あらゆるデータがリスクにさらされている。その保護はコンプライアンスの問題よりはるかに重要

あらゆるサイバーセキュリティ戦略で最優先すべきは、機密データ、個人データ、専有データの保護です。これを怠ると損害を招くばかりか大惨事にもなりかねず、規制違反に対する巨額の制裁金や、さらに重要なこととして、顧客からの信頼喪失につながることもあります。データ プライバシー規制は膨大かつ複雑で、新たな違反が起こるたびに拡大しているように見えます。

しかし、一般データ保護規則(GDPR)、改正ネットワークおよび情報システムに関する指令(NIS2)、米国カリフォルニア州消費者プライバシー法(CCPA)といった規制への準拠は不可欠ですが、データ保護の目的は制裁金の回避だけではありません。重要なのは、組織の生命線である信頼、評判、そして長期的な存続を確保することです。真の問題とは、「遵守すべき規制は何か」ではなく、「データ保護をコンプライアンスに留まらない戦略上の最優先事項とすべき理由は何か」なのです。

データ プライバシーとサイバーセキュリティにおける今日の大きな問題

確かに、今日のデータ プライバシーやサイバーセキュリティの状況を評価する際、話題の中心は規制遵守になりがちです。国、州、業界を問わず、組織は増え続けるデータ保護の規制要件に対応する必要があります。

多くの場合、まず遵守すべきは欧州連合(EU)のGDPR¹などの規制で、GDPRは2018年の施行以来、世界的な青写真となっています。米国では、CCPA²に続き、20余りの州が独自の規制を導入しています。CCPAの厳格な指針は、違反に対する多額の制裁金と併せて、違反がブランド イメージの低下につながりかねないことを浮き彫りにしています。

医療向けHIPAAなど、業界特有の規制はさらに複雑です。こうした多様な規制に対応するため、組織はサイバーセキュリティのツールやサービスに多額の資金を投じています。実際、調査によると、世界のデータ プライバシー ソフトウェア市場は2024年の38億ドルから2032年までに480億ドル以上に急成長し、年平均成長率は37%超に達すると予測されています³。

コンプライアンスは不可欠ですが、それはほんの一部にすぎません。組織が認識すべきこととして、真のデータ保護とは、制裁金の回避や規制要件の遵守に留まるものではない、ということです。目指すべき目標は、ビジネスの中核を保護し、長期的な成功を確保することにあります。以下に挙げるのは、データ保護がコンプライアンスの問題に留まらない理由を示す重要な要素です。

• オペレーショナル レジリエンス: 個人情報や機密情報が侵害されると、業務全体が停止する恐れがあります。攻撃元の特定や影響の緩和を図るとしても、データの侵害はダウンタイムにつながり、従業員、パートナー、顧客へのサービスが中断されます。システムの稼働を継続して、コストのかかる混乱を回避するには、データの保護が不可欠です。
• 金銭的損失: データ侵害による金銭的打撃は、違反による制裁金の比ではありません。組織は、ダウンタイムによる収益の喪失、重い罰則、そして侵害への対処に伴う莫大なコストに直面します。複数の管轄区域で事業を展開するグローバル企業の場合、データ プライバシーの侵害による金銭的打撃は、大幅に拡大する可能性があります。
• 評判の失墜: データ侵害は、組織の評判に回復不能な損害を与えかねません。米国連邦取引委員会(FTC)が警告しているように、個人情報保護の確約を守れない企業は、世間の厳しい監視の目にさらされ、強制措置を受ける可能性もあります。膨大な数の機密データを失って注目を浴びることを喜ぶ組織はありません。ブランドに打撃となり、回復が難しいためです。
• 信頼の喪失: 信頼は、組織が持つ最も貴重な資産の1つです。従業員の個人識別情報(PII)が流出した場合であれ、顧客のデータが不適切に扱われた場合であれ、信頼は一瞬で壊れます。信頼回復には何年もかかり、評判や金銭の面で多大なコストが発生します。

コンプライアンスはデータ プライバシーを推進する上で重要な要素ですが、組織は真のリスクがはるかに高いことを認識する必要があります。データ プライバシーの目的は、事業継続性、財務の安定性、顧客や従業員との関係を支える信頼を確保することです。

データ プライバシーにおけるリスクと脆弱性

サイバー犯罪者には、金銭的利益、地政学的な混乱、あるいは単に他のハッカーと競い合うスリルなど、多様な動機があります。理由が何であれ、サイバー犯罪者は常にいくつかのよく知られた脆弱性を標的にしており、個々の脆弱性を見れば、データ保護が単なる規制遵守に留まらない理由が浮き彫りになります。

