現在、セキュリティ チームは、マルチクラウド環境、オンプレミス システム、サービスとしてのソフトウェア (SaaS) プラットフォーム、エンドポイント、AI ツール全体のデータを管理する必要があります。内部関係者による脅威、過剰共有、データ スプロールの管理が困難になる中で、ガバナンスは、リスクを軽減し、可視性を向上させ、より広範なサイバーセキュリティの取り組みをサポートする直接的な役割を果たします。
セキュリティのためのデータ ガバナンスとは?
重要なポイント
- セキュリティのためのデータ ガバナンスは、組織が最新の環境全体で機密データを分類、保護、監視するのに役立ちます。
- 強力なプログラムは、最小限の特権、ゼロ トラスト、コンプライアンス、インシデント応答をサポートします。
- セキュリティに重点を置いたガバナンスは、明確な所有権、一貫性のあるポリシー、継続的なレビューに依存します。
- 適切なツールは、チームがデータを検出し、露出を減らし、リスクに迅速に対応するのに役立ちます。
データ ガバナンスとは?
ガバナンスをセキュリティの観点から見る
セキュリティ チームは、データ ガバナンスを使用して、いくつかの重要な質問に答えます:
- どのデータが機密情報ですか?
- どこに保存されていますか?
- 誰がアクセスできますか?
- どのように使用、共有、または変更されていますか?
これらの回答が不明確な場合、リスクは大きくなります。機密情報が、過剰共有されたり、保護されないままになったり、それを必要としないユーザーやシステムに露出されたりする可能性があります。
ガバナンスによってデータ資産全体がカバーされるようになりました
データ ガバナンスは、もはや中央システム内の構造化データだけに適用されるものではありません。現在、対象範囲は次のとおりです:
- クラウド環境
- オンプレミス システム
- SaaS アプリケーション
- エンドポイントとコラボレーション ツール
- AI アプリとサービス
機密性の高いデータが、以前よりも多くの場所、より多くのユーザー、より多くのワークフローを横断して移動するようになったため、より広い範囲を考慮することが重要です。ガバナンスは、セキュリティ チームがのデータの分散全体で一貫したルールを適用するのに役立ちます。そのため、保護はデータがどこに存在するかに依存しません。
セキュリティ チームにとって重要な理由
明確なガバナンス アプローチは、チームに次のように役立ちます:
- 機密情報を識別して分類することでデータ リスクを軽減します。
- アクセスできるユーザーを定義することで最小限の特権をサポートします。
- データ アクセスを継続的に制御およびレビューする必要があるものとして扱うことで、ゼロ トラストを強化します。
- データ処理を追跡および評価しやすくすることで監視を改善します。
セキュリティにとってデータ ガバナンスが重要な理由は?
データ ガバナンスは、組織が機密データを識別し、保護し、アクセスを制御し、その使用方法を監視する一貫した方法を提供するため、セキュリティにとって重要です。その基盤が整うと、セキュリティ チームは、クラウド サービス、オンプレミス システム、SaaS アプリ、エンドポイント、AI ツールを含む複雑な環境全体でリスクを軽減できます。
ガバナンスがセキュリティの成果をサポートする方法
強力なデータ ガバナンスにより、機密データの検索、分類、保護、追跡が容易になり、セキュリティ チームがデータ侵害、サイバー攻撃、内部関係者による脅威のリスクを減らすのに役立ちます。また、明確なアクセス制御とポリシーの適用を適用することで偶発的な露出を減らすため、承認された境界外でデータが過剰に共有または処理される可能性が低くなります。
組織がより多くのクラウド サービス、SaaS プラットフォーム、AI アプリを採用するにつれて、ガバナンスは、これらの環境全体の保護とコンプライアンス プラクティスに共通の枠組みを提供します。この一貫性は、チームがシステムやワークフローごとに異なるルールに依存することなく、データ リスクを管理するのに役立ちます。
セキュリティ チームにとっての主な利点
明確に定義されたガバナンス プログラムは、組織にとって次のように役立ちます:
