名前が示すように、非構造化データとは、事前に定義された関係構造に格納できない、生の整理されたデータを指します。この種のデータは、電子メール、PDF、事業計画書といったテキスト中心の形式をとる場合もありますが、特定のプロセスでカタログ化または格納できない不規則性を持つ場合がある点で、データベースとは異なります。
この種のデータは整理されていないため、組織にとって問題となる可能性があります。特に、データ侵害が蔓延する現代においてはなおさらです。組織は大量の非構造化データを保管しており、様々な推計によるとその割合は80%にも達するとされています。これは膨大な量のデータであり、犯罪者や内部脅威にとって非常に大きな価値を持つ可能性があります。ハッカーは、このデータを闇市場で高額で売却するだけでなく、ランサムウェアの脅威にも利用する可能性があります。
データ漏えい
企業のCEOとして、少し立ち止まって、従業員が毎日システム上でどのようなデータを作成しているか考えてみてください。事業計画、競合分析、自社製品のSWOT分析、顧客からのフィードバック、顧客プロファイルなど、これらは氷山の一角に過ぎません。そして、これらのデータの保存方法が確立されていない場合、データはシステム上、あるいはネットワーク上に放置され、あらゆる侵入の危険にさらされることになります。
さらに悪いことに、データが漏洩した場合、ストレージが整理整頓されておらず混沌としているため、組織はデータがどこから漏洩したのか、誰が漏洩したのか、誰がデータを保有しているのかを全く把握できません。一方、特定の暗号化プロセスに従えば、データは暗号化され、ハッカーにとって全く役に立たなくなります。
内部脅威
非構造化データは、多くの組織にとって大きな潜在的な懸念事項である内部脅威の可能性を高めます。データが整理されていないため、組織内部からの脅威はアクセスが容易になり、データの保護方法を把握しているため、抜け穴を把握し、計画を実行するのに十分な時間を確保できます。ハーバード・ビジネス・レビューは、米国では毎年80万件(そう、百万件です)の内部攻撃が発生していると推定していますが、多くの攻撃が報告されていないため、この数字は必ずしも正確ではない可能性があります。
組織は非構造化データを保護するために何ができるでしょうか?実行できるいくつかの手順は次のとおりです。
- 重要な非構造化情報資産を特定し、それらがいつ関連するのかを特定します。これは、組織内を調査し、どの資産に会社に関する最も多くの情報が含まれているかを把握し、それらの記録を作成することです。
- 最も重要な非構造化データを保有する従業員を特定します。多くの場合、組織内で最も重要なデータを保有するのは上位10%の従業員です。これには、上級管理職、秘書、経営幹部などが該当します。これらの従業員を特定することで、一般的なプログラムよりもはるかに効果的なカスタマイズされたセキュリティプログラムを作成できます。
- メール監視などのツールを使用するか、 データ損失防止 データを監視し、どのようなデータが送受信されているかを把握するためのDLP(情報漏洩対策)ソリューションです。組織は、データセキュリティに多層的なアプローチを提供するSeqriteのDLPソリューションを検討できます。
- 組織のあらゆる階層において、非構造化データの危険性を継続的に周知徹底し、コンプライアンスプログラムを実施してください。従業員は、職場での些細な行動から生じる危険性を認識し、教育を受ける必要があります。コンプライアンスプログラムは、組織が問題を未然に防ぐことに尽力していることを示すものでもあります。
近年、欧州連合(EU)の画期的な規則である一般データ保護規則(GDPR)が施行されました。GDPRは、企業や組織によるデータの利用方法について厳格なルールを定め、違反者には高額な罰金を科すものです。GDPRの施行により、多くの組織はデータセキュリティをより真剣に考え、非構造化データのセキュリティを確保するための包括的なプロセスを導入せざるを得なくなります。組織は、GDPR準拠のために、Seqriteのようなセキュリティソリューションプロバイダーの導入を検討できます。SeqriteはGDPRリスクアセスメントを提供し、ランサムウェア対策や暗号化といったソリューションも提供することで、組織のガイドライン遵守を支援します。
お客様のビジネスのITセキュリティパートナーとして、 セクライト 高度なサイバー脅威から包括的なセキュリティを提供します。詳細はこちら
