データ保護とは、データを損失、窃盗、破損から安全に保護するアクションのことで、有害事象が原因でデータへのアクセスやデータの使用が不能になった場合にデータを使用可能な形にリストアできる能力も含まれます。
データ保護には、人、データセキュリティプロセス、データ保護ツール、データ保護技術が必要です。これには、以下のユースケースが含まれます:
組織がデータを処理する場合、データ保護の7つの原則に従う必要があります。これらの原則は、欧州連合 (EU) の一般データ保護規則 (GDPR) の第5.1~2条に詳しく記載されています:
一般的に、企業は業務で処理または使用する機密データを保管しています。こうしたデータ (従業員記録、顧客情報、知的財産 (IP)、ポイントプログラム、売買取引など) は、データ主体や組織の双方に損害を与えかねない金銭的利益、悪評、報復などの理由で (社内外の) 悪意ある行為者に悪用されないよう、管理して保護しなければなりません。
データ保護は、プライベートデータに対する不正アクセス、使用、公開を防ぐ上で欠かせません。データを保護することで、重要データの損失、窃盗、侵害、悪用、破損による悪影響を最小限に抑えることができます。実証済みのデータ保護手法には、重要データを保管してビジネスの混乱を最小限に抑えながらリストアできるようにする (可能な限り継続的な) データのバックアップ、データと外部に接触するネットワーク接続との間で重要データの隔離を実現する仮想「エアギャップ」の作成、そして非常に重要な手法として、データの損失を最小限に抑えながら即時にデータを復旧できる能力が挙げられます。たとえば、ハリケーンが襲来して災害復旧が必要になった、またはサイバー攻撃に遭ってランサムウェアからの復旧が必要になったとします。このような場合にデータ保護は、組織によるほぼリアルタイムでの復旧を支援するだけでなく、堅牢なデータ保護戦略であればミッションクリティカルなアプリケーションの運用維持や事業継続も実現します。
データ保護とプライバシーの課題に対処するため、世界各国で多数の法律が可決されています。
一般データ保護規則 (GDPR) は、多くの人に世界で最も厳しいデータ保護法として認識されています。欧州連合 (EU) が域内向けに策定したGDPRは、EU居住者に関するデータを収集する世界中の組織に義務を課しています。この規制は2018年5月25日に施行されたものです。EUはこのデータ保護基準に違反したいかなる組織にも躊躇なく罰金を科しており、その額は数千万ユーロにも上ります。
米国には、健康データ (HIPAA)、財務情報 (PCI)、子どもから収集したデータや子どもに関するデータなど、さまざまな業界やデータ保護の側面に焦点を当てた連邦法と州法が多数あります。カリフォルニア州消費者プライバシー法 (CCPA) を制定したカリフォルニア州を筆頭に、一部の州では厳格なデータ保護法が可決されています。しかし、米国のデータ保護はEUのものとはかなり異なります。というのも、米国では分権化されており、コンプライアンスを課す中央政府機関は存在しません。したがって、組織には自発的な管理が期待されています。実際、データ保護規則に対するこのやや中途半端なアプローチが原因で、企業は多くの州で、データ主体への通知や配慮をせずにデータを取り扱い、販売し、共有することができてしまっています。
2022年6月、米国データプライバシー保護法が下院で提出されました。この法案は、企業が消費者データを維持、使用する方法に関する要件を規定するものです。この法令には、データの最小化、個人的所有、私的訴権など、GDPRと同じ原則が多数採用されています。しかし、各組織のプログラムを評価する義務は組織自体が負います。つまり、自主規制です。この法案については、委員会で審議されて以降、措置は講じられていません。
英国では、2018年のデータ保護法がデータ保護を統制する法律です。これは、EUのGDPRを踏まえて1998年に通過した従前の法令を置き換えるものです。
アジア諸国におけるデータ保護の法令および規制は実にさまざまであり、各国独自のガバナンスフレームワークがあります。アジア諸国は継続的に発展しているため、組織が対象の法域で事業を行うためには、各国の要件を追跡することが極めて重要です。たとえば、2020年、中国、カンボジア、スリランカはサイバーセキュリティ規制と個人情報に特化した法令を提案または導入しました。中国の個人情報保護法 (PIPL) は2021年11月1日に発効しました。日本のデータ保護は個人情報保護法 (APPI) に準拠しています。シンガポールでは個人データ保護法 (PDPA) が整備されており、インドでは個人データ保護法案が2019年に成立しました。
データ保護にはよくあるユースケースの通りの例もありますが、すべて、人、プロセス、テクノロジーの組み合わせになっています:
バックアップと復旧: 2018年9月、ハリケーン「フローレンス」などの自然災害によってノースカロライナ州とサウスカロライナ州で壊滅的な被害が発生しました。150mph (240km/h) 近くの最大風速を記録し、240億ドルもの損害をもたらしたカテゴリー4のハリケーン「フローレンス」によって、内陸の企業は想定外の洪水位上昇に見舞われました。安全な場所へ急いで逃げる際、オンサイトのバックアップメディアの持ち出しを考えた企業はほとんどありませんでした。その後、企業は複数階層のバックアップソリューションがいかに重要であったかを改めて認識しました。これは、最も早く復旧して事業を運営できた企業には、クラウドといった最新のバックアップと復旧ソリューションが導入されていたためです。データをクラウドに保管していたため、こうした企業は施設が損傷していても、どこからでも復旧とリストアを実現することができました。
