データマスキングとは?

データマスキングでは、データセキュリティの強化を目的として、データベースやデータストアにある機密データを、現実的かつ機能的な偽装の値で置き換えます。

データマスキングでは多くの場合、文字や数字を自動で操作する手法が使用されます。データマスキングは個人識別情報 (PII) や保護対象保健情報 (PHI) を含む機密で質の高い本番データを隠す (匿名化する) ため、組織は開発やテスト、分析、顧客サービス、トレーニングの目的でデータマスキングを使用しています。

データマスキングにより、コンプライアンス要件を満たすために本番環境外でデータを再作成することから、貴重な人材リソースが解放されます。また、重要な企業情報と顧客情報をランサムウェア攻撃などの災害から守ることで、サイバーレジリエンスも強化します。

データマスキングの仕組みとは?なぜ必要なのか?

データマスキングは、同一データベースやデータストア内のデータ値を、手動または自動で別の数字、文字、記号、配列に偽装する仕組みです。欧州連合の一般データ保護規則 (GDPR) が発効され、組織にデータを個人の識別に使用できないよう匿名化を義務付けるようになってから、データマスキングの注目度が上がりました。

今日の企業と政府機関はデジタル業務に依存しているため、データマスキングの必要性は高まっています。以下が、企業がデータマスキングを採用する理由です。

• ビジネスの加速: データマスキングにより、組織は従業員、パートナー、顧客、取引に関する機密情報を保管し、中断することなくデータを使用し続けられるようになります。データ窃取や喪失の恐れ、業界や政府のコンプライアンスに関する懸念もありません。マスキングしたデータは多くの場合、ソフトウェアの開発やテストに使用されますが、ビジネスインテリジェンス、トレーニング、分析にも使用されます。
• 事業継続性: データマスキングではサイバー犯罪者がデータを盗んでも使うことができないため、最近では二重脅迫型ランサムウェアスキームといったサイバー攻撃からの機密データの保護を支援する強力なツールとなっています。
• データ保護: データマスキングは、チームが外部 (サイバー犯罪者、請負業者、第三者など) や内部 (内部脅威) の悪質な行為者が重要な情報にアクセスできないよう守りながら、収益増加に繋がる重要タスクの遂行のために、より多くの人が企業の機密データにアクセスできるようにします。
• コンプライアンス: 組織は、GDPRやカリフォルニア州消費者プライバシー法 (CCPA) といったプライバシーに関する規制に違反し、罰金を支払うことを避けたいと考えます。

マスキングが必要なデータとは?

業界や政府が定義するプライバシー規制に則って組織が保持する機密データは、データマスキング要件の対象になる場合があります。通常、次のデータ種についての議論でデータマスキングが話題に挙がります:

• 個人識別情報 (PII): 氏名、住所、免許証番号、電話番号、パスポート番号など、単独または他の情報と組み合わせて個人の身元を特定するために使用されるデータのことです。
• 保護対象保健情報 (PHI): 氏名、住所、診療記録番号、受診日、診断、端末番号など、医療との接触時に作成または共有され、個人の識別に使用できる診療記録のデータです。
• 財務データ: この情報は取引の一部で、PCI DSS (Payment Card Industry Data Security Standard) の規則の対象となります。
• 知的財産: 組織の所有物とみなされる情報です。

データマスキングの種類とは?

以下は、最もよく使用されているデータマスキングの種類と、組織が機密情報を保護するためにこれらを使用する主な理由です:

