総省(DoD)のゼロトラスト参照アーキテクチャ(ZTRA)などが影響力を持っている。これら国内外の規制やガイドラインに共通するのは、「製品を導入すること」ではなく「可視化→チューニング→制御適用→継続運用と改善というサイクルが現場で回り続ける仕組みを構築すること」を求めている点だ。ガイドラインへの未対応は、サプライチェーンの選定から外されるという現実的なビジネスリスクにつながる。
「データ保護は今すぐ着手すべき経営課題です。要件定義からPoCを経て本番稼働に至るまでは、企業やプロジェクトの規模にもよりますが6〜12カ月はかかります。時間がたてばたつほどリスクと機会損失が広がります。事故が起きると業務停止、賠償、復旧のコストと時間がかかる上、ブランドへのダメージは取り返しがつきません。早急に検討を開始して予算と人員を確保し、可視化から段階的に進めるべきです」
データ保護は必須だと分かっていても、なかなか前に進められないのはなぜか。原因は、ツールの不足ではなく「進め方」にあると高瀬氏は指摘する。同氏の経験上、現場で繰り返し見られる失敗パターンを分析すると、3つの「ワナ」が見えてくるという。
第一は「定義先行のワナ」だ。最初に全データの棚卸しを完璧にしようとするが、部門ごとに“機密”の定義は異なり、時間がたてば重要度も変わる。そのため議論が終わらず、プロジェクトが停滞してしまうケースは多いという。
第二は「制御先行のワナ」だ。可視化のステップを飛ばしていきなり制御から入ろうとすると、セキュリティツールの過剰検知によって大量のアラートが積み重なり、業務が回らなくなる。その結果、重要なアラートも無視するなど運用が放棄されてしまうこともある。
第三は「サイロ化のワナ」だ。メール、Web、SaaS、生成AIなど、チャネルごとに対策しようとするとポリシーが分断され、運用コストと設定ミスのリスクが膨らみ続ける。
「『機密データをどう分類すればいいか』は、多くの企業に共通する問いです。IT部門が決めようとしても、詳細は現場に聞かなければ分かりません。しかも、時間がたつほど鮮度は失われます。こうしたジレンマが積み重なって運用が回らなくなる企業が多いのです」と、ゼットスケーラーの岩井弘志氏は指摘する。
この迷路から抜け出す鍵が「可視化」だと両氏は強調する。ゼロトラスト参照アーキテクチャやNIST CSF 2.0においても、成熟度を段階的に高めていくアプローチが前提とされている。まず可視化で実態を把握し、チューニングで精度を上げ、そこで初めて制御を適用する。重要なのは、可視化はゴールではなくスタートラインであるという点だ。検知から是正アクション、証跡保存までを自動でつなぐことで、初めてデータセキュリティの改善サイクルが回り始める。100点満点を最初から目指さず、回り続ける仕組みをつくることがデータ保護を成功させる道筋だ。
従来のデータ保護対策が抱える重大な問題は、高瀬氏の指摘するサイロ化――「ツールが多すぎて、つながっていないこと」だ。エンドポイントDLP、ネットワークDLP、CASB、SSPM、DSPMと、チャネルごとに個別ツールを積み重ねると、ポリシーはバラバラになり管理も分散する。その結果、データ利用の死角が生まれ、過剰なアラートで担当者が疲弊し、運用は形骸化する。
この問題に対してゼットスケーラーは、単一プラットフォームによる統合データセキュリティという考え方を推奨する。「Zscaler Zero Trust Exchange」は、ユーザーからワークロード、AIエージェントまで、多様な通信を一元的に経由させる「ゼロトラストアーキテクチャ」を基礎とするセキュリティプラットフォームだ。
転送中のデータをリアルタイムに検査・制御するインラインDLPと、パブリッククラウドやオンプレミスのファイルサーバーに保管された静止データを対象にデータの所在・分類・リスク評価・アクセス権を可視化するDSPM(Data Security Posture Management)を組み合わせることで、動いているデータも静止しているデータも同じプラットフォームで一元管理できる。可視化によって明らかになったリスクは、ワークフローオートメーション機能と連携して是正チケットの自動起票やアクセス権修正のフローへとつなげられる。これにより、「確認して終わり」にならない運用設計がしやすい。また、共通ポリシーをベースに複数チャネルへ展開しやすく、運用の分断を減らせる構造になっている。