- 機密データを識別、保護、監視することで侵害とインサイダー リスクを軽減します。
- 強力なアクセス制御とポリシーの適用によって偶発的な露出や過剰共有を防止します。
- 環境全体で標準化された保護とコンプライアンス プラクティスを適用することでクラウド、SaaS、AI の導入をサポートします。
- データ処理を法律、規制、業界の要件に合わせて調整することでコンプライアンスと監査の準備を強化します。
- 調査中にデータアクセスと使用状況を追跡しやすくすることでインシデント応答を改善します。
- ビジネスデータと AI データに対する信頼を構築し、チームがより安心して意思決定を行えるようにします。
- より自動化され、標準化された制御により運用効率を向上させます。
実践上で重要な理由
明確なガバナンスがなければ、セキュリティ チームは機密データの場所の特定、アクセス権を持つユーザーの確認、システム間での情報の移動方法の確認に多くの時間を費やします。ガバナンスを適用することで、保護、調査、コンプライアンス レビュー、日常的な意思決定のためのより強力な基盤が得られます。
セキュリティ優先のデータ ガバナンス フレームワークとその柱
最新のセキュリティ主導のデータ ガバナンス プログラムには、次の 2 つが必要です:
- ガバナンス作業の実行方法に関する明確なライフサイクル。
- 日々の意思決定を導く主要な重点領域のセット。
これらの要素を組み合わせることで、組織はビジネス全体の機密データを識別、分類、保護、監視できます。
セキュリティ優先のデータ ガバナンス ライフサイクル
実用的なフレームワークは、繰り返し可能なライフサイクルから始まります。各ステージは、その前のステージに基づいて構築され、セキュリティ オペレーション (SecOps) チームに、時間の経過に伴ってデータ リスクを管理するための構造化された方法を提供します。
1. ポリシーと標準を定義する
機密データを分類、アクセス、共有、保持、保護する方法に関するルールを設定し、セキュリティとコンプライアンスの要件を最初から組み込みます。
2. セキュリティとガバナンスの制御を実装する
システムとワークフロー全体に技術的な制御、アクセス制限、ラベル付け、およびポリシーの適用を通じて、これらのルールを実践します。
3. データの使用状況とリスクを監視する
機密データの移動場所、使用方法、危険なアクティビティやポリシーのずれが発生している可能性がある場所を追跡します。
4. インシデントの調査と修復
問題を確認し、アクティビティを追跡し、露出を封じ込め、アクセス、処理、監視のギャップを修正します。
5. 反復処理と改善
脅威、ビジネス ニーズ、テクノロジ、規制の変化に応じて、ポリシー、制御、プロセスを調整します。
セキュリティ主導のガバナンスの主要な柱
これらの柱が重要な理由
これらの柱は、情報をすばやく見つけ、要約し、共有できる AI 搭載ツールなどの最新のユース ケースで特に重要です。セキュリティ ファーストのアプローチは、組織が一貫した保護を適用し、監視を維持し、変化する脅威や規制の圧力に対して、対応するためのより強力な基盤となります。
データ ガバナンスの成熟度を評価し、向上させる
データ ガバナンスの成熟度は、アドホックな事後対応型制御から、より積極的なセキュリティ フレームワークまで、セキュリティの観点から現在のプログラムを評価するのに役立ちます。チームが現状を理解し、次に改善すべき内容を把握するための実用的な方法を提供します。
評価対象
成熟度のレビューでは、データのリスクと監視に最も影響する領域を詳しく確認する必要があります。これには、機密データの検出、アクセス制御の適用、インシデントの応答、およびコンプライアンスの監視を、組織が継続的にどれくらい適切に行えているかを確認することを含みます。
確認すべき質問は次を含みます:
- 機密データは環境全体で一貫して分類されていますか?
- アクセス ポリシーは明確に、かつ最小限の特権を念頭に置いて適用されていますか?
- チームは、リスクの高いデータの動作と新たな脅威を継続的に監視できていますか?
- 監査とインシデント対応のプロセスは定期的で、追跡可能で、タイムリーですか?
