米国の情報漏えいに学ぶビッグデータのセキュリティ対策:ビッグデータ利活用と問題解決のいま(2/2 ページ)
サイバー攻撃に起因する情報漏えいが発覚した場合、事後対策時にその組織を所管する複数の官庁が関わり、インシデント報告の提出先も多岐に渡るケースが多い。リアルタイム性が要求されるビッグデータのセキュリティではどのように対応すればいいのだろうか。
ビッグデータで複雑化するセキュリティの運用
サイバー攻撃後の緊急事態が続く中でも企業は、「誰が」「どのデータに」「どのソースから」「いつアクセスしているのか」などのセキュリティの監視/分析作業をリアルタイムで実行しなければならない。
ビッグデータのインフラストラクチャは、様々なデバイスから収集された異なるタイプのデータを迅速に処理/分析するために、オンプレミス型やクラウド型のコンポーネントシステムを連携させた混在環境で構成されているケースが多い。それらに関わる全てのノードのパフォーマンスや健全性を内部リソースだけで常時監視することは不可能である。自前で制御できないパブリッククラウドの場合、契約時のSLAの内容によっては、クラウドサービス事業者側が開示する情報の内容も大きく変わってくる。
現在、企業やクラウドサービス事業者の間で利用されているセキュリティ監視/分析ツール(関連記事一覧)を見ると、HIPAA、SOX法、プライバシー/個人情報保護規制など、個別のコンプライアンス対応について効率化/自動化を図るための機能が集積されてきたソリューションが多い。複数の所管省庁にまたがるインシデントへのコンプライアンス対応では技術的な仕組みよりも、現場の運用力でカバーしているのが実情だ。
米国では、複雑化するリアルタイムなセキュリティ監視/分析向けのフレームワークとして、米国国立標準技術研究所(NIST)が開発した「セキュリティ設定共通化手順(SCAP:Security Content Automation Protocol)」を活用する企業が増えている。元々「9・11事件」の教訓を基に、2002年に施行された政府省庁の情報システムのセキュリティ強化を義務付ける「連邦情報セキュリティマネジメント法(FISMA)」を契機として、各省庁の様々な法令・標準規格・ガイドライン類から共通のセキュリティ要求事項を洗い出して整理したものであり、民間レベルのサイバーセキュリティ対策にも応用できる内容だ。
SCAPは、以下の6つの標準仕様から構成されている(詳細はIPA資料を参照)
- 共通脆弱性識別子(CVE):脆弱性の識別
- 共通セキュリティ設定一覧(CCE):セキュリティ設定の識別
- 共通プラットフォーム一覧(CPE):製品の識別
- 共通脆弱性評価システム(CVSS):脆弱性の深刻度の評価
- セキュリティ設定チェックリスト記述形式(XCCDF):チェックリストを記述するための形式
- セキュリティ検査言語(OVAL):脆弱性やセキュリティ設定をチェックするための言語
SCAPのように、様々な法令・ガイドライン類に共通するセキュリティ要求事項をあらかじめセキュリティ監視/分析ツールの仕組みに追加しておけば、万一サイバー攻撃に遭っても、個々のコンプライアンス対応に共通する部分から情報セキュリティ対策を実施することで重複を省き、運用の現場における作業の効率化・自動化を図ることができる。
ビッグデータセキュリティの基本とは?
今後、ビッグデータの普及拡大とともに、Hadoopに代表される大量データの分散処理技術やNoSQLに代表されるリアルタイムの非構造化データベース技術などを利用するシーンが増えていく。それによって、“現場力”に依存したセキュリティ監視/分析業務では対応できなくなる。ビッグデータに関わるICTインフラ全体のパフォーマンスや健全性を維持しながら、不意のサイバー攻撃への準備を整えるには、SCAPのような標準化の仕組みづくりに加えて、ビッグデータならではの分析技術を活用した高度なセキュリティ監視/分析ツールの開発も必要となる。
日本の現状をみると、企業全体のレベルでセキュリティ監視/分析の仕組みづくりを担う情報セキュリティ管理者や個人情報保護管理者と、業務部門の現場で実際に運用を回すデータベース管理者やデータサイエンティストとの間に距離感が存在する。両者の間はもとより、過去に培った経験・ノウハウが社内全体で共有されていないケースが目立つ。
このような状況下で不意のサイバー攻撃に遭ったら場当たり的な対応に追われ、日常業務が止まってしまう可能性が大きい。日頃から情報セキュリティに関わる仕組みと運用の両輪を回しておくことは、ビッグデータセキュリティやサイバーセキュリティにもつながる基本である。
次回は、データベース管理の観点から、ビッグデータセキュリティの仕組みと運用を取り巻く課題を取り上げる。
著者者紹介:笹原英司(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook: https://www.facebook.com/esasahara
日本クラウドセキュリティアライアンス ビッグデータユーザーワーキンググループ:
http://www.cloudsecurityalliance.jp/bigdata_wg.html
関連記事
- 情報漏えい事件から考えるビッグデータとサイバーセキュリティ
「サイバーセキュリティ基本法」が全面施行され、個人情報保護法の改正に向けた作業も進んでいるが、海外ではサイバー攻撃に起因する情報漏えいが続発している。ビッグデータのメリットを維持するためには、どのような対策が必要なのだろうか。直近の事件から考察する。 - スマートシティ大国オランダに学ぶビッグデータの利活用戦略
EU諸国の中でオランダは、地域主導型スマートシティから築き上げた付加価値サービスの上に、クラウドやビッグデータの新技術を組み合わせながらグローバル展開を図っている。同国の事例を紹介しよう。 - 社会課題の解決にビッグデータを活用するデンマークの取り組み
EU諸国は、スケールメリットを生かした低コスト戦略が主流のクラウド上で、ビッグデータならではの付加価値サービスを開発し、独自性を発揮しようとしている。今回は北欧の社会課題の解決先進国であるデンマークの事例を紹介する。 - 健康医療のビッグデータ活用とリスク対応における欧米の足並みとは?
