データ保護はどうする?危機から守る具体的な方法、関連法などを解説

「会社の重要なデータを保護するには何が有効?」
「データ保護に関して何か法律はある?」 

個人情報や機密データなどを扱っていて、そのような疑問を持つ方も多いでしょう。

「データ保護」とは、不正アクセスなどのサイバー攻撃やシステム障害、自然災害などのさまざまな脅威から重要なデータを守ることです。近年は、企業や個人が保持しているデータが以下のようなさまざまなセキュリティリスクに晒されています。
そのため、データ保護の重要性がより高まっているのです。

【情報セキュリティ10大脅威 2022】
出典:独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2022

そこでこの記事では、データ保護の具体的な方法についてくわしく説明します。
◎データ保護とは
◎データ保護の必要性
◎データ保護の方法
◎RPOとRTO
◎データ保護に関する法律やルール

最後まで読めば、データ保護の正しい方法がわかるはずです。
この記事で、あなたの大切なデータが安全に保護されるよう願っています。

1. データ保護とは

まず最初に、「データ保護」とはどんなことか、あらためて考えてみましょう。

1-1. 「データ保護」とは?

 「データ保護」とは、不正アクセスなどのサイバー攻撃やシステム障害、自然災害などのさまざまな脅威から重要なデータを守ることです。

 社会が広くIT化された現在、企業も個人もさまざまなデジタルデータを保持しています。
中には重要な個人情報や機密情報もあり、それらを安全に保存することは、データを持っている者の義務とも言えるでしょう。
が、一方で重要なデータを故意に盗んだり破壊しようとクラッキングを仕掛けてくる悪質なクラッカーは後を絶ちません。そのため、アンチウイルスソフトなどのセキュリティソリューションを利用するなど、データ保護の対策が必要です。

 また、悪意ある攻撃とは別に、地震や台風、火災、事故などの不測に自体によって、保存しているデータが破損したり消失したりする恐れもあります。
特に東日本大震災でこの危機を実感した企業も多いようで、防災対策やBCP対策の一環としてバックアップを作成するなど、データ保護に取り組む例が増えています。

1-2. データ保護の必要性

 データ保護がなぜ必要なのか、もう少し深く考えてみましょう。

以下の表を見てください。
独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2022」というランキングで、2021年に発生した情報セキュリティに関するインシデントをランクづけしたものです。

【情報セキュリティ10大脅威 2022】
出典:独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2022

これによると、個人向けの脅威1位は「フィッシングによる個人情報等の詐取」、組織向けの1位は「ランサムウエアによる被害」となっています。

ランサムウエアはマルウエアの一種で、コンピュータがこれに感染すると利用者はシステムへのアクセスができなくなり、回復することと引き換えに金銭を要求するものです。
言い換えると、データを人質にとって身代金を要求する手口です。

そのほかにも、「クレジットカード情報の不正利用」「インターネット上のサービスからの個人情報の窃取」「標的型攻撃による機密情報の窃取」「内部不正による情報漏えい」など、データに対するリスクが多く挙がっています。

これらの被害に遭った企業や個人は、金銭的、社会的に大きな損失を被ります。
特に、膨大な顧客情報を保有する企業が情報流失してしまった場合には、被害の影響は計り知れません。
そのような危険を未然に防ぐためには、常日頃からデータ保護の対策をとっておく必要があるのです。

2. データ保護の方法

では、実際にデータを保護するにはどんな対策が有効でしょうか?

ツールやWEBサービスなどを利用する方法から、運用面での対策など多種多様な方法がありますが、この記事では以下の方法をおすすめします。

・多層防御
・バックアップとデータ回復手段の用意
・データの暗号化
・データのクリーニング

2-1. 多層防御

多層防御」とは、サイバー攻撃に対する防御方法で、複数のセキュリティ対策を組み合わせることで、より強固な防御を築こうというアプローチです。
外部からの進入経路ごとに、それぞれセキュリティ対策を設けます。

具体的には、以下のような対策が考えられます。

・ネットワークとの接続に対する防御:アクセス制御
・OS/アプリケーションのセキュリティホールに対する防御:アプリケーション管理
・端末の防御:セキュリティ対策ソフト
・アクセス時の防御:ID/パスワード管理
・人為的ミスの防御:情報セキュリティ教育
 

2-1-2. アプリケーション管理 

PCやスマートフォンなどの端末にインストールするアプリケーションの管理も必要です。
というのも、アプリケーションに脆弱性=セキュリティホールがあると、そこから不正にアクセスされたり、データが流出したりする危険性があるためです。 

そこで、アプリをインストールする前にはかならず安全性を確認してください。
特に企業では、管理担当者が「どのようなアプリを利用するか」を管理し、許可のないアプリが勝手にインストールされないよう監視する必要があるでしょう。また、導入したアプリはかならず最新のバージョンに更新します。

