本文の内容は、2024年7月25日に CRYSTAL MORIN が投稿したブログ(https://sysdig.com/blog/transforming-enterprise-data-from-leaky-sieve-to-fort-knox/)を元に日本語に翻訳・再構成した内容となっております。
今日の企業は、企業データの管理、ガバナンス、およびセキュリティにおいて重大な課題に直面しています。データは思っている以上に広範囲に移動し、共有されています。大規模言語モデル(LLM)の利用、サードパーティベンダーとの共有、あるいはダークウェブでの露出を通じて、データがどこにあり、どのように、そして誰によってアクセスされているかをセキュリティチームやITチームが見えなくしている盲点が存在します。この重要な可視性がなければ、データアクセスを効果的に管理することはほぼ不可能です。データがLLMにロードされるか、ベンダーと共有されるかに関わらず、リスクにさらされる可能性がかつてないほど高まっています。
データガバナンスの実践、例えば分類、マッピング、およびアクセス制御は、データレイク、API、クラウドストレージなど、今日の企業が依存する技術やアプリケーションによってさらに難しくなっています。これに加え、プライバシーに関する規制が増加しているため、運用の複雑さも増しています。
結局のところ、企業はデータをどのように扱うかについて責任を負うことになります。
多くのセキュリティ リーダーにとって、データの可視性はデータ侵害から始まります。侵害で発見されたサードパーティアプリケーション内のデータ管理の不備に気付くのは、そのときだけです。侵害通知は、ベンダーやパートナーとのサービス契約で組織のデータに対する適切なセキュリティ対策が求められていなかったことに気付くには、適切なタイミングではありません。
データ侵害が発生した場合、どこで始まったのか、また、どのアプリケーション、ベンダー、ソースが関係しているのかがわからないことがよくあります。データがダーク ウェブに流れ込んだ経緯と理由がわからなければ、適切な対応を判断する方法はありません。どのハッチを閉める必要があるのかわからない場合、「ハッチを閉めろ」という命令は適切ではありません。ただし、データ アクセス制御を厳格にすることで、盗まれた情報に誰がアクセスしたかを把握しやすくなります。 最小権限、必要最小限のアクセス、職務の分離などのベスト プラクティスの原則を活用し、デジタル ウォーターマークを使用して機密データの移動を追跡およびトレースすることを検討してください。
ダークウェブへの暴露
CISO は、ランサムウェア攻撃を受けた後、企業データへのアクセスを回復し、システムを迅速にオンラインに戻すよう企業からプレッシャーを受けています。多くの場合、ビジネス機能を回復するために急いでいると、脅威アクターが完全には根絶されず、攻撃の真の根本原因の調査が見落とされてしまいます。多くの場合、ネットワーク アクセスや盗み出された企業データがダークウェブの悪質なサークルで売買されるため、恐喝行為が繰り返されることになります。調査方法が不完全だったため、このデータがどのように侵害されたかは完全には理解されていません。
明らかに、CIO と CISO はデータ ガバナンス ライフサイクルの早い段階から関与する必要があります。具体的には、両者はデータの分類、データフローとインターフェイス、エンティティの観点からの適切な制御について理解する必要があります。彼らの洞察は、内部データの誤用や脅威アクターによるデータ侵害による企業データへのリスクを軽減するのに役立ちます。
内部からのデータ漏洩
従業員による不注意な誤用は、脅威アクターによるデータ流出と同じくらい大きな影響を及ぼす可能性があります。たとえば、大規模言語モデル (LLM) を考えてみましょう。従業員は、質問やクエリーで企業データをこれらのモデルに入力することで、無料または低コストの LLM を調査および分析に活用します。これらのツール自体が問題なのではなく、問題を引き起こすのはその使用方法です。CIO や CISO は、安全なデータ処理に関するメモを好きなだけ作成できますが、多くの場合、便宜がデータガバナンスとセキュリティよりも優先されます。