• 脆弱または一貫性のないアクセス制御: ハッカーがPIIなどの機密情報に不正アクセスする上で最も簡単な方法の1つは、アクセス制御の管理の不備を突くことです。窃取または侵害された認証情報があれば、攻撃者はセキュリティ システムを回避でき、長くセキュリティの要とされてきた多要素認証(MFA)でさえ、今では巧妙に回避できる可能性があります。コンプライアンス対策ではアクセス制御を義務付ける場合もありますが、真の保護を行ううえでは、継続的な監視、頻繁な更新、進化する脅威に対処する取り組みの強化が必要です。コンプライアンスが目的の制御では不十分であり、新たな攻撃手法に対応できる強固で積極的な管理が求められます。
• ランサムウェア: 特に医療、教育、政府など、機密データの露出が業務に多大な支障をきたす恐れのある分野では、ランサムウェア攻撃がサイバー犯罪者の主要な武器となっています。これらの攻撃はサービスを麻痺させ、長期間のダウンタイムや社会的信頼の低下につながる可能性があります。コンプライアンスの枠組みでは基本的な防御策が規定されているかもしれませんが、ここで真のリスクとなるのはオペレーショナル レジリエンスです。ランサムウェア攻撃は、データ保護の目的がサービスの継続性確保と利害関係者からの信頼維持にあることを思い出させてくれます。この2つこそ、規制だけでは保証できない重要な要素です。
• フィッシングとソーシャル エンジニアリング: 非常に高度なソーシャル エンジニアリングの手口を伴うことが多いフィッシング攻撃は、検出がますます困難になっています。ハッカーは、信頼できるブランドを装ったメールやメッセージを作成し、ユーザーをだまして認証情報の共有や悪意のあるリンクのクリックを促します。ビジネス メール詐欺(BEC)が増加する中、組織は日々、自社システムを通過する膨大な量のメール トラフィックを監視する必要があります。フィッシングはコンプライアンス チェックリストの域を超えています。組織は振る舞い分析とユーザー教育を実施して、これらの進化する脅威に先手を打つ必要があるのです。人的要素は多くの場合、最も脆弱な部分であり、規制だけでは解決できません。警戒と継続的なトレーニングが不可欠です。
• 内部関係者による脅威: 不満を持つ従業員や外部人材が退職後も機密データベースにアクセスできる状況の中で、内部関係者による脅威が増加しています。こうした人物は多くの場合、企業のシステムに関する知識を悪用してデータを盗んだり、業務を妨害したりします。コンプライアンスでシステムへのアクセス記録を義務付けている場合もありますが、内部関係者による脅威は、継続的なアクセス監査とデータ保持に関するポリシーの厳格化が必要であることを浮き彫りにしています。データ保護は、規制措置に留まらず、組織の関係者でなくなった者が有害なアクセスを保持できないようにすることを意味します。
• サードパーティ ベンダーによる侵害: 組織が外部ベンダーへの依存を強めるにつれ、サードパーティによるデータ侵害が増加しています。こうしたベンダーの多くは機密情報への特権アクセスを持っていますが、強力なセキュリティ対策を導入しているとは限りません。データ プライバシーの保護は組織内部だけで完結するものではなく、エコシステム全体に関わる問題です。組織は、自社のコンプライアンスに留まらず、パートナー、ベンダー、サービス プロバイダのセキュリティ対策を評価し、直接管理下にない侵害を防止する必要があります。

これらの一般的な脅威に加えて、リモート ワーカーやハイブリッド ワーカーによる私有のモバイル デバイス利用の増加も、重大なリスクとなっています。ハッカーは、セキュリティが不十分なデバイスやホーム ネットワークを悪用し、正規ユーザーになりすまして組織のシステムにアクセスすることもあります。なぜこれが重要なのかといえば、リモート ワークへの移行が拡大する中、コンプライアンス規制に頼るだけでは十分ではないためです。組織は包括的なモバイルデバイス管理(MDM)ソリューションを導入し、ホーム ネットワークのセキュリティについて従業員を教育する必要があります。

エッジ コンピューティングやモノのインターネット(IoT)もアタック サーフェスが拡大する要因です。多くのIoTデバイスは小型で処理能力が限られているため、強力なセキュリティ対策を施していないからです。IoTの普及が加速するにつれ、これらのデバイスはハッカーにとって大規模なシステムへの脆弱な侵入口となります。なぜこれが重要なのかといえば、コンプライアンスはより広範なITインフラが対象かもしれませんが、IoTやエッジ デバイスには、規制では見落とされがちなギャップを埋める専用のセキュリティ プロトコルが必要だからです。データ セキュリティ全体を確保するには、これらのエンドポイントの保護が不可欠です。