進捗のイメージ
プログラムが成熟するにつれて、セキュリティに重点を置いた目標はより一貫し、測定が容易になるはずです。一般的な目標は次を含みます:
- すべての環境にわたって機密データを一貫して分類し、同じ種類の情報が同じ方法で処理される
- 最小限の特権ポリシーとアクセス ポリシーの自動適用により、不要なアクセスを減らし、ポリシーのずれを制限する
- リスクの高いデータの動作と脅威を継続的に監視し、問題を早期に発見する
調査、アカウンタビリティ、コンプライアンス レビューをサポートするための、定期的な監査および迅速で追跡可能なインシデント応答。
成熟度モデルを使用して前進する
成熟度モデルは、進捗をベンチマークし、セキュリティ投資の優先順位を付け、改善内容をリーダーシップへ明確に伝達するに役立ちます。また、最初に対処すべきギャップと、時間の経過と共に変化を測定する方法を決定するための共有の枠組みをチームに提供します。
プログラムを継続的に改良する
データ ガバナンスの成熟度は、1 回限りのマイルストーンではありません。プログラムは、脅威、テクノロジ、規制の変化に応じて見直し、改良する必要があります。そうすることで、セキュリティコントロールとガバナンス プラクティスが現行のリスクと適合し続けられます。
データ ガバナンスとデータ セキュリティとコンプライアンス
データ ガバナンス、データ セキュリティ、コンプライアンスは密接に関連していますが、同じではありません。データ ガバナンスは、ビジネス全体でデータを整理、所有、管理する方法を定義します。データ セキュリティは、そのデータを保護するために技術的およびプロセスの制御を適用します。コンプライアンスは、これらのガバナンスとセキュリティ プラクティスが、法律、規制、および業界と一致することを保証します。
データ ガバナンスはルールを定めます
データ ガバナンスは、データに関する構造を確立します。誰がデータを所有するのか、データを分類する方法、処理方法、組織全体に適用される標準を定義します。ガバナンスは、機密情報を一貫した方法で管理するための運用モデルをセキュリティ チームに提供します。
データ セキュリティはデータを保護します
データ セキュリティは、機密情報を損失、悪用、または不正アクセスから保護するための制御を通じて、これらの規則を実践に移します。一般的な例としては、DLP、Information Rights Management (IRM)、秘密度ラベル、データ セキュリティ態勢管理 (DSPM)、インサイダー リスク制御などがあります。これらの対策は、クラウド サービス、オンプレミス システム、エンドポイント、アプリ、AI ワークフロー全体の露出を減らすのに役立ちます。
コンプライアンスは義務を果たすのに役立ちます
コンプライアンスは、データ プラクティスが外部および内部の要件を満たしているかどうかに焦点を当てています。これには、GDPR や HIPAA などの規制フレームワークと、会社のポリシーと監査の要件が含まれます。実際には、コンプライアンスは、健全なガバナンスと強力なセキュリティ制御の両方に依存します。
連携の仕組み
これら 3 つの規範は、連携している場合に最適に機能します:
- ガバナンスは、データを整理、所有、管理する方法を定義します。
- セキュリティは、日常的に使用されるデータを保護するための制御を適用します。
- コンプライアンスはこれらの制御とプロセスが必要な基準を満たしていることを確認します。
Microsoft Purview は、AI の時代における保護、ガバナンス、コンプライアンスのニーズをカバーする機能を備え、単一のプラットフォームでこれらの規範全体で統一されたアプローチを提供します。
セキュリティ チーム向けのデータ ガバナンス ツールとテクノロジ
セキュリティ チームは、データ ガバナンス ツールを使用して機密データを見つけ、分類し、アクセスを制御し、クラウド サービス、オンプレミス システム、SaaS アプリ、エンドポイント、AI ツール全体のリスクを監視します。これらのテクノロジは、組織が広範で多くの場合断片化されたデータ環境全体で一貫した保護を適用するのに役立ちます。
セキュリティ チームが求めるコア機能
強力なデータ ガバナンス ツールセットは、いくつかの主要な機能をサポートする必要があります:
統合されたデータの検出と分類。クラウド、オンプレミス、SaaS、AI 環境全体で機密データを見つけ、機密度とビジネスへの影響に基づいて分類します。
機密度ラベル付けとポリシーの適用。データへのアクセス、共有、格納、および使用方法に関する明確なルールを適用します。
データ損失防止 (DLP)。メール、エンドポイント、ブラウザー、クラウド アプリ間の危険なデータ移動を検出してブロックします。
インサイダー リスク管理。誤用、過失、ポリシー違反など、機密データを危険にさらす可能性のあるユーザーの行動を特定します。
データ セキュリティ態勢管理 (DSPM)。継続的にデータ リスクを評価し、制御のギャップを確認し、AI の使用、過剰共有、露出した機密コンテンツに関連する問題を追跡します。