これにより、セキュリティも最新状態に保つことができるはずです。 

2-1-3. セキュリティ対策ソフト

 端末に不正なアクセスをされたり、ウイルスを送り込まれて感染したりするリスクに対しては、セキュリティ対策ソフト/システムを導入します。
 たとえば、ファイアウォール、IDS・IPS、アンチウイルスソフトなどです。最近では、SaaS版を提供しているベンダーも増えていますので、準備期間もなく、初期費用を抑えて手軽に導入できます。

もしインストール型のソフトウエアを導入する場合は、やはり常に最新バージョンを保つようにしてください。
マルウエアは日々進化していますので、旧バージョンでは対応できない恐れがあります。

2-1-4. ID/パスワード管理 

第三者がアカウントに不正アクセスするのを防ぐには、、ID/パスワードの管理を厳重にする必要があります。
その具体的な方法としては、以下が有効です。 

・パスワードはなるべく桁数を多く、大文字、小文字、数字、記号などを取り混ぜたものにする
・ID/パスワードは自分以外には教えない
・ID/パスワードを複数人で共有しない
・ID/パスワードを複数のサービスで使い回さない
・端末にID/パスワードや認証情報の記録を残さない
・2段階認証を用いる 

2-1-5. 情報セキュリティ教育

ここまでは技術的な対策でしたが、それでは防げないのがヒューマンエラーです。
セキュリティ意識の甘さから、第三者にアカウントを知られてしまったり、不用意に情報を持ち出してしまうなどの事件はあとを絶ちません。
これを防ぐには、社内に情報セキュリティ教育を徹底することです。

定期的にセキュリティ研修を実施して、リテラシーを高めましょう。 
最近は、e-ラーニングできる研修や講座もありますので、リモートワークの中でも活用してみてください。 

2-2. バックアップとデータ回復手段の用意

ここまでは、サイバー攻撃の危険を回避する方法を説明しました。
が、さまざまな対策をとっても、データに対するリスクはゼロにはなりません。

サイバー攻撃の技術は日々進化していて次々と新しい手口が繰り出されますし、悪意がなくても人為的なミスでデータを紛失したり、自然災害でデータベースが物理的に破損したりする恐れもあります。
そこで、万一データが破損したり失われたりした場合に備えて、バックアップを作成しておくことが重要です。
それも、1つでは安心ではありませんので、2つ以上のバックアップをとり、1つは遠隔地やクラウド上に保存しましょう。

そうすれば、もしオフィスが災害に遭っても最低1つのバックアップは無事に残り、データの復旧ができるでしょう。

大切なデータを安全に保護するなら
アークサーブのデータ保護ソリューション

「Arcserve UDP」がおすすめ

アークサーブのデータ保護ソリューション「Arcserve UDP」は、多様なサイバーインシデントから大切なビジネスデータを保護し、適切に管理します。
また、ファイル単位ではなくディスク全体を丸ごと高速バックアップする「簡単イメージバックアップ」で、OSやデータを含むシステム全体をまとめて簡単に復旧することも可能です。
その他にも、以下のような多彩な機能を備えています。

<簡単!でも柔軟にバックアップ>
簡単なだけでなく、小規模・大規模、物理・仮想・クラウド、Windows・Linuxを問わず、柔軟なバックアップやリストアを実現
・継続的な増分バックアップ
・アプリケーションの簡単バックアップ
・ベアメタル復旧
・ドラッグ&ドロップによる簡単ファイルリストア  など

<仮想化統合基盤に関わる要件をまとめて対応>
仮想環境に統合するシステムに求められる多くの機能を盛り込みました
・物理・仮想マシンの統合管理
・エージェントレス バックアップ
・イメージバックアップのテープ保管
・コマンドラインインターフェイス  など

<災害対策を適切なコストで実現>
災害対策ソリューションに求められる多くの機能を盛り込みました
・バックアップデータの重複排除
・バックアップデータのレプリケート
・仮想スタンバイサーバの自動作成
・インスタント VM  など

データ保護に関する課題全般に対応、高度なセキュリティを実現します。

まずは「Arcserve UDP」の無償トライアルをお試しください!
ダウンロードはこちらから

2-3. データの暗号化

また、データ自体のセキュリティ対策としては、暗号化が有効です。 
暗号化とは、データが他人に読み取られないように加工することです。
この処理を施されたデータは、第三者からはまったく異なるものに見えますが、暗号鍵を持っている者であればその鍵でデータをもとに戻す(=復号)ことができます。

データを暗号化しておけば、もし不正にアクセスされたり盗まれたりしても、その内容を知られることはないので安心です。
データの暗号化は、暗号化ツールなどを用いれば簡単に行うことができます。 

