データの完全性とは何か、どうすれば維持できるのか？

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

Varonisの「データセキュリティ」コラムの第63回目では、「データの完全性とは何か、どうすれば維持できるのか？」と題して、データの完全性がなぜ重要なのか、どのように維持するのかについての情報を含む概要を紹介する、Michael Buckbeeのブログ記事をご紹介します。

企業のデータが改竄されたり削除されてしまい、しかも、いつ、誰が、どのようにその行為をしたのかを把握する術がなければ、データに基づくビジネス上の意思決定に大きな影響が生じます。これがデータの完全性が不可欠である理由です。データの完全性が企業の収益にとっていかに重要なのかを理解するために、データの完全性とは何なのか、なぜ重要なのか、どうやって維持するのかを考えてみましょう。

データの完全性とは？

データの完全性とは、データのライフサイクル全体にわたる信頼性と信用性を指します。データの状態—有効か無効か—、あるいはデータの有効性と正確性を確保して維持するプロセスで説明することできます。例えば、エラーチェックと検証は、プロセスの一部としてデータの完全性を確実にするための一般的な方法です。

データの完全性とデータセキュリティの違いは？

データの完全性をデータセキュリティと混同してはなりません。データセキュリティはデータの保護を指し、データの完全性はデータの信用性を指します。

データセキュリティは、知的財産、ビジネス文書、医療データ、電子メール、企業秘密などの漏洩リスクを最小限に抑える方法に焦点を当てています。データセキュリティの戦術には、アクセス許可管理、データの分類、アイデンティティ・アクセス管理、脅威検出、セキュリティ分析などが含まれます。

データの完全性を維持することがなぜ重要なのか？

完全に、あるいは部分的に不正確なデータに基づいて、極めて重要なビジネス上の意思決定が下されることを想像してみてください。組織は日常的にデータに基づくビジネス上の意思決定を行いますが、データの完全性が保たれていない場合、その意思決定が企業の最終的な目標に劇的な影響を与える可能性があります。

KPMGインターナショナルのレポートでは、グローバル企業の上級幹部の大多数が、組織におけるデータ、分析、AIの活用方法に対してあまり信頼を置いていないことが明らかにしています。

自組織におけるデータと分析の活用方法に高い信頼感を持っていると回答したのは、わずか35％でした。92%が、データと分析が組織の評判に悪影響を与えることを懸念しています。さらに、上級幹部の62%は、サーバーやアルゴリズムに問題が発生した場合の責任は、経営幹部や管轄部門ではなく、テクノロジー部門が負うと回答しています。

組織は、経営幹部が適切なビジネス上の意思決定を行えるように、データの完全性を保つ作業を実施する必要があります。

データの完全性に対する脅威

データの完全性は、ヒューマンエラー、さらに悪いことに、悪意のある行為によっても損なわれる可能性があります。あるデバイスから別のデバイスへの転送中に誤って変更されたデータは、例えば、ハッカーによって侵害されたり破壊される可能性があります。

データの完全性の状態を変化させてしまう一般的な脅威は以下のようなものです：

•    ヒューマンエラー
•    意図しない転送エラー
•    構成不備とセキュリティのエラー
•    マルウェア、内部者脅威、サイバー攻撃
•    ハードウェアの侵害

では、データの完全性が保たれているかはどうやって判断するのでしょうか？次のような機能に注目してください：

検索性とアクセシビティリティ — 予測や取引、プレゼンテーションに取り組むタイミングで、正確なデータが適切な場所にあることが重要です。適切かつ簡単にデータにアクセスできなかったりデータを取得できない場合、ビジネスに悪影響を及ぼし、競合他社に勝利への道を譲ることになります。

追跡可能性 — 今日では、見込み顧客や既存顧客とのあらゆる接点を追跡することができます。どうやって？データポイントで。データは、意思決定者に情報を提供し、危険信号、欠陥、限界を浮き彫りにすることができます。これらの接点が正確であることを確認します。

信頼性 — 企業の目標や競合に対して、信頼できる、一貫性のあるビジネス指標を持つことが、組織を上位に導きます。

データの完全性を維持する方法【チェックリスト】

上記のデータの完全性に対する脅威は、データの完全性の維持に役立つデータセキュリティの一面も浮き彫りにしています。以下のチェックリストを使用して、データの完全性を維持し、組織のリスクを最小限に抑えましょう：

