暗号化やアクセス制御などの包括的なデータ保護製品を提供する米ボーメトリック(Vormetric)が、データセキュリティに関するグローバル調査の結果を発表した。9割を超える国内企業が機密データのセキュリティに関して「脆弱さ」を感じており、同社では今後3年ほどの間に国内でもデータ保護投資が進むと見ている。
多くの企業が機密データのリスクを感じつつ、具体的対策に踏み出せていない
この調査は、ボーメトリックが米451リサーチの協力を受けて毎年実施しているもので、今回で4期目となる(日本では2期目)。世界の売上規模5000万ドル~20億ドル規模の企業/団体(政府機関など)のIT幹部およびIT担当者を対象に実施し、回答者総数は1114名。回答者のうち日本国内の回答者は100名以上で、日本版レポートではグローバルと国内との調査結果比較なども行っている(日本版レポートは同社サイトからダウンロード可能)。
発表会では米ボーメトリックのティナ・スチュワート氏が、日本での調査結果にフォーカスして説明を行った。
同調査によると、回答者の39%が「これまでにデータ漏洩の被害を受けたことがある」としている。グローバル平均の61%よりはかなり低いが、この数年で日本の企業や組織を狙ったサイバー攻撃が急増していることもあり、多くの企業が不安を感じている。回答者の93%が「内部/外部の脅威に対して、機密データが脆弱であると感じている」と述べている。
ただし、そうした脅威や脆弱さを感じているにもかかわらず、機密データを保護するための具体的な対策についてはまだまだ消極的だ。データセキュリティに対する投資の増額を考えている国内企業は31%、 にとどまっている。
「つまり『データセキュリティの重要性は認識しているが、具体的な計画や戦略が追いついていない』ということ。もっとも、昨年の27%から少し増えたという点では朗報かもしれない」(スチュワート氏)
ちなみに、データセキュリティツールの導入における障壁については「予算不足」(49%)という回答が国内ではトップ。ボーメトリックでは、セキュリティ予算の不足が「脆弱さを感じる企業の多さ」や「投資増額を考える企業の少なさ」につながっていると分析している。
データ保護対策を義務づけるコンプラインス要件(PCI、HIPAAなどの規制)についても、日本とグローバルの意識差が明確だったという。グローバル全体では64%の回答者が「コンプライアンス要件を満たすことがデータ漏洩の抑止に効果的」だと答えたが、日本では33%に過ぎない。
ちなみに、現在実施しているデータセキュリティ(保存データの暗号化)について聞いたところ、特にサーバー(データベースやファイルサーバー)の暗号化やアクセス制御を実施している日本企業の割合が、グローバル平均よりも少なかった。
このサーバー暗号化の結果について、スチュワート氏は「日本が遅れているのではなく、他地域が進んでいる。特に米国ではPCI、HIPPAなどの規制に基づいて、サーバーの暗号化も〔順守すべき義務として〕進んでいる」と説明した。「日本でもマイナンバー制度が始まり、〔プライバシー法整備など〕コンプライアンス的な気運も高まっているので、今後3年ほどで追いつくのではないか」(同氏)。
ゼロダウンタイムで暗号化導入や鍵交換が可能に
ボーメトリックのデータ保護プラットフォーム製品は、さまざまなアプリケーションやデータベース、ファイルサーバー、クラウドストレージに対応し、ユーザーに対して透過的な暗号化と鍵管理の機能を統合的に提供するものだ。具体的には、暗号鍵とポリシーを集中管理する「Vormetric Data Security Manager(DSM)」を中心として、各種OSやアプリケーション、DBに対応するエージェント、ゲートウェイ製品などで構成され、データ暗号化や暗号鍵の一元管理、トークナイゼーション、アクセス制御、監査ログ出力などの機能が統合的に利用できる。
今回、新たに「Live Data Transformation」機能や「Vaultless Tokenization」機能、さらに対応クラウドストレージとしてAmazon S3の互換サービスやCaringoが追加された。
Live Data Transformation(LDT)は、ボーメトリック製品の初期導入時や暗号鍵の定期交換時/再暗号化時に、サービス(ファイルサーバーやデータベース)を停止することなく実行できる機能。また、LDT処理のCPU使用量を制限できるため、夜間や休日に作業時間を設ける必要がなくなる。
また、これまでOracleデータベースが必要だったトークナイゼーション処理をボーメトリック製品(トークナイゼーション仮想サーバー)単体で実行可能にしたことで、運用コスト削減やパフォーマンスの向上につながっている。