クライアントのニーズの理解から市場の変化の予測まで、データは組織がオペレーションの最適化やイノベーションの促進の原動力となります。とはいえ、このようにデータの実用性が向上したことで、データは多くの悪意ある攻撃者にとって魅力的なターゲットにもなってしまいました。成りすまし犯罪者、サイバーテロリスト、脅威をもたらす内部関係者、さらには競合他社の支援を受ける攻撃者までが、絶えず新しい方法を編み出して組織や顧客の機密情報を侵害しようと狙っています。さらに、異常気象や自然災害、地政学的リスクなど、外的要因による脅威にも直面しています。これらすべてがデータセンターの機能停止や損害をもたらし、組織の効果的なオペレーションを不可能にします。
重要なデータの安全性と利用しやすさに左右されるものがあまりにも多いため、データ保護を通じたレジリエンスの確保は、規模の大小を問わず組織の重要な関心事となっています。データ保護では情報の保護が優先されますが、それだけではなく、デジタルの脅威に満ちた世界で事業継続性と信頼を確保することも重要です。データ保護には、不正アクセスからデータを保護したり、データ侵害を防止したり、データ損失や侵害などの不運な事象が発生した場合に損害を軽減したりすることを目的とした、幅広いプラクティスとテクノロジーが含まれます。
生成、保存、分析されるビジネスデータや顧客データの量は幾何級数的に増加しており、データ保護の重要性がこれまで以上に高まっています。組織は、正確で利用可能な情報に大きく依存しており、あらゆる中断やダウンタイムが最も基本的なオペレーションにまで深刻な影響を与える可能性があります。そのため、データ保護の重要な側面として、データにアクセスできなくなるという事象が発生した場合に、迅速なデータ復旧を確実に行うことが含まれます。
さらに、リモートワークの普及に伴い、データ保護の範囲も拡大しています。今や組織は、一元化されたデータセンターやオフサイトのクラウドベースのストレージから、リモート勤務従業員の自宅のシステムやモバイルデバイスまで、さまざまな環境でデータを保護するという課題に直面しています。データプライバシーを確保し、侵害から保護することは、これらの戦略の重要な要素です。
財務的な影響という面でも、データ保護の重要性が増しています。侵害や損失などのデータ関連インシデントによって、組織に多大なコストが発生することがあり、その額は事象 1 件につき数十万ドル (場合によっては数百万ドル) に達することも珍しくありません。これらのコストは、即時のダメージコントロールに関するものにとどまらず、訴訟、コンプライアンス違反の罰金、新しいサイバーセキュリティ対策への投資にまで及びます。データ窃盗を防止することで、これらのコストを回避し、成りすまし犯罪や詐欺の被害から顧客を保護できます。同時に、効果的なデータ保護により、将来の使用に備えてデータを整理してカタログ化することで、組織がデータからより多くの価値を引き出すことができるようになるため、全体的なオペレーション効率が向上します。
データ保護は、プライバシー管理において重要な役割を果たします。個人データが常に収集され分析される時代においては、個人のプライバシーを積極的に保護する必要があります。データ保護のポリシーとプラクティスを備えることで、組織は法的基準や倫理的基準に準拠した個人データの取り扱いができるようになります。機密情報へのアクセスの制御、強力な暗号化ソリューションの採用、データの匿名化を可能にする対策の実施などです。このような取り扱いの徹底によって、組織は法的リスクを回避するだけでなく、個人のプライバシー権を尊重して保護するという取り組みを確約して顧客やステークホルダーとの信頼関係を構築できます。
最後に、データ保護はビジネス復旧の基盤です。侵害されたデータを取り戻すためにかかる時間は組織の収益と生産性に直接影響し、ダウンタイムが長引けば、重大な財務的損失やブランドの評判の低下につながる可能性があります。本質的に、データ保護は脅威に対抗するための単なる防御戦略ではありません。データ保護は、ビジネスの持続可能な成長とオペレーショナルレジリエンスを実現し、組織が状況に関係なくデータ資産を安全かつ効果的に活用することを可能にするものです。