LLM は回答を提供する際に、企業データを取り込み、他のプラットフォームユーザーと共有する可能性があります。これだけでなく、データの収集と販売で利益を得ている LLM の背後にある企業もこの情報にアクセスできるようになります。つまり、これらのシステムにアップロードされたコンテンツに対する知的財産権を失う可能性があります。たとえば、CoPilot の利用規約のセクション 6.3 をご覧ください。
「お客様は、CoPilot に対し、サービス、システム、および CoPilot のその他の製品やサービスの開発と改善を含むがこれらに限定されない、CoPilot の内部業務目的で、集約され匿名化された形式で顧客データを使用、複製、処理、表示する永久的、世界的、ロイヤリティフリー、非独占的、取消不能なライセンスを付与します。」
サードパーティのデータの不適切な取り扱い
次に、サードパーティのデータ損失があります。ほとんどの企業は、データの収集、処理、保存にサードパーティのサービスに依存しています。サードパーティが厳格なセキュリティとデータ ガバナンス制御を維持している場合でも、サービスプロバイダーが侵害された場合は、常に暴露のリスクがあります。これらのインシデントは孤立したものではなく、今ではますます一般的になっています。最近の注目すべき例としては、Lash Group、Change Healthcare、American Express の侵害があります。これらの侵害は、サードパーティのインシデントがいかに重大で影響力が強いかを浮き彫りにしています。
以前のブログで説明したように、CISO と CIO がこの問題に正面から取り組む方法の 1 つは、ベンダー、サプライヤー、パートナーが、セキュリティ インシデントの発生時に会社を保護する契約条項に裏付けられた防御可能なセキュリティ プログラムを備えていることを確認することです。契約では、セキュリティ、プライバシー、リスク管理の要件を適宜成文化する必要があります。
団結して勝利を収める
データガバナンスは、チームスポーツであり、IT チームとセキュリティ チームは単独では機能できません。組織全体の主要なビジネスステークホルダーとのコラボレーションが必要です。さまざまな視点を持つこれらのビジネスステークホルダーは、サード パーティ関係のコンテキスト、会社が使用するデータの性質と範囲、このデータが侵害された場合にビジネスに及ぼす潜在的な影響を理解しています。効果的なデータガバナンスを困難にする DevOps とセキュリティ間の歴史的な亀裂の名残を一掃することが重要です。クラウドでの可視性とリスク軽減は、コラボレーションによって支えられています。組織が直面するシステム、テクノロジ、サービス、規制要件の数を考えると、コラボレーションはあればよいというものではなく、運用上不可欠なものとして考える必要があります。
CISO と CIO は、このコラボレーションを推進する独自の立場にあります。 1 つの強力なオプションは、セキュリティ、法務、コンプライアンス、投資家向け広報、調達、IT、リスク管理、財務の主要な関係者で構成されるデータガバナンス委員会を設立することです。 共同で委員会憲章を起草し、関係者がデータガバナンスのリスクを報告する義務を負うことを保証してください。 また、組織のデータ ライフサイクル全体にわたる役割と責任 (特定の高価値データ セットに関連するリスク決定を行う権限を持つ人物を含む) も概説する必要があります。 さらに、リスクレジスタを使用して、特定されたリスク要因と推奨されるリスク軽減策を記録します。 データガバナンスに重点を置く企業は、企業データに対するリスクに直面したときにより回復力を発揮できる可能性があります。
まとめ
データを管理し保護することは大きな課題であり、可視性がないとデータアクセスの管理はほぼ不可能です。データガバナンスの実践は、現代の技術によって複雑化し、さらにプライバシー規制によって一層困難になります。セキュリティインシデントは可視性の盲点を浮き彫りにし、私たちのデータが思った以上に広範囲に分散・共有されていることを明らかにします。
CISO やCIO は、データガバナンスライフサイクルの早い段階から関与し、データ分類、マッピング、アクセス制御を理解し、この知識を組織全体の利害関係者に提供する必要があります。データ漏洩のリスクを軽減するには、組織内のデータライフサイクル全体を通じて、従業員から第三者に至るまで、適切な理解、取り扱い、管理が求められます。