2-4. データのクリーニング

意外なところでは、データをクリーニングすることもデータ保護につながります。
企業が保有している膨大なデータは、かならずしも整理された状態とは限りません。
顧客データなどでは、サービスを退会した顧客のデータがいつまでも残っているケースはよくあるでしょう。 

このように、不必要なデータをそのままにしていると、保守作業が煩雑になり、思わぬリスクにつながる可能性があります。たとえば、WEBサービスを契約解除した顧客について、サービスへのアクセス権限を削除せずにそのままにしていると、すでにユーザーではない人がアクセスできることになってしまいます。

このようないらぬリスクを避けるため、定期的にデータのクリーニングを行ってください。
といっても、データ量が膨大な場合は人力で作業するのは難しいでしょう。
その場合は、データクリーニングを自動化できるツールやサービスがありますので、利用すると良いでしょう。

3. RPOとRTO

さて、前述したように、データ保護のためにはバックアップが必須です。
といっても、単にデータのコピーを保存すればいいわけではありません。
バックアップをとる際には、「RPO」「RTO」を意識する必要があります。

3-1. RPOとは

 「RPO」とは「目標復旧時点」のことで、もしインシデントが発生してデータが失われた際に、どの時点までのデータが復旧できれば、もとの状態に問題なく戻せるかの基準です。

あまり更新頻度が高くないデータの場合、たとえば「24時間前のデータがあれば大丈夫」というのであれば、バックアップは24時間に1回とればよい=「RPOは1日」となります。

 一方で、ECサイトなどのように24時間ひっきりなしに更新されるデータを扱う場合は、24時間ごとのバックアップでは足りません。
直前までのバックアップが必要=「RPOは0秒」となり、バックアップも頻繁に取り続ける必要があるのです。 

3-2. RTOとは

 それに対して「RTO」「目標復旧時間」の意味で、インシデントが発生してデータが破損した際に、「どのくらいの時間で復旧すれば問題ないか」という復旧時間の目標をあらわします。

もし復旧までに時間がかかると、システムやサービスが停止して被害が生じる上に、業務上の損害や、迷惑を被った人への賠償なども大きくなってしまう恐れがあります。

そのような事態に陥る前に、問題なく復旧できる時間がRTOです。

 「システム停止後1時間で復旧できれば問題ない」=「RTO1時間」であれば、1時間で復旧できるようなしくみを整えておく必要があります。

出典:J-Net21「情報資産の風水害への対応体制はどうすればよいでしょうか。

バックアップをとる際には、まずこの「RPO」「RTO」を設定し、それが可能になるような計画を立ててください。

4. データ保護に関する法律やルール

ここまで、データ保護の具体的な方法を紹介してきました。
が、実際にデータ保護の対策を講じる前に、最後にもうひとつだけ知っておきたいことがあります。
それは、データ保護に関する法律やルールです。

主なものは以下の2つですので、必要に応じてこれらを守った上でデータ保護に取り組んでください。
・改正個人情報保護法第24条
・GDPR(EU一般データ保護規則)

4-1. 改正個人情報保護法

 データに関する重要な法律といえば、「個人情報保護法」があります。
個人情報データを保持・利用している事業者に対して、情報の取り扱い方を定めた法律です。 
実は今年4月、改正個人情報保護法が施行され、個人情報の取り扱いがさらに厳しくなりました。
改正の主なポイントを以下にまとめましたので、確認してください。

改正個人情報保護法の主な改正点
項目改正前改正後
漏洩などが発生した場合の対応個人情報保護委員会に報告し、本人に通知するよう努める個人の権利利益を害する恐れが大きい場合は、個人情報保護委員会への報告と本人への通知を義務化
外国にある第三者に個人データを提供する場合の条件・本人の同意・その事業者が基準に適合する体制を整えていること・日本と同等の水準の国であることが満たされていればよい・本人に対し、その事業者が個人情報をどのように取り扱っているかという情報を十分に提供することを追加で求める
情報の公表事業者の名称、利用目的、開示請求などの手続き、苦情の申し出先などを公表するよう規定安全管理のために講じた措置についても、公表する義務があるものとして追加
個人情報の利用 ───違法または不法な行為を助長するために、個人情報を利用してはならないことを明確化
保有する個人データの開示方法書面による交付が原則開示方法は本人が指示でき、デジタルデータも可
例)CD-ROM、メールでの送信、ダウンロードなど
利用停止・消去などの請求権・利用停止や消去ができるのは、目的外利用や不正取得の場合に限定・第三者への提供を停止できるのは、第三者提供義務違反の場合に限定個人の権利や正当な利益が害される恐れがあるときは、利用停止や消去を請求できるよう請求権を拡充

データ保護に関しては、セキュリティ対策を公表すること、個人情報を「違法行為を助長するようなやり方」で利用してはいけないこと、もし漏洩などがあれば本人にもかならず通知することなどが新たに追加されました。
これらを守って、正しくデータを保持・保護してください。