ビッグデータ活用の有力分野の1つとなる健康・医療では欧米が大西洋を越えた連携を進める。高まるプライバシーやセキュリティのリスクへの対応を含めた動向を紹介しよう。 - 欧州にみるIoT活用とリスク管理への挑戦
IoT(モノのインターネット)から生まれるビッグデータを活用したイノベーションが進む一方、プライバシー/個人情報管理、サイバーセキュリティなど、リスク管理上の課題も広がりつつある。厳格なプライバシー保護政策で知られる欧州諸国はどのように対応しているのだろうか。 - アイルランドにみるビッグデータとセキュリティの世界動向
多数のインターネット企業が欧州の拠点を構えるのがアイルランドだ。北海道とほぼ同じ面積の小国ながら、ビッグデータの利活用とセキュリティやプライバシーなどにおける取り組みが注目されている。 - ボストンに学ぶ市民参加型コミュニティの管理と人材の役割
市民主体の「シビックテック(Civic Tech)」を活用する自治体にとって悩みの種は、コミュニティの活性化と安定的な運用管理の両立だろう。米国の古都であると同時に新しい起業家を輩出し続けるボストンの取り組みとはどのようなものだろうか。 - 米シカゴにみる、市民参加で地域課題の解決を目指すスマートシティの最前線
現代の地域社会が抱える問題は複雑かつ多様であり、その解決に市民の力とICTを活用する動きが急速に広まっている。この分野で先行する米国シカゴの取り組みとはどのようなものだろうか。 - 研究開発を牽引するクラウドとビッグデータ、リスク管理をどうするか
健康医療分野の研究開発ではクラウドやビッグデータの活用が進んでいる。だが、ステークスホルダーや活用されるデータの広がりとともに、様々な情報セキュリティやリスクの問題も浮上する。先行する米国での事情はどのようになっているだろうか。 - 健康・医療分野におけるビッグデータイノベーションの動向
健康医療はビッグデータ利活用への期待が高い反面、厳格な法規制の下で情報セキュリティのリスクも高い。日本では医療介護データの有効活用によって医療費削減を図る方針が打ち出されたばかりだが、先行する米国はどのような形で取り組んでいるのだろうか。 - 世界や米国にみるセキュリティ人材の育成術と日本の課題
加速するビッグデータビジネスにおいて、情報セキュリティをコントロールできる人材の育成が追い付いていないのは、万国共通の悩みだ。クラウドコンピューティングやクラウドソーシングを活用して、将来を担う人材へテクノロジーと運用管理の両面の経験/スキルを学ぶ場を提供する動きが世界中に広がっている。 - 新規事業創出で注目されるクラウドストーミング、利点とリスクは何か
不特定多数からアイデアを募る「クラウドストーミング」への関心が高まっている。ビッグデータ関連の新規事業の開発で企業がクラウドストーミングを活用する際のベネフィットとリスクにはどのような点があるのだろうか。 - セキュリティ/リスク管理から見た米国のオープンデータ戦略
米国が推進するオープンガバメント政策では、データの利活用において国民の参加を促す仕組みを取り入れ、同時に浮上するプライバシー/セキュリティの課題にも具体的な対応を図っている。同国はこのテーマにどう取り組んできたのか――。 - ソーシャルメディアで加速するビッグデータ利活用とガバナンス課題
インターネットを介した情報流通の拡大と利活用の広がりは、様々なイノベーションと新たな課題を生じさせてきた。今回はソーシャルメディアを中心に、ビッグデータの利活用や課題を掘り下げる。 - IoTとビッグデータがもたらす社会変革とクラウドセキュリティ
今回はInternet of Things(モノのインターネット)やビッグデータの特徴をひも解きつつ、社会に与える影響とセキュリティ上の課題を提起していく。 - 【新連載】ビッグデータ利活用の表舞台に立つプライバシーとセキュリティ
企業や組織がクラウドやビッグデータ、モバイルなどのITトレンドをビジネスに取り込んでいく中で、避けて通れないのが、プライバシーやセキュリティへの対応だ。今後想定される課題や対応に立ち向かうためのヒントをお届けしていく。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.