データセキュリティとは、承認されていないアクセスからデータを保護し、データの機密性、整合性、可用性を維持するために採用される保護手段を指します。データセキュリティのベストプラクティスは、データ暗号化、キー管理、データ秘匿化、データサブセット化、データマスキングなどのデータ保護手法を導入することに加え、特権ユーザーアクセスの制御、監査、監視を行うことです。
データセキュリティのベストプラクティスは、データ侵害のリスクを軽減し、規制コンプライアンスの達成を支援するために、オンプレミスとクラウドの両方で活用する必要があります。具体的な推奨事項はさまざまですが、通常、多層防御アプローチを適用するように設計された階層型データセキュリティ戦略が必要です。さまざまなコントロールでさまざまな脅威ベクトルを軽減します。明確なソリューション領域は、データベースのアクティビティと脅威を評価、検出、監視する機能などです。
データは、どの組織にとっても最も重要な資産の1つです。そのため、あらゆる不正アクセスからデータを保護することが最重要事項です。データ侵害、監査の失敗、規制要件への準拠の失敗はすべて、評判の低下、ブランドエクイティの喪失、知的財産の侵害、違反に対する罰金につながる可能性があります。欧州連合の一般データ保護規則(GDPR)の下では、データ侵害は組織の全世界の年間収益の最大4%の罰金につながる可能性があり、多くの場合、重大な経済的損失につながります。機密データは、個人を特定できる情報、財務情報、医療情報、知的財産などです。データ侵害を回避し、コンプライアンスを達成するために、データを保護する必要があります。
データマスキング、データサブセット化、データ秘匿化は、アプリケーションに含まれる機密データの露出を減らすための手法です。これらのテクノロジーは、EU GDPRなどの規制に関連する匿名化および仮名化の要件に対処する上で重要な役割を果たします。欧州連合のGDPRは、目的の制限、合法性、透明性、完全性、機密性など、確立され広く受け入れられているプライバシー原則に基づいて策定されました。通知と同意の要件、技術的および業務上のセキュリティ対策、国境を越えたデータ・フローメカニズムなど、既存のプライバシーとセキュリティの要件を強化したものです。新しいデジタル、グローバル、データ主導の経済に適応するために、GDPRは、説明責任やデータの最小化などの新しいプライバシー原則も正式に承認しています。
一般データ保護規則(GDPR)の下では、データ侵害により、組織の全世界の年間売上高の最大4%または2,000万ユーロのいずれか高い方の額が罰金として科せられる可能性があります。EUでデータを収集および処理する組織は、以下の要件を含むデータ処理慣行を検討して管理する必要があります。
データベースは機密情報の貴重なリポジトリであり、データ窃盗者の主な標的になっています。通常、データ・ハッカーは、アウトサイダーとインサイダーの2つに分類できます。部外者には、ビジネスの混乱や金銭的利益を求める単独のハッカーやサイバー犯罪者、または国家規模または世界規模で混乱を引き起こすために詐欺を実行しようとしている犯罪グループや国家が後援する組織の構成員が含まれます。部内者には、信頼の立場を利用してデータを盗んだり、ミスにより不慮のセキュリティ・イベントを引き起こしたりする、現または元従業員、好奇心旺盛な人、顧客またはパートナーが含まれる場合があります。部外者と部内者の両方が個人データ、財務データ、企業秘密、規制対象データのセキュリティにリスクをもたらします。
サイバー犯罪者がデータベースからデータを盗もうとするときに採用するアプローチはさまざまです。
適切に構造化されたデータベース・セキュリティ戦略には、さまざまな脅威ベクトルを軽減するためのコントロールを含める必要があります。最善のアプローチは、適切なレベルのセキュリティを適用するために簡単に導入できるセキュリティ・コントロールの組み込みフレームワークです。データベースを保護するために一般的に使用されるコントロールのいくつかを次に示します。
データ侵害のリスクを軽減して、暗号化、キー管理、データマスキング、特権ユーザーアクセス制御、アクティビティの監視、監査など、データセキュリティのベストプラクティスへの準拠を簡素化します。