クラウド データ保護とは

クラウド データ保護が重要な理由

オンプレミスのアプリケーションとインフラストラクチャーからクラウドへと移行する動きによって、ITの役割はローカルのサイバーセキュリティを守ることから、世界規模でのビジネスを促進することへと一変しました。強力なITにより、安全なハイブリッド クラウドとマルチクラウドの採用とデータ配布が可能になったうえ、データ流出を防ぎ、厳格化が進む業界ならびに政府の規制要件への準拠を維持できるようになったのです。

これを達成するために、ITリーダーはインターネット、データ センター、そしてSoftware as a Service (SaaS)アプリケーションに対して統一された機能を提供するクラウド データ保護プラットフォームに注目しています。このようなプラットフォームにより、パブリック クラウド アプリケーションの構成がベスト プラクティスの基準に準拠するようになり、データ流出の防止とコンプライアンスの維持が可能となります。

加えて、責任共有モデルでは企業とクラウド プロバイダーの双方があらゆる手段を講じながらデータを保護する責任を負うため、クラウド利用者とプロバイダーの間で共有されたイニシアチブが行われます。

クラウドでデータを保護する方法

クラウド データは通常、バックアップ、クラウド ストレージ、ディザスター リカバリーなどの方法によって保護されます。これらはいずれもマルウェアによる侵害、情報漏洩、そしてクラウド データの脆弱性を悪用するその他のインシデントが発生した場合に、データが組織の所有範囲内に留まるようにするためのものです。

認証、アクセス制御、および安全な削除もデータを保護するための一般的な方法ですが、それらはデータ保護というよりもデータ セキュリティに関係しています。企業組織はこれらの方法を使って、悪意があるもしくは注意を怠ったユーザーまたは従業員をデータから遠ざけ、データをまとめて保護します。

データ侵害の防止に関しては、標準的なセキュリティ ポリシーにも一定の役割があります。クラウド ワークロードは特に脆弱であるため、組織とそのクラウド サービス プロバイダーがパートナーシップによる影響を把握することが、全体的なデータ リスクを最小限に抑える上で重要です。

Data Protection Technologies

In today’s threat landscape, safeguarding sensitive information requires a multi-layered approach. Below are five key data protection technologies that help organizations secure their data, reduce risk, and comply with regulatory requirements.

Encryption: Encryption converts readable data into an unreadable format using cryptographic algorithms. Only authorized users with the correct decryption key can access the information. This technology ensures that even if data is intercepted or stolen, it remains inaccessible to unauthorized parties.

Authorization and authentication: These two technologies control who can access data and verify that users are who they claim to be. Authentication involves validating a user’s identity, typically through credentials like passwords, multi-factor authentication (MFA), or biometrics. Authorization, on the other hand, determines the level of access a user has to specific resources.

Data masking: Data masking involves obfuscating sensitive information by replacing it with a non-sensitive equivalent, such as substituting real names with random characters. This allows organizations to use or analyze data without exposing the actual sensitive content to unauthorized personnel. Data masking is particularly important during development, testing, or analytics processes where data exposure should be minimized.

Data backup: Regular data backups ensure that, in the event of a data breach, ransomware attack, or accidental deletion, critical information can be restored. Effective backup strategies involve storing copies of data in secure, offsite locations, and utilizing encryption to protect backups. In Zero Trust environments, access to backups should be tightly controlled to prevent unauthorized modifications or deletions.

Data loss prevention (DLP): DLP solutions monitor and control the flow of sensitive data within and outside an organization. They help prevent the accidental or malicious leakage of data by enforcing security policies across applications, networks, and endpoints. DLP is an essential technology for maintaining data visibility and ensuring that sensitive information does not leave the organization without proper authorization. 

These technologies, when integrated into a zero trust framework, provide a robust defense against both external and internal threats, ensuring that data remains secure regardless of where it resides.

Data Protection Regulations and Standards

Data protection regulations and standards have been established globally to safeguard sensitive information and ensure that organizations implement robust security measures. Understanding and complying with these frameworks is critical for businesses to avoid legal penalties and maintain customer trust. Below are some key regulations and standards that govern data protection practices: 

GDPR (General Data Protection Regulation): Enforced within the European Union, GDPR mandates that organizations must protect the personal data and privacy of EU citizens. This regulation also grants individuals rights over their data, including the right to access, correct, and request the deletion of their information.

HIPAA (Health Insurance Portability and Accountability Act): In the United States, HIPAA governs the protection of sensitive health information (PHI). Healthcare organizations and their partners must implement administrative, physical, and technical safeguards to secure patient data.

CCPA (California Consumer Privacy Act): The CCPA gives California residents greater control over their personal data, requiring businesses to disclose the data they collect, provide opt-out options, and comply with deletion requests.

PCI-DSS (Payment Card Industry Data Security Standard): PCI-DSS is a security standard designed to protect payment card information. Organizations that process, store, or transmit cardholder data must comply with its strict requirements, which include encryption, network security deployment, and regular monitoring of network access.