データ カタログとビジネスの用語集。チームがビジネス全体でデータを記述、整理、および検索するための共有の方法を提供することで、一貫性をサポートします。
自動化と AI の役割
自動化と AI で次の作業を支援することで、手動作業を削減できます:
- 機密データの分類
- 危険なアクティビティの検出
- ポリシーの提案と制御の更新
- データ露出とアクセス パターンの継続的なレビュー
これらの機能は、AI データ セキュリティもサポートし、チームが AI 主導のワークフローで機密データがどのように使用されているかを監視するのに役立ちます。そうすることで、セキュリティ チームは手動のレビューに費やす時間を減らし、保護の改善とリスクへの応答に多くの時間を費やせます。
これらのツールが重要な理由
適切なツールがないと、機密データの保存場所、ラベル付け方法、アクセスできるユーザー、システム間での移動方法を追跡することは困難です。より強力なガバナンス ツールセットを使用すると、セキュリティ チームはより一貫性のある制御を適用し、問題に迅速に応答し、最新のデータ環境全体でより適切な監視を維持できます。
セキュリティを重視したデータ ガバナンスのベスト プラクティス
強力なデータ ガバナンス プログラムは、セキュリティ、データ、コンプライアンスの各チームが機密情報の処理方法について責任を分担している場合に最も効果を発揮します。明確な所有権、実用的なポリシー、定期的なレビューは、組織がテクノロジ、ビジネス ニーズ、規制の変化に対応しながらリスクを軽減するのに役立ちます。
責任の共有から始める
データ ガバナンスは、1 つのチームに任せるべきではありません。セキュリティ リーダー、データ リーダー、コンプライアンス チーム、エグゼクティブ スポンサーはすべて、優先順位の設定、ポリシーの承認、およびリスクのレビューにおいてそれぞれ役割を果たします。責任を分担することは、ガバナンスをビジネス目標とセキュリティ要件の両方に合わせて維持するのに役立ちます。
影響の大きいデータにまず重点を置く
すべてのデータに同じレベルのリスクがあるわけではありません。実践的な出発点は、露出が最も大きな影響を与える領域に焦点を当てることです。例えば:
- 人事データ
- 顧客データ
- 財務データ
- 知的財産
これらの領域から始めることで、ガバナンスの取り組みをさらに広げる前に、チームが最も機密性の高い情報に対処するのに役立ちます。
アクセスと信頼に基づいてポリシーを構築する
ガバナンス ポリシーは、コア セキュリティ原則 (特にゼロ トラストと最小限の特権) に合わせる必要があります。つまり、機密データへのアクセスを制限し、定期的にレビューし、明確なビジネス ニーズに結び付ける必要があります。ポリシーでは、データの分類、共有、保持、監視方法も定義する必要があります。
明確さを高める場面で自動化を使用する
手動によるガバナンス作業は時間がかかり、大規模な保守が困難になります。オートメーションは、次の機能をサポートすることで役立ちます:
- データ検出
- 分類
- ポリシーの適用
- アクセスと使用パターンの継続的なレビュー
これにより、チームに複雑な環境全体に制御を適用するためのより一貫性のある方法が提供されます。
継続的に監視する
ガバナンスは、1 回限りのセットアップではなく、継続的なセキュリティ機能として見直される必要があります。継続的な監視は、チームが危険なデータの動作を特定し、監査アクティビティを確認し、制御のギャップを早期に特定するのに役立ちます。役に立つシグナルには、監査ログ、データ セキュリティ態勢の分析情報、インシデント検出が含まれます。
テクノロジの変更に合わせポリシーを更新する
組織が新しいクラウド サービス、AI ツール、コラボレーション プラットフォームを採用する場合は、ガバナンス ポリシーを確認し、更新する必要があります。新しいテクノロジは、多くの場合、データの作成、共有、アクセス方法を変更します。つまり、ガバナンス ルールも変更する必要がある可能性があります。
アカウンタビリティを日常業務に組み込む
強力なガバナンス プログラムは、ツールやポリシーだけに依存するわけではありません。データ スチュワードシップとアカウンタビリティの文化も必要です。チームが、機密情報を保護し、承認されたプラクティスに従うための自身の役割を理解している必要があります。
時間の経過に伴う進捗を追跡する
成熟度モデルは、組織が進行状況を測定し、弱点を特定し、改善のための優先順位を設定するのに役立ちます。また、ガバナンスの取り組みが時間の経過とともにどのように発展しているかを、リーダーシップが明確に把握できるようにします。
一般的なデータ ガバナンスの課題とその解決方法
適切に計画されたデータ ガバナンス プログラムであっても、障害が発生することがあります。最も一般的な問題には、サイロ化されたデータ、可視性の制限、リソースの制約、変更への抵抗が含まれます。これらの問題は、進行を遅らせ、セキュリティ態勢にギャップを生み出し、セキュリティ チームが組織全体に一貫した保護を適用することを困難にします。
よくある課題
サイロ化したデータ
