IT業界というのはホットな話題に事欠きません。これまでも、クラウドやハイパー・コンバージド・インフラストラクチャ、機械学習について活発な論議が交わされてきました。しかし今、IT業界でもっぱら議論の的になっている2つのテーマがあります。ランサムウェアと、欧州連合(EU)の一般データ保護規則(GDPR)です。
それぞれが十分に熱い話題になっていますが、この2つがぶつかり合うとき、いったい何が起きるのでしょうか。先般、「ランサムウェアはGDPRにどのように影響するのですか?」という質問を受けました。そして、IT業界の話の種どうしがぶつかり合うという珍しい現象が起こったのです。
影響はあるのか
答えは間違いなく「Yes」です。GDPRは個人情報の保護を目的として制定されました。したがって、EU市民に関する情報を保持している企業は、データを確実に管理すること、またデータが安全で、保護されており、アクセス可能である状態を維持することに尽力しなければなりません。
GDPRの要件のもとでは、そうした企業は絶対にデータ侵害を発生させないように努める必要があります。この「侵害」とはどのような意味でしょうか。GDPRの条文ではこのように説明されています。
‘Personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored or otherwise processed.(「個人データ侵害」とは、送信、保存またはその他の方法で処理された個人情報の偶発的または違法な破壊、紛失、改変、不正開示またはアクセスを引き起こすセキュリティ違反である。)
この条文を見ると、GDPRのもとで侵害とみなされる事態をランサムウェアが引き起こしかねない理由がよく分かります。そもそもランサムウェアとは、攻撃を受けると重要なデータやシステム全体にアクセスできなくなったり、アクセスが制限されたりするマルウェアのことです。
現在のところ、ランサムウェア攻撃への対応というのは比較的単純なものです。つまり、データのアベイラビリティが確保されていれば不正アクセスされたデータを迅速に復元できますし、そうでなければデータを失うことになります。信頼の置ける復元ソリューションを使用していない場合は、データを消失させることなくビジネス活動を再開できる可能性は少なくなります。テクノロジーやサイバーセキュリティの専門家、そして当局がこぞって、ランサムウェアの身代金の支払いはしないようにと警告していることは忘れないでください。
GDPRによって、これまでになかった課題に対処する必要が生じていますが、同時に、サイバー犯罪者にとっては新たなチャンスが生まれています。すぐそこにいるかもしれないサイバー犯罪者は、ランサムウェアの難解な技術的事項について思い煩うのをやめて、新たな脅威で武装を始めています。サイバー犯罪者は、ランサムウェアによって企業のデータに不正にアクセスし、関連する当局にそれを伝えるかもしれません。そうすれば、その企業は多額の罰金などの制裁を受けることになります。
どうすればよいのか
GDPRは企業に何を求めているのでしょうか。第32条を見ると、データ所有者の主な責任についていくつかのガイダンスが示されています。
- 処理システムとサービスの機密性、完全性、アベイラビリティ、復元性を常に確保する能力。
- 物理的または技術的インシデントの発生時に、すぐに個人情報のアベイラビリティとアクセスを復元する能力。
- 処理のセキュリティを確保するため、技術的および組織的な手段の有効性について、定期的にテスト、評価、診断するプロセス。
GDPRは技術的な規制でも解決すべきITの問題でもないため、IT部門にコミットメントの度合いを深めてもらうことで、データ・セキュリティ戦略を有効にし、ソリューションを最新版にし、すべてのステークホルダーに自らの責任について十分な情報を与える必要があります。以下の領域では、IT部門のコミットメントが重要となります。
- データの完全性の確保
- データのアベイラビリティの確保
- 有効かつ柔軟なテストを実行するためのプラットフォームの準備
どのようなテクノロジーが適しているか
現実的には、必要なものすべてを1つのテクノロジーで賄うのは不可能ですが、どのような種類のテクノロジーが役立つかを知っておくのは良いことです。
理想的なソリューション・スタックとは、ランサムウェアの動作を検出できるレベルのインテリジェンスに加えて、ランサムウェアを即座に停止させ、影響を受けたデータセットを特定する機能を備えているものでしょう。不正にアクセスされたデータセットに関する情報をIT部門が取得し、その情報を復元ソリューションで活用すれば、復元プロセスを自動化できるかもしれません。また、迅速にデータを復元してアベイラビリティを維持したり、テスト環境を構築したりする機能を備えている復元ソリューションがあれば、ランサムウェア攻撃を含むデータ損壊インシデントに備えることができます。
Veeamは役立つか
VeeamはGDPRに準拠するためのツールではなく、ランサムウェアを検知するためのソリューションでもありませんが、Veeam Availability Suiteは、企業が有効なコンプライアンス・プログラムを実施し、ランサムウェアのような問題に対処したり、さらに広範囲のコンプライアンスの課題に取り組んだりするにあたって、大きな役割を果たすことができます。
ただし、潜在的なデータ侵害を迅速に検知したり、データ侵害から回復したりすることについては、サードパーティのツールと連携する機能を活用することで、非常に大きな価値が生まれます。オンプレミスとクラウドの両方で、複数のリポジトリでアベイラビリティを確保するというVeeamの全体戦略について検討し、設置場所にかかわらず、インフラストラクチャ全体で法令を遵守し、データのアベイラビリティの確保をお望みのお客様には、Veeam Availability Suiteは最新のビジネス・コンプライアンス戦略にとって欠かすことのできない、価値の高いものとなります。
サマリー
この記事は、「ランサムウェアはGDPRにどんな影響を与えるのか」という質問から始まりました。この質問に答えるため、ランサムウェアの影響とリスクを評価し、軽減させなければならないのはなぜかについて考えてきました。また、潜在的なほかのコンプライアンス上のリスクについても取り上げました。
御社がビジネス・コンプライアンス戦略のニーズを満たすにあたり、この記事から何らかの有益な背景情報やアイデアを得ていただければ幸いです。
関連するその他の製品・ソリューションはこちら
Microsoft 365のデータの包括的なバックアップをサポートする「Veeam Backup for Microsoft Office 365」。製品概要や利用シーン、成功事例はこちら。
Windowsベースのシステム、物理サーバー、クラウドインスタンス向けの包括的なバックアップおよび復元ソリューション「Agent for Microsoft Windows」。製品概要やエディション比較、成功事例はこちら。
SharePointのオブジェクトを迅速かつ簡単にリストアできる「Veeam Explorer for SharePoint」。製品概要や新機能、エディション比較、特長はこちら。
投資対効果が高く安全で、エンタープライズにも対応している、Microsoft Azureのバックアップ専用製品「Veeam Backup for Microsoft Azure」。製品概要や成功事例などはこちら。