データ保護は、権限のあるユーザーが必要なデータに常にアクセスできるようにする原則に基づいています。これらの原則は、運用バックアップと事業継続性および災害復旧 (BCDR) を包含する戦略の基盤を形成し、効果的なデータ保護に必要な包括的なアプローチに関するインサイトを提供します。
この原則は、ビジネスオペレーションに必要なデータへのユーザーのアクセスを確保する上で核となるものです。データの可用性には、冗長なシステムとバックアッププロセスを構築して管理し、システムの中断が起きてもデータを確実に復旧して利用できるようにすることが含まれます。
前述のように、データ保護は、データを損失、破損、不正アクセスから保護することに主な重点を置いています。これを実現するために、データのバックアップ、災害復旧、事業継続性計画など、さまざまなプラクティスを採用し、たとえ予期しないインシデントが発生した場合でも、機密データのセキュリティとその可用性や完全性を確保します。データ保護は、データのライフサイクル全体と取り扱いを考慮した包括的なアプローチです。
データセキュリティは、多くの場合、より広範なデータ保護戦略の中に組み込まれていますが、特に不正アクセスからデータを保護することに焦点を当てています。これには、さまざまなデジタル脅威 (内部的なものと外部的なもの) を検出して防止するためのセキュリティ対策を実装することが含まれます。
データプライバシーもデータ保護の一部です。これは、従業員、顧客、ベンダーの個人情報の適切な取り扱い、処理、保存に関するもので、個人情報の収集、使用、共有の方法を規定する法律の遵守を徹底することに重点を置いています。データプライバシーとは、データが帰属する個人の同意のもとに、倫理的かつ合法的にデータを管理することです。
データを保護することの価値は、さまざまな地域や業界にわたって広く認識されています。同様に、データ保護戦略を確立することの必要性も認識されています。以下の戦略を正しく採用して包括的で冗長なサポートを提供することで、重要なデータの効果的なフェイルセーフ機構を構築できます。
データ保護についてコントロールを実装する前に、機密データの徹底的な監査を実施することは不可欠です。監査には、組織が扱っているデータの種類、データの保存場所、現在導入されている防御策を特定することが含まれます。機密性レベルに基づいてデータを分類すると、組織はどのような保護対策が効果的で適切かを把握しやすくなります。既存のデータ保護システムを活用し、改善すべき領域を特定することも、この戦略の重要な側面です。
データ保護ポリシーは、より広範なデータ保護戦略の中核を成します。このポリシーでは、組織がデータを保護する方法と、失われたデータや破損したデータの回復や修復の手順の概要を正確に説明する必要があります。ポリシーでは、さまざまなデータカテゴリのリスク許容度レベルを定義し、承認と認証に関する責任の明確なガイドラインを確立しなければなりません。このポリシーは、組織固有のデータ環境の明確な理解に基づくものにし、以降のデータ保護に関するすべての取り組みの指針となるフレームワークとして機能させます。
地域や業界によってデータ保護に適用される規制が複雑で多岐にわたることを考慮すると、コンプライアンス戦略を策定しておくほうが賢明です。この戦略は、具体的な法的要件に対応し、組織のデータ保護プラクティスが規制に準拠するように設計します。そうでないと、組織が罰則や罰金を課されたり、消費者の信頼を失ったりする可能性があります。
組織が脅威への対策と復旧の方法を理解するためには、定期的に評価しなければならない脅威が数多くあります。リスクアセスメントでは、脆弱なパスワードや不適切なアクセス制御など、IT インフラストラクチャ内の潜在的な脆弱性に加え、あらゆる脅威ベクトルからの悪意のある攻撃を特定します。そうしたリスクを理解すると、組織はそれに合わせてデータ保護対策を調整して、危険に効果的に対処できます。
組織のセキュリティ戦略では、機密データへの不正アクセスを防止するための対策を確立するとともに、保護ポリシーが従業員の生産性やデータ利用を過度に阻害しないよう配慮する必要があります。そのためには、高度なセキュリティテクノロジーを導入し、効果的なバックアップを管理してデータの可用性と事業継続性を確保し、セキュリティプロトコルを常に更新し続けて新たな脅威に対抗します。