Adapting to these regulations and standards not only ensures compliance but also strengthens the overall security posture of an organization, particularly when zero trust principles are applied to protect sensitive data across the board.

クラウド データ保護が抱える課題

クラウドを活用することでビジネス上の多くのメリットを得られますが、クラウド データを安全に保つことは簡単ではありません。表面的な部分だけでも、クラウド データ保護には以下のような多くの課題があります。

• 暗号化：2022年中旬に発表されたGoogle透明性レポート(Google Transparency Report)のデータによると、Googleが確認しているトラフィックの95%は暗号化されています。つまり、データ保護ソリューションが暗号化されたトラフィック内のデータを分類または制御できない場合、データの漏洩や悪用につながるセッションの大半を見逃してしまうことになります。これは特に、データのやりとりが安全で暗号化された接続に依存するSaaSアプリケーションに当てはまります。
• 保護体制の隙：クラウド アクセス セキュリティ ブローカー(CASB)、セキュアWebゲートウェイ(SWG)、クラウド セキュリティ ポスチャー管理(CSPM)などのツールは、それぞれ組織全体のデータ保護体制の一部しか確認できません。しかし、製品と関連部門の間には隔たりがあり、複雑性や部門の役割における冗長性、そしてアプリケーションにおけるデータ漏洩に対する可視性と制御の欠如につながる可能性があります。
• 限定的な可視性と制御：大半のデータ保護オプションでは、クラウド上でのデータ利用に関する意思決定に役立つ情報の量は限られています。アクセスを試みるユーザー、その所在地、およびアプリケーションの状態などを含む完全なコンテキストがなければ、効果的で安全なデータ利用を支えるのに必要なきめ細かい制御を提供できません。
• ユーザー エクスペリエンスの低下：従来型のインフラストラクチャーに含まれるセキュリティ デバイスにインターネット トラフィックを経由させると、アプリケーションのパフォーマンスが低下してユーザーの不満につながります。しかし、パフォーマンスを向上させるために十分なアプライアンスを追加するのは高いコストが発生するため、実用性が大変低いのが課題といえます。さらに、従来型のアーキテクチャーは緊急時のリモート アクセス急増に対処したり、場所を問わず作業する従業員の増加に対応したりできるように構築されていません。

クラウド環境のデータを保護する方法

理想的なクラウド データ保護ソリューションは、パフォーマンスとスケーラビリティーのためにゼロから構築する必要があります。さらに、グローバルに分散されているためにユーザーが常に近くからアプリケーションへアクセスでき、強力なパートナー ネットワークによって最適なパフォーマンスと信頼性を確保できるプラットフォームである必要があります。

包括的で対象範囲の広いクラウド データ保護の体制を確立するには、ゼロトラスト フレームワークの構築に役立つ製品が重要となります。ゼロトラストは、接続の前にコンテキスト(ユーザー、デバイス、アプリケーション、コンテンツなど)を使用して信頼を確立することで、組織が直面する特定のクラウド セキュリティ課題に対処する上で役立ちます。

組織がクラウド サービスを活用して柔軟性を高めれば、ゼロトラストでリソースへのアクセスを積極的に保護し、データを狙うサイバー脅威に対して優位に立つことができます。

クラウド データ保護のメリット

堅実なデータ保護プログラム：

• データとアプリケーションのセキュリティを向上：クラウド データ保護はクラウド アプリケーション アーキテクチャーの可視性を向上させることで、リモート ユーザーやハイブリッド ユーザーに対しても、クラウドのあらゆる側面でセキュリティを強化することができます。
• アクセス ガバナンスを改善：ベスト プラクティスに従ってクラウド データ保護プログラムを実装する場合、ユーザーは確立されたコンテキスト ガイドラインを満たしている場合にのみデータにアクセスできます。そのため、データはそれを取り巻くアクセス ポリシーによる管理を受けます。
• コンプライアンスの順守と維持をサポート：生成されるデータの量が世界中で増加するなか、GDPR、HIPAA、CCPAなどの規制によって、データの使用方法に関する厳格なガイドラインが維持されています。クラウドデータ保護は、このようなガイドラインを順守するのに役立ちます。

Data Protection Trends

As the landscape of data security continues to evolve, several key trends are shaping how organizations protect their sensitive information. Below are some of the most impactful trends in data protection today:

AI and Machine Learning in Data Security 

Artificial intelligence (AI) and machine learning (ML) technologies are becoming indispensable in the fight against data breaches and other cyberthreats. These tools can analyze vast amounts of data to detect anomalies, identify vulnerabilities, and predict potential security incidents before they occur. By automating threat detection and response, AI and ML help organizations stay ahead of increasingly sophisticated cyberattacks.

