データ暗号化から考えるイノベーションとセキュリティの両立:ビッグデータ利活用と問題解決のいま(3/3 ページ)
世界各国でビッグデータ利活用によるイノベーションが本格化する一方、サイバー攻撃による大規模情報漏えい事案が後を絶たない。利便性と安全性を両立させる対策として注目されるデータ暗号化の動向を探る。
データ暗号化の仕組みと運用実務のバランスがビッグデータの要に
クラウドセキュリティアライアンス(CSA)のビッグデータワーキンググループは、ビッグデータのセキュリティ/プライバシーに対する10大脅威の1つとして、「暗号化により強制されたデータ中心のセキュリティ」を挙げている。
従来は、OSやハイパーバイザなど基盤システムへのアクセスを制限し、暗号化で保護された通信と組み合わせることによって、データの可視性を制御する方法が主流だった。だが昨今の相次ぐ大規模サイバー攻撃被害を受けて、暗号化を利用し、保護シェルにデータ自身をカプセル化する方法が重視されつつある。
ただし、ビッグデータシステムの発展に伴って様々なデータ構造(構造化、非構造化、準構造化)、ライセンス体系(商用、オープンソース)、運用形態(オンプレミス型、クラウド型)を持ったデータベース製品・サービスの組み合せによるサプライチェーンが構成されるケースも増えている。
このためデータ暗号化の前準備としては、企業や組織ではビッグデータサービスを構成するサプライチェーンにおけるステークホルダー(利用者や事業者など)間の契約関係、責任分界点、規制当局に対する責務などについて、事前にセキュリティリスクを評価し、想定されるサイバーインシデントへの対応などを検討しておく必要がある。その上でデータ暗号化やアクセス制御に関わるポリシー策定などの仕組みづくりと、パフォーマンスチューニング、暗号鍵管理など、運用実務の最適化を図ることが求められる。
昨今の金融や医療のイノベーション創出においてクラウドコンピューティング利用が広がる中、OSSベースのビッグデータ基盤に対応したソリューションを開発・提供するITスタートアップ企業が、既存のベンダー/プロバイダーと連携したエコシステムを構築し、セキュリティ/リスク管理をサポートするケースが増えている。
例えば、ビッグデータ環境におけるデータ暗号化ソリューションを提供する米国のスタートアップ企業Vormetricは、Hadoop関連ソリューション企業(例:Cloudera)やNoSQL関連ソリューション企業(例:Couchbase)などと連携しながら、オンプレミスおよびクラウド環境向けに、医療(例:HIPAA)、金融(例:PCI-DSS)、政府機関(例:FedRAMP)など、要求事項の異なる個々の法規制に対応したデータ暗号化・暗号鍵管理・監査支援機能を提供している。
日本の場合、HadoopやNoSQLといったビッグデータの最新技術に対する開発者やデータサイエンティストの関心は高いが、それを裏側で支える運用管理やセキュリティ/リスク管理、法規制対応が追い付けずにいる。実際のエンタープライズ環境における導入になると、欧米に大きく後れを取っている。日本発のFintech、Healthtechによるイノベーションを推進するためには、保存データの暗号化を、ビッグデータ普及の阻害要因から促進要因に変える位の意識改革が必要だ。
次回は、ビッグデータを支えるストレージシステムの動向について取り上げる。
著者者紹介:笹原英司(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook: https://www.facebook.com/esasahara
日本クラウドセキュリティアライアンス ビッグデータユーザーワーキンググループ:
http://www.cloudsecurityalliance.jp/bigdata_wg.html
関連記事
- GEにみるIoTとビッグデータ連携でのOSS利用と国際協調
モノのインターネット(IoT)の普及拡大とともに、企業の産業システムがオープンソースソフトウェアとデータを連携する場面が増えてくる。ビッグデータ/IoT連携を推進するグローバル企業は、どのように対応しているのだろうか。 - 情報漏えい事件から考えるビッグデータとサイバーセキュリティ
「サイバーセキュリティ基本法」が全面施行され、個人情報保護法の改正に向けた作業も進んでいるが、海外ではサイバー攻撃に起因する情報漏えいが続発している。ビッグデータのメリットを維持するためには、どのような対策が必要なのだろうか。直近の事件から考察する。 - 米国の情報漏えいに学ぶビッグデータのセキュリティ対策
サイバー攻撃に起因する情報漏えいが発覚した場合、事後対策時にその組織を所管する複数の官庁が関わり、インシデント報告の提出先も多岐に渡るケースが多い。リアルタイム性が要求されるビッグデータのセキュリティではどのように対応すればいいのだろうか。 - 米連邦政府、400万人分の個人情報流出の可能性を発表 中国ハッカーの犯行との報道も
米連邦人事管理局が、同局のシステムに何者かが不正侵入し、約400万人の職員および元職員の個人情報が流出した可能性があると発表した。複数の米メディアが、当局がこれを中国ハッカーの犯行とみていると報じた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.