デジタル脅威は進化し続けているため、データ保護が有効性を維持するには、それに合わせて適応していく必要があります。このようなデータ保護の継続的な進歩は、いくつかの新たなトレンドとして現れており、それぞれがデータのセキュリティと管理の独自の側面に対処しています。
CDM は、組織が維持する必要があるデータコピーの数を最小限に抑えることで、ストレージのオーバーヘッドを削減し、データの管理と保護を簡素化します。CDM は、自動化と一元管理により、生産性を向上させ、管理コストを削減します。CDM の進化における次のステップは、インテリジェントなデータ管理プラットフォームとの統合による、より効率的でスマートかつ安全なデータ処理の実現でしょう。
最新の IT インフラストラクチャは、オンプレミスデータセンターとさまざまなクラウドプロバイダーの間など、異なる環境やソフトウェアアプリケーションの間でデータをシームレスに移動する機能への依存度を高めつつあります。データポータビリティは、データ主権にも直接関連しています。これは、さまざまな国に保存されたデータが多様な法的規制の対象となるという考え方です。今後数年間で、主権とポータビリティに関する課題への対応力が競争上の大きな優位性となるでしょう。
組織自前でのデータ復旧は、コストと時間のかかるプロセスになる可能性があります。DRaaS は、実用的で費用対効果の高い代替手段として普及が進んでいます。このアプローチは、組織が専門のデータ復旧サービスを依頼し、組織の内部システムのレプリカをクラウドベースで作成してもらうというもので、単なるローカルでのデータバックアップ以上の高度な対策を必要とする組織の間で利用が増えています。DRaaS は、組織内に大規模な災害復旧インフラストラクチャを用意する必要なしにデータ損失インシデントから迅速に復旧する方法を提供します。
ハイパーコンバージェンスとは IT へのアプローチの 1 つで、コンピューティング、ネットワーキング、ストレージを単一のシステムに統合し、スケーラビリティを向上させながらデータセンターの複雑さを軽減することを目指します。組織がより広範にデータ保護機能をハイパーコンバージドインフラストラクチャに統合しているのは、こうしたソリューションによって、クラウド環境との統合を簡素化しながらセカンダリストレージのバックアップ、災害復旧、アーカイブその他の機能を強化できるためです。
ランサムウェアの高度化に伴い、従来のバックアップ方法は完全に信頼できるものではなくなりました。最新のランサムウェアは、時間の経過とともにバックアップを徐々に破壊し、復旧を困難にします。そのため、ベンダーはバックアップと復旧に対応する製品を改良してランサムウェアの検出と分離の精度を高め、バックアップデータの完全性を確保しています。
モバイルコンピューティングがビジネスオペレーションに不可欠となったため、そうしたデバイスに保存されている機密データの保護と回復も同様に重要です。モバイルデータ保護は、スマートフォン、タブレット、その他の携帯システム上の機密情報を保護したりバックアップしたりすることを意味し、安全な通信方法、強力な本人確認、ソフトウェアや Web サイトの使用制限、データの暗号化、定期的なセキュリティ監査などを実施します。
データの収集と活用はビジネスのほぼあらゆる場面で行われています。残念ながら、これは自分のデータが非倫理的に悪用される可能性のある人々にとって危険なことです。個人のプライバシー権を保護し、組織によるデータの取り扱いに法的強制力のある基準を設定するために、データ保護やプライバシーに関連する法律が存在します。データ保護やプライバシーに関連する主な法律には次のものがあります。
GDPR は 2018 年 5 月に制定され、プライバシーとセキュリティに関する世界で最も厳格な法律の 1 つです。GDPR は世界中の組織に義務を課しています。欧州連合の市民に関するデータを対象にしたり収集したりする組織はすべて、GDPR の適用対象になります。この規制は、世界中のデータプライバシーに高い基準を設定しました。