Zero Trust Security

The zero trust model is increasingly being adopted as a foundational framework for modern data protection. Instead of assuming that internal systems and users are inherently trustworthy, zero trust continuously verifies identities and enforces strict access controls at every level of the network. This approach significantly reduces the risk of insider threats and lateral movement by bad actors, ensuring that sensitive data is only accessible by authorized users under the right conditions.

Data Localization Laws

More countries are enacting data localization laws, which require that data be stored and processed within a specific geographic region. These laws are often driven by concerns over national security and data sovereignty. For businesses, this trend introduces new complexities around data storage, as they must navigate a patchwork of legal requirements across different jurisdictions. Implementing flexible, compliant data protection solutions that can adapt to these localization demands is becoming a critical focus for global organizations. 

These trends highlight the ever-changing nature of data protection and underscore the need for proactive, adaptable security strategies to safeguard sensitive information in today’s complex regulatory and threat landscape.

Data Protection vs. Data Security

While the terms data protection and data security are often used interchangeably, they have distinct focuses within the broader landscape of cybersecurity. Understanding the difference helps organizations design a comprehensive strategy for safeguarding sensitive information. Here's a quick breakdown of how they differ:

Why Organizations Need Both 

To create a robust security posture, organizations need both data protection and data security working in tandem. Data protection ensures that information is properly managed, backed up, and compliant with privacy regulations, while data security defends against external and internal threats. 

Without data security, protected information may be vulnerable to attacks, and without data protection, even the most secure systems can fail to meet legal and operational standards.

Together, they provide a holistic approach to safeguarding sensitive data in a zero trust environment, where both privacy and security are paramount.

クラウド データ保護のベスト プラクティス

多くの組織は、保護プログラムの構築に関する事前準備を怠りがちです。その結果、実際に保護プログラム構築の準備段階が完了した後、複雑さが増してしまう状況に陥ってしまいます。ここで紹介するベスト プラクティスに従って、このような事態を回避する必要があります。

機密データのインベントリーを作成する

銀行の管理責任者の場合、金庫に保管する金額や輸送用のトラックに積む金額はあらかじめ把握する必要があります。組織が作成した機密データを保護する場合も、これと同じ原則が当てはまります。どのデータを保護したいのか、そのデータはどこにあるのか、そしてどのように保護するのが最善なのかを理解することは、プログラムを構築する際に役立ちます。

暗号化と認証を組み合わせる

クラウド リソースとデータの保護に認証は効果的な方法ですが、ハッカーは簡単にシステムに侵入し、ユーザーになりすましてデータにアクセスできます。そこで、暗号化を組み合わせることで、ランダムに生成されたパスコード(暗号化キー)を使用してデータをスクランブルし、セキュリティの強化を図ることが重要です。

信頼できるプロバイダーを選ぶ

データ保護を提供するベンダーは数多く存在し、その多くは独自の方法でクラウド データを安全に保つことができると宣伝しています。実際は、クラウドのためにクラウドでデータ保護を構築し、ゼロトラスト フレームワークを活用してクラウド トランザクション間のデータを保護しながら、クラウド コンプライアンス組織と連携して規制ガイドラインに準拠できるように対応するベンダーは、Zscalerだけなのです。

Zscalerとクラウド データ保護

クラウドネイティブなセキュリティとエクスペリエンス プラットフォームであるZscaler Zero Trust Exchange™を介して提供されるZscaler Data Protectionは、以下を通じて効果的な保護プログラムの基礎構築をサポートします。

• インターネットへのデータ流出を防止：ユーザーがパブリック インターネットにアクセスすると、データは危険にさらされる可能性があります。Zero Trust Exchangeは、従来型のアプライアンスを用いずに、すべてのインターネットおよびSSLトラフィックを検査できるスケーラビリティーを備えています。単一のDLPポリシーは転送中データを保護し、場所を問わず高速で一貫性のあるセキュリティを提供します。
• CASBでSaaSデータを保護：Microsoft OneDriveのようなアプリでは、わずか2回のクリックで未承認のユーザーにデータを共有できるため、SaaSアプリの保存データを保護することは、セキュリティにおいて非常に重要です。Zscalerは、ポイント製品が持つコストや複雑性の問題を伴うことなく、SaaSアプリを保護する統合されたマルチモードCASBを提供します。
• パブリック クラウド データを保護：多くのクラウド侵害は、リスクの高い設定ミスやアクセス許可によって引き起こされます。Zscaler CSPMとCIEMは、致命的な可能性がある設定ミス、コンプライアンス違反、アクセス許可、およびエンタイトルメントを検出して修復するとともに継続的なスキャンによってリスクに優先度を付けます。
• 管理されていないデバイスを保護：BYODやその他の管理されていないデバイスは、データに対する重大な脅威となりますが、IT部門ではこういったエンドポイントを制御できない場合が少なくありません。しかし、これらすべてをブロックしてしまうと企業の生産性が低下します。Zscaler Cloud Browser Isolationは、VDIやリバース プロキシのパフォーマンス上の課題を伴うことなく、管理されていないデバイス アクセスを安全に有効にします。