取り扱うデータ量と共にリスクも増えています(出典:写真AC)
データは価値でありリスク
映画「バック・トゥ・ザ・フューチャー」の世界は、すでに現実となりつつあります。自動運転、キャッシュレス決済、ドローン、ウェアラブルデバイスは、全て現在のデジタル エコノミーで実現されています。技術革新はものすごい速さで進んでいます。1956年にIBMが最初に出荷したハードディスクは5MBを満たしていませんでしたが重さは1t以上ありました。今日では、スマートフォンで写真を1枚撮影するだけで、8MBのデータを瞬時に生み出します。
テクノロジーは、良くも悪くも生活を一変させました。このテクノロジーとともに、莫大な量のデータが発生しています。過去2年間に、全世界のデータ量の9割が作られています。それ以上に、現在のままのペースでいけば、1日に250京バイトのデータを生成することになります。私たちは日常生活ならびにビジネスにおいてデータを毎日、作成・利用しています。その結果、データは社会全体が拠って立つカタリスト(劇的な変化を促進するもの)の役割を果たすようになりました。
データ・ドリブン・ビジネスは現実のものとなっています。エアビーアンドビーは世界最大のホテル業ですが、実際の不動産を持たない唯一のホテルです。同じく、ウーバーは最大のライドシェア、タクシー配車企業ですが、業務を支える物理的なインフラは持っていません。
データ ビジネスは拡大しています。データを理解し、より効果的に活用している人は利益を生み出しています。実際、世界のビッグデータのソフトウェアとサービスの市場は、2018年の4200万ドル(約47億円)から 2027年には1億300 万ドル(約115億円)に成長すると予測されています。意思決定や顧客体験を改善し、技術革新を進めるためにデータをマネタイズし、理解し、効果的に活用している企業にとっては、これはとてつもないビジネスチャンスとなります。
データへの依存度が高まっている昨今、データが非常に価値のあるものになりました。しかし同時に、この価値のある巨大なデータ資産は、脆弱性を含む最大のリスクにもなりえます。そのため、データを安全に保存かつ保護・確保し、法令に準拠させることは、ビジネスの最優先事項となります。
今日の全ての企業は、データ損失や漏えいの影響を大きく受けます。あらゆる組織でデータが重要な役割を果たすことを考慮すると、データ保護はビジネス課題で最優先されるべきものです。しかしデータを安全に保存・保護・確保することは、思ったほど簡単なことではありません。
これにはいくつか理由があります。まず、データはもはや組織内にとどまっているものではありません。クラウドにあったり、アプリケーション上やサードパーティにあったりします。データは水のように流れています。変化し続け、広がり、多くの場所に存在しているデータを管理しなければなりません。以上のような理由により、データを追跡することは非常に困難になっています。
次に、組織のデータに対して企業ユーザーが唯一のリスク要素ではないということです。サイバー犯罪の攻撃者が基幹系の重要なデータを狙っていて、いったんデータを手にすると組織につけ込むための、幾通りもの方法を見つけ出します。業務停止のみならず、データ損失によって長期間にわたり会社の信用を失う可能性があることを考えなければなりません。
リカバリプランも必要
昨今データ保護に関して企業が抱える課題の主な要因は、下記の3つになります。
1. 致命的な威力を持つサイバー犯罪:サイバー攻撃はより複雑化し、かつ組織化が進行し、その手口は巧妙化しています。オーストラリアの個人情報保護機関のレポートによると、2018年4月1日~6月30日の間に、オーストラリアの組織は 242回のデータ漏えいを報告しています。そのうち59%が悪意のある攻撃もしくは犯罪攻撃の結果になります。
2. 散在したデータ:業務ではデータを保存する場所が複数あります。個人にとっても同じです。保護するのを困難にしています。多くの企業がインフラストラクチャのモダナイズ化ならびにクラウドの活用を目指しているため、状況は悪くなる一方です。
3. データの爆発的な増加:2010~20年までで、50倍に増加します。さらにデータの7割はセカンダリデータであり、多くのビジネスがプライマリや生データの保護のみに投資しています。大容量になると同時に、何のデータがどこにあるのか分からないため、多くの企業は苦労しています。
何よりもまず、サイバーセキュリティ対策の一環としてデータ保護を行っていなければ、すぐに対応すべきです。データ漏えいリスクや損害は内部、外部、マルウェア、システム欠陥、人的ミス、災害など様々な要因で発生します。そのようなリスクに対して企業はデータの管理とリカバリのプランが必要です。
とはいっても、我々が認識していないデータを保護することは不可能です。もはやデータは自社内だけに存在しなくなり、クラウド、アプリケーション、その他のサードパーティ ベンダーの配下にある場合もあります。残念ながら、多くの企業では、これらのサードパーティベンダーがデータを保護する責任をもっていると思い込んでいます。またデータをクラウドに移行すると、高度なセキュリティが提供されるという誤解があります。企業は、データがどこにあるかに関わらず、データを保護する責任があるのです。
データ保護に付随する課題が何であれ、データ管理のベストプラクティスは以下の3つの原則に当てはまります。
1. 組織内にどのようなデータ資産がどこにあるかを把握し、会社がどのようなデータを集めているのかを認識する。また個々のデータがなぜ重要であるかを理解する。お客様へのサービスを改善するためにはどのようにデータを収集し、活用するのか把握することが重要である。2. データの保護方法を理解する。どの方法が会社にとって、安全で価値を担保できるものなのか。お客様や顧客データを保持するためにどのようなセキュリティ プランが必要なのか。また、このプランは個人情報保護法や GDPR などの国際的な規制に準拠しているかを理解し必要な対応を施すことが重要である。3. 企業価値創出のためにデータが利用されていること。企業はより多くの情報に基づいた決定をするためにどのようにデータを活用しているのか。その結果、企業の広告や顧客サービスへの貢献に繋げることが重要である。
このような基本的な原則に沿って、包括的なデータ保護・管理を実施している企業が増えています。
データ活用に取り組むために組織は新しいテクノロジー、シンプルかつ強力なプラットフォーム ベースのアプローチを求めています。データ保護を可能にしながら、データがビジネス上での意思決定やプロセスへのカタリストとなることが重要なのです。
(了)