最後に、ハッカーは人工知能(AI)を利用して攻撃を自動化し、その規模を拡大させています。フィッシングから個人情報窃取まで、AIを悪用した攻撃はかつてないほど高速になり、頻発し、大きな被害をもたらしています。なぜこれが重要なのかといえば、データ保護はコンプライアンスで義務付けられていますが、AIのスピードと複雑性についてはほとんど考慮されていないためです。組織はAIを駆使した防御策を導入して、急速に進化する攻撃者の手法に対抗する必要があります。

あらゆる組織がサイバーセキュリティでデータ プライバシーを確保するために必要な戦略とステップ

組織がサイバーセキュリティでデータ プライバシーを優先すべきなのは、コンプライアンス上の理由からだけではありません。オペレーショナル レジリエンス、法的義務、信頼、評判、従業員/顧客エクスペリエンスなど、すべてがデータ プライバシーに依拠しているのです。以下のステップは、即座に行動するための強力な基盤を確立するのに役立ちます。

1. 幾度ものテスト
   定期的なデータ プライバシー監査と脆弱性評価を、あらゆるサイバーセキュリティ戦略の中核とすべきです。多くの場合、コンプライアンス監査は必須ですが、リアルタイムの脆弱性と組織の準備態勢を評価する内部監査も同様に重要です。テストにより、進化する脅威に対してシステムの回復力と適応力を維持できます。
2. すべてを暗号化
   クラウド、エッジ、データセンターのどこにあろうとも、転送中か保存中かを問わず、データは常に暗号化するべきです。バックアップ データも暗号化し、暗号鍵は正確に一貫性を持って管理する必要があります。暗号化は最後の防衛線であり、データが侵害された場合でも、そのセキュリティを確保することができます。
3. 堅牢なポリシーを確立
   強力なデータ プライバシーの枠組みは不可欠です。幸い、一から作り直す必要はなく、GDPR、HIPAA、PCI DSSが優れた基準になります。給与や顧客データなど、業務遂行に不可欠な個人データのみを収集して保存するポリシーを採用してください。アクセス ポリシーを拡大するごとにデータ侵害のリスクが高まるため、アクセスは必要最低限にしておくことが重要です。
4. AIを善なる力として活用
   攻撃の件数と巧妙さが増す中、AIを利用してデータ プライバシーの防御を強化するべきです。十分な数の有能なサイバーセキュリティ エンジニアやSOCアナリストの採用に苦労している組織がいるかもしれない一方で、AIは脅威の特定と緩和を自動化できる効率的な戦力増強手段です。

基本を超えて: データ プライバシーを強化する追加のステップ

データ プライバシー戦略をさらに強化するために、上記の重要なステップに加えて、以下の対策をご検討ください。

• エンドユーザーのトレーニング: データ侵害の主な原因は人為的ミスであり、従業員が知らないうちに自社のデータ セキュリティを脅かしていることも少なくありません。継続的な教育とトレーニングは、フィッシング、ソーシャル エンジニアリング、データ処理のベストプラクティスに対する意識を高めることで、こうしたリスクを軽減するのに役立ちます。
• 複雑さの緩和: 老朽化したインフラの刷新やプラットフォーム化の導入は、複雑すぎるセキュリティ環境に起因する脆弱性の排除に役立ちます。セキュリティ スタックを簡素化することで、アタック サーフェスが縮小し、データ プライバシーの管理が改善されます。
• 野良ITの特定: 従業員や部門が組織に未許可のテクノロジを持ち込むと、「野良IT」になります。監視もなく個人データや非公開データを使用して大規模言語モデル(LLM)やAIツールを開発して訓練する場合は、特に危険です。データ プライバシーの管理を維持するには、野良ITの取り組みを特定して対処するための監査が不可欠です。
• データ プライバシー責任者の任命: 新たなデータ プライバシーの脅威、規制、新しい判例法を常に把握しておくには、常に注意を払う必要があります。専任のデータ プライバシー責任者を任命することで、新たな動向に常に目を光らせ、進化する規制へのコンプライアンスを確保できます。

最後に、データ プライバシーを重視するすべての組織にとって重要な要件は、規制遵守の枠を超えてデータ プライバシーへの献身を示しているサイバーセキュリティ パートナーとの連携であることを念頭に置いてください。これは、あらゆるレベルのデータ プライバシーに対する製品、業務、戦略的アプローチに具体的に反映されている必要があります。

パロアルトネットワークスによる他の予測にご関心がおありですか? こちらより2025年の予測に関するブログ記事をご覧いただけます。

¹What is GDPR, the EU’s new data protection law? (EUの新たなデータ保護規則であるGDPRとは)、GDPR.EU、2024年
²US Data Privacy Guide (米国データ プライバシー ガイド)、White & Case、2024年
³Data Privacy Software Market Size, Share & Industry Analysis (データ プライバシー ソフトウェア市場規模、シェア、業界分析)、Forbes Business Insights、2024年