CCPA は 2020 年 1 月から発効し (2023 年にさらにプライバシー保護を追加)、カリフォルニア州の居住者に、自分に関して収集された個人データと、そのデータが販売されたり開示されたりしているかどうかを知る権利を与えています。また、自分のデータの販売を防止し、組織のデータストレージからあらゆる個人情報の削除を要求する権利も与えられ、それらの権利を行使することで不当な扱いを受けるリスクを負うこともありません。
バージニア州の CDPA は 2023 年 1 月 1 日に制定され、バージニア州の住民に対する厳格なデータプライバシー保護を導入しています。CDPA は、自分の個人情報に関するアクセス、訂正、削除、データポータビリティなどの権利を消費者に付与しています。機密データを処理する際の同意を重視し、データの管理者と処理者に、個人データの保護に関する厳格な責任を負わせています。
PIPEDA はデータ保護法のなかでも古く 2000 年から施行されており、カナダの民間セクターの組織が個人情報を収集、使用、開示する方法を規定しています。PIPEDA の下では、個人は組織が保有する自分の個人情報にアクセスして検証し、その正確性に異議を唱える権利を有します。データは、同意を得た上で公正かつ合法的な手段によって収集し、収集目的以外で使用してはなりません。
ブラジルの LGPD は 2020 年 8 月から施行され、多くの点で GDPR を反映しており、データ主体の権利と、データの処理者と管理者の義務に焦点を当てています。この法律は、組織の所在地にかかわらず、ブラジル国内の個人のデータを処理するあらゆる事業体や組織に適用されます。個人に対してはデータに関するアクセス、訂正、削除、同意の撤回などの権利を付与しています。LGPD によって、同法の執行を担当する国家データ保護局 (ANPD) も設立されました。これら以外にも、多くの国や米国の州で類似の法律があり、その数は絶えず拡大しています。各法域には独自の観点や要件があり、世界中のデータ保護とプライバシーに関する法律は複雑に絡み合っています。Gartner 社もこの増加傾向を踏まえ、2024 年末までに世界人口の 75% が最新のプライバシー規制の下で個人データを保護されるようになると予測しています。
効果的なデータ保護は、グローバルな規制へのコンプライアンスのためだけでなく、顧客の信頼を維持し、予期しない事態の発生時にビジネスのレジリエンスを確保するためにも重要です。ServiceNow は、IT 管理を主導するとともに、Forrester Wave に認められた業界リーダーであり、データ保護プログラムにおけるリスク管理のための業界標準を確立しています。
ServiceNow は、統合リスク管理 (IRM) ソリューションで包括的なリスク課題に対処しており、これは特に規制の厳しい業界では極めて重要なものです。IRM は、リスク、コンプライアンス、ポリシー、監査管理を統合し、全体像を提供して組織が潜在的な脅威にプロアクティブに対処できるよう支援します。これにより、組織は厳格な規制要件を遵守しながら、オペレーションや財務の脆弱性に対する保護策を講じることができます。
ServiceNow 事業継続性管理 (BCM) は、組織が危機に対して効率的かつ効果的に計画を立て対応できるように支援し、ServiceNow CMD とのシームレスな統合により、ユーザーが危機の影響を可視化したり、災害情報を管理したり、事業継続性計画をメンテナンスしたりすることが可能になります。
最後に、ServiceNow プライバシー管理はプライバシー重視の設計で、ワークフローを自動化することで組織全体のデータプライバシーを監視して保護します。このような高度なデータ保護とプライバシー管理のツールを実装することで、あらゆる業界の組織がオペレーション効率とレジリエンスを大幅に向上させることができます。
データはビジネスの中核を成しており、ビジネス戦略においてデータ保護とプライバシーを重視するのは当然のことです。今すぐ ServiceNow のデモをご覧になり、信頼性の高いデータ保護とプライバシー管理がもたらす可能性をご確認ください。