ホーム > PC-Webzineアーカイブ > ベリタスのデータ保護ソリューションでGDPR対策を

ベリタスのデータ保護ソリューションでGDPR対策を

ベリタスのデータ保護ソリューションでGDPR対策を

2017年08月09日更新

「国内企業もGDPR(一般データ保護規則)の対象に。2018年5月25日から施行開始」

制裁金は最大2,000万ユーロか年間売上高の4%

企業には、サイバー攻撃を防御する対策だけではなく、データの厳重な管理の実現も求められるようになっている。国内では5月30日から「改正個人情報保護法」が施行されているが、これは、従来までの適用範囲であった「5,000件を超える個人情報を利用する事業者」の要件が撤廃されて、「個人情報を利用するすべての事業者」を対象とする変更などが加えられている。これまで対象になりにくかった中小企業や個人事業主も法規制の対象範囲になりやすいため、改めてデータ保護対策の強化が促されている。

グローバルに目を向けると、2018年5月25日からEUで施行される「一般データ保護規則(GDPR:General Data Protection Regulation)」に大きな注目が集まっている。日本貿易振興機構(ジェトロ)が発表した「『EU 一般データ保護規則(GDPR)』に関わる実務ハンドブック(入門編)」によると、GDPRはEUにおける個人情報保護の枠組みで、個人データの処理や個人データを欧州経済領域(EEA:European Economic Area)から第三国に移転するために満たすべき法的要件が規定されている。
GDPRで個人データと定義されているのは、「識別された、または識別され得る自然人(データ主体)に関するすべての情報」とされ、その例として以下が挙げられている。

自然人の氏名
識別番号
所在地データ
メールアドレス
オンライン識別子(IPアドレス、クッキー識別子)
身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

求められる対応としては、適切な個人データ保護指針の採択・実行とそれらの実証、個人データの処理行為の内部記録の保持、適切なセキュリティ措置の実施、データ主体の権利の尊重、インシデント発生時の監督機関への通知など。

適用対象については、営利活動に従事する企業だけでなく、公的機関・地方自治体・非営利法人なども含まれる(外交・防衛・警察などについては例外あり)。よって、EEA域内に現地法人・支店・駐在員事務所を置くすべての企業・団体・機関が、GDPRへの対応を検討することが求められている。中小・零細企業も対象で、EEA域内に現地法人・支店・駐在員事務所を置かない事業者であっても、インターネット取引などでEEA所在者の顧客情報を取得・移転する場合には適用対象になり得る。

同レポートでは、「EEAと個人データをやり取りする日本のほとんどの企業や機関・団体が適用対象となり、適用が開始される2018年5月25日までに適切な準備を進めることが必要だ」と指摘している。違反で課せられる制裁金は、最大で2,000万ユーロもしくは年間売上高の4%のいずれか高額の方となる。

GDPRの特長についてベリタステクノロジーズ テクノロジーセールス&サービス本部 常務執行役員兼エンタープライズSE部部長 髙井隆太氏は次のように解説する。「包括性、グローバルへの影響、罰則の厳しさの三つがGDPRのポイントです。こうした規制ができた背景には、ビジネスの源泉がデジタルデータに移行していて、それに応じた価値とリスクがデータを扱う上で発生しているからです。そのため、データを守る体制が従来以上に必要になっているのです。今だからこそ求められる規制と言えるでしょう」

ベリタステクノロジーズ テクノロジーセールス&サービス本部 常務執行役員兼エンタープライズSE部部長 髙井隆太 氏

360度のデータ管理体制を確立

情報管理ソリューションを提供するベリタステクノロジーズでは、GDPR対応を支援する「360度データ管理」ソリューションを今年の3月に発表した。360度データ管理ソリューションは、専門家による的確なサポートを提供する「GDPR対応アドバイザリーサービス」と、データの「特定」「検索」「最小化」「保護」「監視」を実現するソリューションで構成される。

「企業内に存在するデータは増え続けていますが、タグ付けや分類されているような意味がわかっているデータは45%で、残りの55%のデータは所在や意味がわからないデータで構成されているという調査結果が出ました。そこで、データの棚卸しと個人情報のマッピング、必要に応じたデータの保護、または削除というアプローチを可能にするために、360度データ管理という統合的なソリューションの提供を開始したのです」(髙井氏)

例えば、「特定」の領域では、メタデータの分析で正確なデータマップを作成できる「Veritas Information Map」の利用によって、機密情報の保存場所やアクセス可能なユーザー、保存期間を迅速に特定可能になり、必要に応じた適切な措置を講じられる。また、「最小化」の領域では、情報アーカイブソフト「Veritas Enterprise Vault」の個人情報分類サービスによって、適切な情報の保持と不要な情報の削除が実現。厳しいコンプライアンスのガイドラインを遵守できるポリシー設定を可能にする。「保護」の領域においては、データ保護ツール「Veritas NetBackup」の監査証跡と「Veritas Resiliency Platform」を組み合わせることで、データ保護と復旧機能の要件を両立させられる。さらに、予測型脅威分析ツール「Veritas Data Insight」を利用すれば、異常な挙動を自動的に検知したり、ユーザーの行動を可視化したりできるようになる。

これらの一連のソリューションをどのように活用するか、対応の自動化などGDPRに対する実践的なアプローチについては、GDPR対応アドバイザリーサービスでサポートするという。ベリタステクノロジーズが提供する360度データ管理ソリューションによって、説明責任およびガバナンス体制の確立や情報漏洩時の通知環境、保管の制限、個人の権利の確保というGDPRの主要要件を満たせると同社はアピールする。