• 静的データマスキング: データベースまたはデータストアの新しいサニタイズされたコピーを作成するために、本番環境のバックアップを作成し、それを別の環境または仮想エアギャップに移動させます。その後、データをオフラインで自動または手動でマスキングし、開発/テスト、分析、トレーニング用に再度読み込みます。
• 動的データマスキング: その名の通り、リアルタイムでデータをマスキングし、本番環境のデータストアから別の場所 (多くの場合はカスタマーサービスといったアプリケーションの一部のレスポンスキュー) に直接移動させます。
• オンザフライデータマスキング: このアプローチはリアルタイムでも機能します。通常はエンジニア組織において、本番環境と別のサーバー間でデータを直接移動させる際に使用します。
• 決定論的データマスキング: このアプローチを使用する組織は、特定のデータ (特定の名前など) を同じ値 (1など) や文字 (xyzなど) で置き換えることを決めます。置換は本番環境街のデータソースで該当のデータが使用される度に行われ、多くの場合、開発/テストでのデータの利用スピードを高めます。

データマスキングの手法とベストプラクティスとは?

最も一般的なデータマスキングの手法として、文字や数字をランダムに再配置するスクランブル化、単純にデータを表示から除外するnull化、値や実際の言葉を変更する置換、値を変更してからデータベースの列と行やデータセット内で移動させるシャッフルが挙げられます。項目にランダムの値や日付を割り当てる範囲マスキングや、日付範囲を常に変更する日付シフトは、取引データでよく使われるデータマスキング手法です。

これらの手法を採用する場合、組織は以下の作業から着手します:

• データの評価: データをマスキングする前に、誰にアクセスが許可されているのか、どのアプリケーションや個人がアクセスする必要があるのか、どこにあるのかなど、チームは対象の機密データを理解する必要があります。
• チーム間の同期: ひとつのチームがすべてのデータマスキング作業を担当することはめったにないため、参照の整合性をいじするために各部門が連携することが重要です。参照の整合性は、リレーショナルデータベース内のあるテーブルの属性が別の属性を参照している場合、その値が存在することを保証します。
• プロセスのセキュリティ確保: ランサムウェアが蔓延し、内部脅威が増加していることで、組織はあらゆる場所でのセキュリティ強化が迫られています。これには、データやデータマスキング手順を保護する責任が誰やどのシステムにあるのかも含まれます。
• アプローチのテスト: 想定するセキュリティレベルとローンチ後のシステムやアプリケーションの性能が期待に沿うことを確認するために、データマスキングを担当するチームは品質評価を行う必要があります。

データマスキングと暗号化の違いとは?

データマスキングとデータ暗号化の大きな違いは、使いやすさです。組織は通常暗号化を適用し、データが保存されている間に、人や機械によって解読不能なテキストに変換します。データを使用可能な形式にリストアするには、対応する復号アルゴリズムと元の暗号鍵が必要です。一方、データマスキングはデータの保存中でも転送中でも適用できます。また、マスキングしたデータに即座にアクセスして、アプリケーションに使用したり、顧客からの質問への回答、テストコードや開発コード、データセットに対する分析の実施といった通常業務に使用したりすることが可能です。

Cohesityとデータマスキング

データが指数関数的に増え、ランサムウェアの脅威が増し、コンプライアンス要件が厳しくなる中、組織は機密データの保護方法を強化しながら、そのデータのビジネスでの可用性を上げることが求められています。Cohesity Data Cloudは、セキュリティを強化してこれまで手動で行っていたプロセスを自動化することで、サイバーレジリエンスと運用効率を高めます。

データセキュリティとデータ管理のシンプル化、拡張、強化に特化した製品です。また、Cohesityのプラットフォームには、人工知能や機械学習 (AI/ML) を活用したインサイトやゼロトラストのセキュリティ原則が搭載されています。この原則は、組織がデータマスキングなどサードパーティ製アプリケーションを使用して、多層防御を実現するのに役立ちます。

拡張可能なCohesityのプラットフォームに加え、DataMasqueといったデータマスキングのベンダーが連携し、他のチームと共有する前に、インテリジェントなマスキング機能を使ってデータを匿名化し、PIIなどの機密情報から取り除きます。これにより、コンプライアンスを遵守しやすくなります。組織はこのシームレスに使用できるソリューションを利用し、データ保護を強化しながら、顧客、従業員、パートナーとの信頼を築くことができます。