データ分類

偶発的な損失と情報制御に対する効果的なソリューション



機密性に基づいて情報を分類するという行為は、他の内部および外部の脅威をブロックすることに重点を置いたITセキュリティ対策と比べると、比較的小さな部分に感じられるかもしれません。

しかし情報漏洩の原因として一番多いのは、ヒトの予測できない行動によってい引き起こされています。例えば単純なオペレーションミスによる漏洩などです。だからこそ「情報の分類」は簡単なプロセスで効果を発揮し、高いコストや複雑なシステム導入への工数をかけずに情報漏洩のリスクを大幅に減らすことができます。

データ分類は、機密情報の損失や取り扱いミスを最小限に抑えるための、効率的で効果的な方法です。

情報を管理する

ITシステム担当者の役割として、企業情報のセキュリティ保護に対して、いかに堅牢な仕組みを構築するかという課題があります。この課題をクリアするには、機密情報がどこにあり、誰がそれにアクセスできるかを把握しておく必要があります。また、ユーザー自身に機密情報を扱っていることを認識してもらい、機密情報へのアクセスをコントロールすることがお勧めです。

データ分類を情報セキュリティポリシーと統合し強化する3つポイント

POINT!

識別

分類

制御

識別

機密情報データの識別は、公開情報、個人情報、および所有権情報を区別するために、ディスカバリを実行するか、情報源で識別することによって実現できます。

分類

一度識別されると、情報は自動化プロセスまたはヒトの理解に基づいて、機密性に応じて分類することができます。迅速かつ簡単に分類をおこなうには、ITツールでセキュリティレベル毎にデータ分類のラベルをデータに割り当てることをお勧めします。これにより分類の可視化が可能となります。

制御

機密情報のデータの損失を防止するには、セキュリティレベル毎にデータ分類された情報を活用してデータへのアクセスを制御し、必要に応じて暗号化や持ち出し制御対策など実施することで、効率的に対策プロセスを実施することが可能になります。

従業員からセキュリティを強化させる

ガバナンスリスクおよびコンプライアンス管理者にとって、情報漏洩のリスク軽減を実現させる近道は、多くのリスクがどこから来ているかをまず理解することです。どんなに優秀な従業員でも時には間違いを犯し、ストレスや疲れの溜まった時は 10 倍のミスを犯してしまうことが研究から分かっています。

もし電子メールまたはドキュメントにデータ分類のラベルが表示されてれば、自分が扱っている情報の機密性をユーザーに即座に警告することができ、不注意による紛失や誤った取り扱いの可能性を軽減します。避けられない間違いを予測するよりも、機密情報を管理することの方がはるかに簡単です。

機密情報を分類するための使いやすいツールをユーザーに提供することで、組織全体の従業員が情報セキュリティを積極的に向上させることができます。データ分類は単純な手法のように思えるかもしれませんが、あらゆるビジネスに対するその価値は証明されており、実質的なものなのです。

機密情報のアクセスコントロールのイメージ図