企業のデータは増え続けているが、すべてのデータを適正な管理下に置けている企業はほとんど存在しないだろう。しかし、情報の保護が従来以上に強く求められるこれからの社会においては、データを管理・把握し、いつでも検索できたり不要なデータを削除したりできる体制が必要となる。そうした仕組み作りにおいてベリタステクノロジーズが提供するようなデータ管理ソリューションは、GDPRの対象企業ではなくても、いち早く導入していくべきであり、そうした視点からの提案も積極的に行っていくべきだろう。

「システムセキュリティ管理製品やセキュリティ運用・管理サービス市場が成長している」

内部ネットワークを常時監視するシステム需要が拡大

日本ネットワークセキュリティ協会(JNSA)が「情報セキュリティ市場調査報告書」の2016年度版を発表しているので、本特集で扱ったソリューションも含めてみていこう。

まず、国内情報セキュリティ市場規模だが、情報セキュリティツールと情報セキュリティサービスを合わせた2015年度の情報セキュリティ市場規模総額は8,965億円。前年度比6.4%のプラス成長だった。同調査では、2016年度は9,327億円、2017年度は9,795億円と堅調な成長を予測している。

調査内では、「国内情報セキュリティ市場規模は、2017年度には9,000億円台後半から1兆円に手が届く規模にまで拡大すると期待されるが、それはすなわち情報セキュリティ対策がより重要かつ必須の経営課題と位置づけられることであり、そしてまた、情報セキュリティ産業の社会的責任がますます重要になることを意味する」と解説している。

情報セキュリティの中で情報セキュリティツールの2015年度の市場規模は4,705億円、2017年度には5,098億円まで拡大すると予測する。情報セキュリティツールは、「統合型アプライアンス」「ネットワーク脅威対策製品」「コンテンツセキュリティ対策製品」「アイデンティティ・アクセス管理製品」「システムセキュリティ管理製品」「暗号化製品」と六つのカテゴリーに分類されているが、その中で最も高い37.6%の割合を占めるのがエンドポイントセキュリティ対策製品を中心としたコンテンツセキュリティ対策製品だった。その傾向について日本ネットワークセキュリティ協会 セキュリティ市場調査WGリーダーの木城武康氏は、「アンチウイルスソフトが振る舞い検知型に入れ替わってきています」と指摘する。

日本ネットワークセキュリティ協会 セキュリティ市場調査WGリーダー 木城武康 氏

本特集で中心的に扱った内部ネットワークの監視や解析、診断を行う「システムセキュリティ管理製品」の2015年度の市場規模は702億円で、前年度比5.9%と高い伸びを示した。標的型攻撃への対策として内部ネットワークのトラフィック異常を常時監視するセキュリティ情報管理システムの需要が大きくなっているという。「監視をしていれば被害を最小限に抑えられます。また、脆弱性情報とシステムの構成情報をマッチングさせてリスクのある端末などについてはアラートで通知してくれるような仕組みも強く求められています」(木城氏)

セキュリティ運用・管理サービスは前年度比39.1%増

情報セキュリティサービス市場も拡大している。2015年度は4,260億円、前年度比8.1%のプラス成長を果たした。こちらも成長を続け、2016年度は4,447億円、2017年度は4,696億円の市場規模を予測している。「特に伸びているのはセキュリティ運用・管理サービスです。前年度比39.1%増の1,742億円市場にまで急成長しました。情報セキュリティサービス市場全体においても40.9%を占めます」と木城氏。

セキュリティ運用・管理サービスは、ネットワークセキュリティの監視・運用・攻撃への対処を専門家が代行するマネージドセキュリティサービスや、システムの弱点を専門技術で点検する脆弱性検査サービス、インシデントへの対応を行うプロフェッショナルサービスなどで構成される。中でもセキュリティセンサーやエンドポイントのログを転送して分析結果の提供を受けるマネージドセキュリティサービスの需要が急速に広がっている。

「運用・管理サービスでは、例えばログの相関分析などのサービスが伸びています。現在は多層防御が要求されていて多彩なセキュリティ製品が企業に導入されていますが、ユーザー側ではそれらの製品を管理しきれなくなっている状況です。そこでそれらを統合的に管理してログなども相関的に分析するようなサービスの市場が拡大しているのです。最近は相関分析で感染の予兆を発見して迅速に対応できる環境も求められていますね」(木城氏)

セキュリティ運用・管理サービス市場の中で大きな割合を占めているのは、「セキュリティ総合監視・運用支援サービス」だ。市場規模は454億円で26.1%の割合を占める。サイバー攻撃対策需要などでさらなる堅調な伸びが予測されている。今後は、脅威の特定・インシデント解析のためのインテリジェンスおよびアナリティクス需要が高まる可能性もあるという。

「現在はCSIRTを立ち上げる組織や団体が増えていますが、何をすべきか判断できない状況にある組織も少なくありません。そこで、そうした組織を支援するサービスの市場も広がっています。例えば、セキュリティ情報提供サービスなどですね。こちらは2015年度で前年度比147.7%プラス成長の53億円規模になっています」

これからの情報セキュリティ市場については、「以前であればゲートウェイ部分の対策が主でしたが、徐々にネットワーク内部の対策へと重点が移行しています。今後はエンドポイントに傾いていくでしょう。エンドポイントを厳重に管理できなければ、サイバー攻撃の被害を防げなくなってきているからです」と木城氏は話す。

キーワードから記事を探す