今年の「データプライバシーデー」がなぜ違うのか

データプライバシーデーを迎えるにあたり、Bernard Montel (Tenable の EMEA テクニカルディレクター兼セキュリティストラテジスト) は、私たちがデジタル世界で生きていること、そしてその世界を守る必要があることを改めて認識してほしいと呼びかけています。データ漏洩が日常茶飯事となり、AI が状況を変えつつある中、彼はすべての人に対し「より適切に対処する」ことを促しています。

欧州評議会によって 2006 年 4 月に制定された「データ保護デー」(欧州以外では「データプライバシーデー」) は、毎年 1 月 28 日に世界中でデータプライバーを啓発しています。 Privacy Rights Clearinghouseが集計したデータによると、2006 年に、米国のさまざまな侵害で約 1 億件の記録が漏洩されました。 しかし 2024 年には、National Public Data (NPD) が被ったわずか 1 件のデータ漏洩で、約 29 億件の記録が盗まれたとされています。

つまり、私たちはより適切に対処する必要があります。

組織の生命線

データはあらゆる企業の根幹です。 データは、顧客、従業員、知的財産、財務実績などに関する情報です。 データは、クラウドにおけるイノベーションの推進力にもなります。 ただし、ハイブリッドクラウド環境やマルチクラウド環境では、企業のデータの保護は、データの量と複雑さにより複雑化する一方です。 

データ漏洩は、対外的には不信感を招き、ブランドの評判を傷つけるだけでなく、訴訟や罰金、ビジネス上の損失にもつながります。 社内では取締役会による監視が強化され (本来そうあるべきですが)、必然的に組織のセキュリティ態勢の強度が問われるようになります。

AI がやってくる

あらゆるものの中心にデータがある現代において、AI はデータプライバシーデーにおける状況を一変させ、情報保護に新たなセキュリティリスクをもたらしました。

組織は、AI ツールや AI 開発パッケージ内の脆弱性を特定するのと同時に、導入された AI の使用状況を管理するという複雑な課題にも直面しています。 AI の採用に伴い、クラウドデータの量と種類は増加します。 同時に、AI アプリケーションは高度化するにつれ、学習して効果的に機能するために、より多くのデータを必要とします。したがって、ビジネスでの AI 利用の完全性とセキュリティの維持にはクラウドデータの保護が最も重要になります。

一方、外部では攻撃者も AI を活用し、攻撃の手口を強化しようとしています。AI を用いたランサムウェア攻撃向けの高度で効果的なマルウェアの作成や、フィッシング詐欺の巧妙化など、その手法は広く記録されています。

セキュリティなくしてプライバシーなし

ラウドと AI がもたらす独自のメリットを最大限に活用するには、データの収集、保存、利用に伴うあらゆるセキュリティ上の責任に対応する必要があります。これには、データ資産の自動かつ継続的なスキャン、機密データの検出と監視、潜在的なリスクに対する警告の提供が含まれます。

パブリッククラウド環境におけるデータ保護は、次の 3 つのステップから始まります。

• クラウド内のリソースを把握クラウド内のコンピュート、アイデンティティ、データリソースを確認して、最も重要なリソースへのアクセスについて文脈を備えた可視性を得る必要があります。
• 危険なクラウドリスクを可視化設定ミス、過剰な権限、脆弱性、機密データの有害な組み合わせによって生じる危険度の高いリスクに焦点を当てるには、必要な文脈を得ることが重要です。
• クラウドのエクスポージャーを解決します。 たとえ使える時間が 5 分しかなくても、危険度の高いエクスポージャーを最高の速度と精度で解決してクラウドリスクを低減することは不可欠です。

データセキュリティポスチャ―管理 (DSPM) をクラウドネイティブアプリケーション保護プラットフォーム (CNAPP) に統合することで、クラウドデータとそれに関連するリスクをどのように包括的に把握できるのかをご紹介します。 

DSPM は、機密データがどこに保存され、誰がアクセスでき、どのように使用されているかをシステム全体にわたり可視化する一連の継続的なプロセスとテクノロジーです。データをホストするインフラだけでなく、データ自体の全体的なセキュリティポスチャーの分析を行います。 

一方、CNAPP ソリューションは、サイロ化された製品の寄せ集めに取って代わるものです。サイロ化した製品では解決するよりも多くの問題 (複数の誤検出や過剰なアラートなど) を引き起こしがちです。 そのような製品は通常、それぞれ限られた範囲しかカバーしておらず、連携すべき製品との間でオーバーヘッドや摩擦が生じることがよくあります。CNAPP 導入の重要なメリットは、クラウドインフラとアプリケーションのセキュリティを個別に監視するのではなく、クラウドネイティブアプリケーション全体の健全性を監視できるようになることです。

DSPM を CNAPP に統合することで、セキュリティチームは実用的なデータの文脈を把握でき、リスクの優先順位をより適切に判断し、顧客データの漏洩や AI リソース、知的財産の侵害につながる組織のエクスポージャーを低減できます。

Tenable が支援します

Tenable Cloud Security を使用すれば、強力な CNAPP 1つで、設定ミス、リスクのある権限、脆弱性から派生する特に危険なセキュリティギャップを迅速に顕在化させて修正し、リスクを削減できます。 Tenable Cloud Security は、内蔵されている DSPM 機能によって、マルチクラウド環境を継続的に監視し、データを検出してタイプ別に分類し、機密性レベルを割り当て、クラウドのアタックサーフェス全体の文脈を考慮して優先順位付けします。 

Tenable は、弱点を特定し、ギャップを検出し、エクスポージャーを迅速に解消できるよう支援します。今年のデータプライバシーデーを機に、組織の運営に不可欠なデータや保護を任されているデータを、その保存場所を問わず守るための行動を起こし、より効果的な対策を講じましょう。

もっと詳しく

• ウェビナー: 環境内のエクスポージャーを把握: AI 時代のクラウドデータ保護について
• ブログ:クラウドデータと AI リソースの保護が決め手になるクラウドセキュリティ態勢の要塞化
• データシート: Tenable Cloud Security に組み込まれたデータセキュリティ態勢管理 (DSPM)
• データシート: クラウドの AI リソースとデータを保護する Tenable Cloud Security
• 動画:Demo Video: Data Security Posture Management and AI Security Posture Management (デモ動画: データセキュリティ態勢管理と AI セキュリティ態勢管理)