機密情報は、多くの場合、複数のシステム、チーム、プラットフォームにまたがって格納されています。データが分散すると、一貫した方法で分類、保護、監視することが困難になります。
可視性の欠如
多くの組織は、機密データの場所、アクセスできるユーザー、クラウド サービス、エンドポイント、SaaS アプリ、AI ツール間での移動方法を把握するのに苦労しています。これを把握できていないと、リスクを管理するのが難しくなります。
リソースの制約
チームがポリシー、分類、レビューを最新の状態に保つために十分な時間、スタッフ、またはテクニカル サポートがないと、ガバナンス作業が滞ることがあります。
組織の抵抗
ガバナンスの取り組みでは、多くの場合、ユーザーが情報を格納、共有、管理する方法を変更する必要があります。チームがガバナンスをリスク削減の一部ではなく余分なプロセスと見なすと、摩擦が生じることがあります。
それらに対処するための実践的な方法
次のような重点的な手順は、プログラムを前進させるのに役立ちます:
- すべてを一度に管理しようとするのではなく、人事、財務、顧客、知的財産データなどのリスクの高いデータ ドメインから始めます。
- 機密データの保存場所とアクセス方法を特定することで、まず可視性を向上させます。
- 検出、分類、ポリシーの適用に可能な限り自動化を使用して、手動による作業を減らします。
- ガバナンスの決定が滞らないようにセキュリティ、データ、コンプライアンス チーム全体で責任の所在を明確にします。
- クラウド サービス、AI ツール、ビジネス ワークフローの変化に合わせポリシーを定期的に確認および更新します。
- 成熟度モデルを使用して進行状況を追跡し、より注意や投資が必要な場所でリーダーシップを発揮します。
目標は、すべてのガバナンスの問題を一度に解決することではありません。可視性、責任の共有、管理可能な改善に重点を置いた安定したアプローチは、ガバナンスをより持続可能にし、時間の経過と共にセキュリティ チームにとってより有用なものにできます。
Microsoft のセキュリティおよびデータ ガバナンス ソリューション
セキュリティ重視のデータ ガバナンス プログラムには、チームがデータを理解し、明確に整理し、ビジネス全体で一貫した監視を適用するためのツールが必要です。Microsoft Purview データ ガバナンスは、可視性、キュレーション、およびデータの信頼度を重視した機能を備え、統合的なアプローチでデータを管理、理解、管理する方法を提供します。
データのより接続されたビュー
組織は、Microsoft Purview データ ガバナンスを使用して、分散したカタログやデータ ソース全体の可視性を簡素化し、データ品質と系列を使用してデータ スチュワードをサポートし、大規模なデータの検出と理解を向上させることができます。このガバナンス エクスペリエンスには、資産のスキャンとメタデータのキャプチャのためのデータ マップと、データへのアクセスを検索、キュレーション、管理するための統合カタログが含まれます。
より適切に管理されたデータ資産によって、セキュリティ チームとコンプライアンス チームは次のことが容易になります:
- 分散した環境全体で機密データを見つける。
- 品質と系列の情報を通じてデータの信頼を向上させる。
- 分析と AI のシナリオで責任あるデータ使用をサポートする。
- データのセキュリティ、ガバナンス、コンプライアンスのニーズをより統一されたビューから操作する。
Microsoft Purview データ ガバナンスを使用して組織のエンタープライズ データ ガバナンスを確立する方法について説明します。
よく寄せられる質問
よく寄せられる質問
- セキュリティにおけるデータ ガバナンスは、組織が機密データへのアクセスを分類、保護、制御する方法を定義します。ポリシー、ロール、制御を使用して、データ リスクを軽減し、最小限の特権をサポートし、クラウド、SaaS、エンドポイント、AI システム全体のコンプライアンス要件を満たすのに役立ちます。
- セキュリティ用のデータ ガバナンス フレームワークは、ポリシー、ロール、分類、アクセス ガバナンス、監視、インシデント応答を整合させて、機密データが一貫して管理されるようにします。これにより、チームは、データを保護し、リスクを追跡し、時間の経過と共に制御を改善するための体系的な方法を提供します。
- データ ガバナンス ツールは、セキュリティ チームが機密データを検出し分類し、データ損失防止を適用し、インサイダー リスクを監視し、データ セキュリティ態勢管理 (DSPM) の評価、監査アクティビティを確認し、統合カタログで情報を整理するのに役立ちます。Microsoft Purview は、この種のプラットフォームの一例です。
- セキュリティ主導のデータ ガバナンスの重要な柱には、データの可視性と検出、分類とラベル付け、アクセス ガバナンスと最小限の特権、データのセキュリティと保護、プライバシーと規制へのコンプライアンス、データ ライフサイクルの管理と保持が含まれます。
Microsoft Security をフォロー