1.    入力の検証：既知または未知のソース（エンドユーザー、他のアプリケーション、悪意のあるユーザー、その他のさまざまなソース）からデータセットが供給される場合、入力の検証を要求する必要があります。入力が正確であることを確実にするため、データの確認と検証が必要です。

2.    データの検証：データ処理が壊れていないことを証明することも重要です。データを検証する前に、組織にとって重要な仕様と主要な属性を特定します。

3.    重複データの削除：安全なデータベースからの機密性の高いデータは、文書、スプレッドシート、電子メール、さらにはアクセス権の設定が不適切な従業員が見ることのできてしまう共有フォルダーに簡単に住処を見つけてしまいます。不要なデータをクリーンアップし、重複を削除するのが賢明です。

専任の担当者がいない中小企業では、次のようなツールがドライブ内やクラウド上の重複ファイルのクリーンアップに役に立つでしょう。

•    Clone Files Checker
•    Duplicate Cleaner
•    CCleaner
•    DoubleKiller
•    WinMerge

Windows Serverの場合：データ重複除去機能を使用して、同一のファイルをクリーンアップします。また、ファイルサーバーリソースマネージャー (FSRM) を使用して、不要なファイルの削除を試みてください。

4.    データのバックアップ：データの安全を確保するためには重複を削除することに加えて、データをバックアップすることもプロセルの重要な部分です。バックアップは必要なもので、データを永久的に失うことを防止するために大いに役立ちます。どのくらいの頻度でバックアップを取るべきですか？できるだけ頻繁に取りましょう。組織がランサムウェア攻撃を受けた場合、バックアップが非常に重要であることに留意してください。ただし、バックアップまで暗号化されてしまうことがないことを確認してください！

5.    アクセス制御：入力の検証、データの検証、重複の削除、バックアップなどのケース—データの完全性を保つために必要なことすべてを取り上げました。データセキュリティのベストプラクティスとしてよく知られているいくつかの要素も忘れてはいけません：アクセス制御と監査証跡です！アクセス権が不適切で悪意を持っている組織内の個人は、データに重大な損害を与える可能性があります。部外者が内部者になりすますことは、さらに有害です。最小権限モデルの実装—必要としているユーザーのみがデータへのアクセス権を持つこと—は、最も成功しているアクセス制御の形態です。見落とされがちなのは、サーバーへの物理的なアクセスです。最も機密性の高いサーバーは隔離し、床か壁にボルトで固定します。アクセスする個人だけがアクセス鍵を持つようにします—こうすることで王国への鍵が安全に保管されるようにします。

6.    常に監査証跡を記録：侵害が発生した場合、その原因まで追跡できるようにすることはデータの完全性にとって非常に重要です。これは監査証跡とよく呼ばれますが、組織に問題の原因を正確に特定するためのパンくずリストを提供してくれるものです。

通常、監査証跡には以下のようなことが求められます：

•    監査証跡は自動的に生成されるものでなければなりません
•    ユーザーは監査証跡にアクセスしたり、改竄することができてはなりません
•    すべてのイベント—作成、削除、読み取り、変更—が追跡され、記録されなければなりません
•    すべてのイベントをユーザーと紐付け、誰がそのデータにアクセスしたかを把握できなければなりません
•    すべてのイベントにタイムスタンプが付けられ、イベントがいつ発生したのかを把握できなければなりません

データの完全性が意思決定者を支援

少し前までは、データを収集することは困難でした。しかし、今日ではもはや問題ではありません。実際、膨大なデータを収集することができるようになったことから、責任を持つべきなのは、データの完全性を維持することです。そうすることで、経営陣は自信を持ってデータに基づく意思決定を行い、会社を正しい方向に導くことができます。

参考資料

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/data-integrity

・Many executives lack a high level of trust in their organization's data, analytics, and AI (ZDnet)
https://www.zdnet.com/article/most-executives-dont-trust-their-organizations-data-analytics-and-ai/

・Clone Files Checker
https://www.clonefileschecker.com/

・Duplicate Cleaner
https://www.duplicatecleaner.com/

・CCleaner
https://www.ccleaner.com/ja-jp/ccleaner

・DoubleKiller
https://www.bigbangenterprises.de/en/doublekiller/

・WinMerge
https://winmerge.org/

ブログ記事著者について

Michael Buckbee

Michaelは、システム管理者やソフトウェア開発者として、シリコンバレーのスタートアップ企業、米国海軍などで働いてきました。

（翻訳：跡部 靖夫）