4-2. GDPR(General Data Protection Regulation:一般データ保護規則)

「GDPR」は「General Data Protection Regulation」の頭文字をとったもので、「一般データ保護規則」と訳されます。
EU域内での個人情報データ保護を目的として定められた法令で、個人データの取り扱い、保存方法などを細かく規定しています。
日本企業にも適用されるため、基本的な内容は知っておきたいものです。
以下にその概要を簡単にまとめましたので、見てください。

GDPR(一般データ保護規則)の概要
対象となるデータEEA(European Economic Area=欧州経済領域)域内で取得した「個人データ」※EEA:EUとアイスランド、ノルウェー、リヒテンシュタイン【個人データの例】・人の氏名・識別番号・所在地データ・メールアドレス・オンライン識別子(IP アドレス、クッキー識別子)・身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
適用される事柄個人データの「処理」と「移転」【処理の例】・クレジットカード情報の保存・メールアドレスの収集・顧客の連絡先詳細の変更・顧客の氏名の開示・上司の従業員業務評価の閲覧・データ主体のオンライン識別子の削除・全従業員の氏名や社内での職務、事業所の住所、写真を含むリストの作成【移転の例】・個人データを含んだ電子形式の文書を電子メールで EEA 域外に送付すること
適用範囲管理者、または処理者が EEA域外で設立されたものでも、以下の場合には適用される・EEAのデータ主体に対して商品またはサービスを提供する場合・EEAのデータ主体の行動を監視する場合【日本企業で適用される例】・EEA域内に子会社や支店がある・EEA域内に施設はなくても、域内の個人に商品やサービスを提供している・EEA域内で取得した個人データを、域外に持ち出して処理している・EEA域内の業者から個人データの処理について委託を受けている
主な規定・説明責任:管理者は、GDPRの要件を遵守し、それを説明できるようにする・遵守実証の対策の実施:以下のことを実施する

・内部記録:個人データの処理行為の内部記録を保持する・データ保護責任者(DPO)の選任・設計または初期設定によるデータ保護:管理者は、処理システムの設計および運用において、データ主体の権利を保護し適切な技術的および組織的な措置を実行する・影響評価および事前相談:処理行為によって個人の権利と自由が脅かされるリスクがある場合は、データ保護影響評価を実施し、その処理を行う前に監督機関と事前相談を行う

・個人データのセキュリティに関する義務:適切なセキュリティ措置を実施し、もし個人データが侵害された場合は、監督機関およびデータ主体に通知する・データ主体の権利の尊重:管理者は、次のデータ主体の権利を尊重しその行使を円滑にする必要がある →情報権、アクセス権、訂正権、削除権、制限権、データポータビリティの権利、異議権、および自動的な個人の意思決定に関する権利

制裁金​​​​GDPRに違反した場合、以下の2通りを上限とする制裁金が課せられる・1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 2%のいずれか高い方・2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 4%のいずれか高い方

たとえば日本企業の場合、EU内に支店を構える企業だけでなく、以下のようなケースも適用対象になります。
・EU域内にサーバを持っている
・ECサイトでEU域内に住む人(日本人も含む)からのアクセスがあり、個人情報を入力させている

このようなケースで、もし個人データを適切に扱わなかった場合は、数十億〜数百億円の制裁金を課せられる恐れがありますので、くれぐれも注意しましょう。
GDPRについてさらにくわしく知りたい場合は、以下を参照してください。

▶︎個人情報保護委員会「GDPR(General Data Protection Regulation:一般データ保護規則)
▶︎JETRO「EU 一般データ保護規則(GDPR)について
▶︎JETRO「『EU 一般データ保護規則(GDPR)』に関わる実務ハンドブック(入門編) 

5. まとめ

いかがでしたか?
データ保護について、知りたかったことがわかったかと思います。
ではあらためて、記事のポイントをおさえておきましょう。

◎データ保護の方法は、サイバー攻撃に対しては以下の「多層防御」が重要
・ネットワークとの接続に対する防御:アクセス制御
・OS/アプリケーションのセキュリティホールに対する防御:アプリケーション管理
・端末の防御:セキュリティ対策ソフト
・アクセス時の防御:ID/パスワード管理
・人為的ミスの防御:情報セキュリティ教育

◎その他のデータ保護の方法は、
・バックアップとデータ回復手段の用意
・データの暗号化
・データのクリーニング

 以上を踏まえて、あなたが大切なデータを安全に保護できるよう願っています。

コメント

ダウンロードして、その実力を実際にお試しください。当社の高性能で革新的な製品およびソリューションで、IT管理におけるリスクと複雑さを低減しましょう。
無償トライアルを試す
無償トライアルを試す