データを正確に保護するには、まず「機密を見つけて分類する」精度が問われる。Zscaler Zero Trust Exchangeは、AI/MLを活用したドキュメント分類機能によって約200種類の文書タイプを自動判定する。さらにEDM(Exact Data Match)とIDM(Indexed Document Match)という2つの高度な分類技術で自社固有のデータを特定している。
EDMは、顧客マスターなどの構造化データをハッシュ化して登録しておき、「氏名と口座番号の組み合わせが一致した場合」のみ検知するといったことが可能だ。IDMは、実際の契約書や設計書などの機密ドキュメントをフィンガープリント化して登録しておくことで、登録済み文書との部分一致に基づいて生成AIへの貼り付けやアップロード等を検知・ブロックできる。OCRによる画像内テキストの検査やMicrosoft Purviewのラベル連携なども可能だ。
インターネットを介して生成AIサービスを利用する場合、プロンプトへの機密情報のコピー&ペーストや機密ファイルのアップロード、無許可サービスを利用する「シャドーAI」といった特有の情報漏えいリスクも無視できない。対策としては、まず生成AIサービスを「禁止」「条件付き許可」「承認済み」の3段階に分類。その上でZscaler Zero Trust ExchangeのCASBによる可視化・アクセス制御、DLPによる機密情報の検知・ブロック、ブラウザ分離機能による操作制御を組み合わせることで、閲覧は許可しつつコピーやアップロードは禁止するといったきめ細かい制御を実現するアプローチが有効だ。
「データ保護のプロジェクトが停滞する原因は、取り組みの順番にあります。まず可視化をして、どのようなデータがどのような経路を流れているかを把握します。そこから誤検知を絞り込みながらチューニングし、確実に止めるべきものだけをブロックするのです。この順番を守りさえすれば、DLPは回るようになります」(岩井氏)
優れたデータセキュリティ基盤を整えても、運用が続かなければ意味がない。導入直後はポリシーを細かく設定したものの、アラートが大量発生して担当者が疲弊し、気付けば運用が形骸化しているというパターンもよく見られる。「回り続ける運用」を設計するには、仕組みの考え方を変えなければならない。
必要なのは「ルールを増やすより、回せる型を作る」という発想だ。個人の属性やアプリケーションごとに大量のルールを作り込もうとすると、管理が追い付かなくなる。「現実的なアプローチは4つの型に整理できる」と、ゼットスケーラーの三輪賢一氏は説明する。
「まず、個人情報や知的財産など優先度の高いカテゴリーに絞った少数の基本ルールを作ること。次に、開発、営業、人事など部門ごとの典型的なパターンをテンプレート化して共通化すること。そして例外処理には必ず理由と期限を設定し、期限切れ後は自動的にポリシーを無効化するか再承認フローに移行させること。この自動化がなければ、期限切れの例外が積み重なり、ポリシー全体が形骸化する。最後に、定期的なレビューでポリシーをチューニングし続けることです」
自動化する際も同じだ。全てを人が判断しようとすると運用は破綻する。そこで、高リスクで判断の余地がないものは自動ブロックとオートクローズで処理し、担当者はグレーゾーンの判断に集中する。中程度のリスクは、ユーザー本人にポップアップで理由の入力を求める仕組みが有効だ。Zscalerのワークフローオートメーション機能は外部のIT管理ツールと連携し、インシデントの検知から上長へのエスカレーション、証跡の保存まで一連のフローとして設計可能だ。例外ポリシーの期限管理においても、期限切れの自動検知から再承認フローの起票までを自動化することでポリシーの腐敗を防ぎ、少人数でも持続可能な運用を実現できる。
「人が都度判断して回すのではなく、明確にNGなものはポリシーで止める。例外の承認も利用期限を決めて、あとでちゃんと止める。少ない人数でも継続できるデータセキュリティとは、そうした設計から生まれるものです」(三輪氏)
データ保護とは、何かしらの完成形を目指すものではなく、改善し続ける運用サイクルそのもの。継続することこそが、企業のデータガバナンスを着実に前進させる秘訣(ひけつ)だ。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ゼットスケーラー株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2026年8月5日