ランサムウェアからの保護、ランサムウェアの検知、ランサムウェアからの復旧: データの保護について言えば、データの単純なバックアップでは不十分です。サイバー犯罪や自然災害に直面した時に、どれだけ迅速にデータを復旧できるかも非常に重要です。ESGのランサムウェアに関するとある調査によれば、調査対象となった組織の79%が、昨年中にランサムウェア攻撃の被害に遭ったと回答しています。このようにランサムウェア攻撃は、自然災害のように起こるかどうか、いつ起きるのかという問題ではなく、前触れなしに起こることなのです。こうしたワークロードやプロセスを特に標的としたランサムウェア攻撃を考慮すると、組織はバックアップの保護を当然のことと理解していますが、データを迅速に復旧することで、ダウンタイムやデータの損失を最小限に抑え、さらに効率良く効果的に事業を継続できるようになります。データにアクセスできない時間が長引くほど、混乱、規制順守に関する潜在的影響、さらには顧客満足度の課題を引き起こすSLAに破壊的な影響が生じるリスクが高まります。ある大手不動産会社は、ランサムウェア攻撃を受けた後、3時間以内に顧客データと企業データのすべてを保護してリストアし、身代金の支払いを回避することができました。
データコンプライアンス: このユースケースに該当する組織には、ゼロトラストの原則に基づいて設計されたデータセキュリティソリューションが必要です。これには、イミュータビリティ、クォーラムコントロール、データの暗号化、多要素認証、不正なアプリケーションや悪意ある行為者がデータの変更や削除を行えないようにするきめ細かい単位でのロールベースのアクセス制御の組み合わせが含まれます。
災害復旧と事業継続性: 継続的データ保護は、ミッションクリティカルなVMware仮想マシンでほぼゼロのRPOを実現し、データの損失を最小限に抑え、事業継続性を確保する能力を最大限に高めます。ある国内レストランチェーンは、データを1日または1時間に1回バックアップする代わりに、販売時点管理 (POS) システムに変更が加えられたタイミングでデータをバックアップする継続的なデータ管理戦略を採用しました。つまり、リモートのクラウドリポジトリに全国にあるすべてのレストランで発生したあらゆるトランザクションが記録されたのです。さらに、このソリューションは各ファイルに複数のバージョンを維持していたため、データがマルウェアに感染しても過去のバージョンに簡単に「ロールバック」できました。
長期保持とアーカイブ: お客様が長期にわたってバックアップデータを保持またはアーカイブできるポリシーのことです。参照、コンプライアンス、法務、履歴管理の目的に応じて、期間は数か月から数十年におよぶことがあります。ある有名な法律事務所は、継続的な訴訟を支援するためにデータを長期的に保持する必要があり、クライアントによる緊急の問い合わせに備えて迅速かつ簡単にアクセスできるクラウドへの移行を決定しました。
世界中の組織が、ミッションクリティカルなオペレーションの事業継続性に関して深刻な課題に直面しています。企業が持つ24時間365日体制の性質と増え続けるサイバー攻撃の脅威が相まって、お客様はデータレジリエンスをますます重視するようになっています。企業全体 (オンプレミスやクラウド) にわたるデータのサイロやデータの可視性の欠如、データの保管と管理方法における一貫性の欠如、レガシーのバックアップソリューションと既存のテクノロジーとの相互運用性の欠如によって、組織はサイバー攻撃や停止が発生した際にデータを失うリスクに晒されています。このようなリスクの増大と、企業のデータエステートの規模と範囲が大きいことが重なって、データコストを低く抑えながら規模を拡大 (クラウドホスティングなど) することが急務となりました。
Cohesity DataProtectは、業界をリードする最新のバックアップと復旧ソリューションです。Cohesityを利用すると、企業データの大規模な保護、サイバー攻撃や停止が発生した際のRPOとRTOの大幅な短縮によるデータレジリエンスの向上、データコストの削減が実現します。DataProtectは、包括的なデータセキュリティとデータ管理プラットフォームであるCohesity Data Cloudの一部で、主に以下のメリットを提供します:
データレジリエンスの強化: 現代の企業では、きめ細かい単位のゼロに近い目標復旧時点 (RPO) とほぼ瞬時の目標復旧時間 (RTO) が求められています。Cohesityでは、時間単位ではなく分単位でデータを大規模に復旧することができます。また、完全にハイドレーションされたスナップショット、継続的データ保護 (CDP)、柔軟な復旧で、SLAを上回ることができます。
TCOの削減: Cohesityは、無制限の拡張性、オーバーヘッドの最小化、データストレージコストの大幅な削減を実現するひとつのプラットフォームに企業のデータ保護を統合することで、総所有コスト (TCO) を大幅に削減します (Cohesityによる全体の経済効果)。
企業データを規模の制限なく保護: Cohesityは、オンプレミス、クラウド、エッジのワークロードにわたる企業データに対し、規模に制限なくエンドツーエンドのバックアップと復旧ソリューションを提供します。組織は、上限のない保持ポリシーで大量のスナップショットを取得し、企業がデータとアプリケーションを必要な頻度で保護できるよう高速かつ並行のデータ取り込みが行えるCohesityのスナップショットを利用することができます。
元のストレージの修理やリストアを待ったり、データを別の場所に移動するのを待ったりすることなく、データランドスケープ全体で大規模にデータとアプリケーションの即時アクセスを実現する、ほぼ瞬時のデータの可用性、アクセス、リストアが利用できます。何千ものVMを瞬時にリストアする能力を備え、データベースの復旧時間がほぼゼロなのはCohesityだけです。このようなCohesity独自の機能に関する詳細はこちら: