「完璧主義」はNGと言えるワケ

　こうした状況を踏まえた上で、チェン氏はデータ・セキュリティ関連で捉えておくべき4つの達成目標を挙げる。 ・（1）データ・セキュリティの成熟度を測定する （2）データ中心のセキュリティを構築または強化する （3）データ・セキュリティに関するAIの能力をテストする （4）ポスト量子暗号（PQC） 　まず「データ・セキュリティの成熟度を測定する」については、成熟度を測る理由は、企業のデータ・セキュリティ能力を大幅に向上できるからだと話す。AIなどの新しい技術を安全に利用すること、攻撃対象領域を小さくし、インシデントによる影響を軽減することにも役立つという。 「ただし、ツールや技術がすべてをカバーするわけではありません。基本的なデータ管理とガバナンス、プロセスを実装するだけでも、何もしない状況よりははるかに優れています。完璧を追求し過ぎるあまり、進歩を止めてしまうことは避けるべきです」（チェン氏） 　「データ中心のセキュリティを構築または強化する」ことに関しては、データの状態を「保管中」「移動中」「使用中」の3つに分類し、どの状態のデータに対する施策なのかを意識することで、データ中心のセキュリティを構築できるようになる。 　その際、まずは「保管中」のデータに対して、データ・ディスカバリー、データ分類を行い、データ・アクセス・ガバナンスを利かせていくことが基本だ。これにより、組織内のデータの使用状況を可視化し、ダークデータのフットプリントを削減が可能になるとチェン氏は話す。 　そうした基本を押さえた後、マルチベクトルDLP（データ損失防止）、やデータ暗号化と権利管理のEDRM（エンタープライズデジタル著作権管理）、DSPM（データ・セキュリティ態勢管理）、データの検知・対応など、より高度なテクノロジーを段階的に取り入れ、多層的な防御を築いていくのが有効だ。 　そして、「データ・セキュリティに関するAIの能力をテストする」については、生成AIの潜在的なリスクとメリットを理解し、適切に活用するために重要な取り組みだ。チェン氏は、能力テストの例として、以下の5つを示す。 ・自然言語を使用して、データ・インシデントに関する管理や脅威ハンティングを実行する AIによるデータ検知／対応機能により、重要な知見とリスク修正を実現する 機械学習を使用して、データを正確かつ自動的に分類する 異常な振る舞いやその他のデータ・リスク指標の変化を検知する インシデント対応の自動化により、アナリストの時間を節約し、疲労を軽減する 「データ・セキュリティに生成AIを活用する場合、覚えておくべきことの1つは、AIがデータをどのように使用しているかを確実に把握することです。また、セキュリティチームの能力と知識を高めるためにも生成AIは有効です」（チェン氏） 　4つ目の「ポスト量子暗号（PQC）」は、量子コンピュータからのサイバー攻撃に耐え得る暗号技術だ。その標準化の動きを振り返ると、2016年にNIST（米国立標準技術研究所）がプロポーザルの募集を開始し、69のプロポーズが提出され、厳格なテストが行われた。その後2022年に4つのアルゴリズムが採択され、2023年には3つの標準を起草。2024年8月に、3つのポスト量子暗号の最終標準がNISTから発表された。 　こうした動きを受けて、チェン氏は取りかかるべき具体的な手順についても言及する。最初は、データの保持情報を記録し、組織内で使用されている暗号化アルゴリズムを棚卸しする。そうした後に、ベンダーと話し合い、PQCソリューションを製品に統合するための計画、タイムラインを把握する。最後は、コードに大きな変更を加えることなくアルゴリズムを切り替え可能な俊敏性の高いアプリケーションを構築するという流れだ。 「量子コンピュータのデータ・セキュリティに対する影響は、2028～2029年に顕在化すると予測されています。つまり、今こそ準備を整える必要があるということです」（チェン氏）

本記事は2024年7月24日-26日に開催された「ガートナー セキュリティ ＆ リスク・マネジメント サミット」の講演内容をもとに再構成したものです。