データ分類とは？その方法と種類

データ分類とは、ファイルやその他の重要なビジネス情報を定義し、分類する手法のことです。主に大規模な組織で、厳格なコンプライアンスガイドラインに沿ったセキュリティシステムを構築するために使用されていますが、小規模な環境でも使用することが可能です。データ分類の最も重要な用途は、保存されている情報の機密性を理解し、その周辺に適切なサイバーセキュリティツール、アクセス制御、および監視を構築できるようにすることです。

データ分類とは、データ資産を情報の機密性に基づいて分類するプロセスです。データを分類することで、組織は次の2つの重要なことを決定することができます。

• データにアクセスする権限を持つべき人
• データの保存や転送の際に適用する保護ポリシー

また、データ分類は、データを保護するために適用される規制基準の決定にも役立ちます。全体として、データ分類は、プライバシー、コンプライアンス、サイバーセキュリティのために、組織がデータをよりよく管理するために役立ちます。

すべての組織は、作成、管理、保存するデータを分類する必要があります。大企業の環境では、クラウドを含む多くの場所にデータ資産を分散させているため、さらに重要になります。

管理者は、これらの情報を追跡・監査し、適切な認証やアクセス制御が行われているかどうかを確認する必要があります。データ分類を行うことで、管理者は機密データを保存する場所を特定し、そのアクセス方法や共有方法を決定することができます。

データ分類は、データコンプライアンスを満たすために必要不可欠な最初のステップです。HIPAA、GDPR、FERPAなどの規制管理機関は、セキュリティと認証制御によってデータへのアクセスを制限できるように、データにラベルを付けることを要求しています。データにラベルを付けることで、データを整理し、安全に保護することができます。また、不要な重複データを減らし、ストレージのコストを削減し、パフォーマンスを向上させ、共有されたデータを追跡可能な状態に維持します。

データ分類は、効果的なデータ保護ポリシーと情報漏えい対策（DLP）ルールの基礎となるものです。効果的な DLP ルールを作成するには、まずデータを分類して、すべてのファイルに保存されているデータを確実に把握する必要があります。

保存されているすべてのデータは、カテゴリーに分類することができます。データ分類するには、データを発見しレビューする際にいくつかの質問をする必要があります。以下の質問例を参考に、データの各セクションを確認してください。

• 顧客、従業員、ベンダーに対してどのような情報を保存しているか
• 新しいレコードを生成する際、組織ではどのような種類のデータを作成しているか
• データの機密性はどの程度か（例：1〜10の数値で、1が最も機密性が高い）
• 生産的な業務を継続するために、誰がこのデータにアクセスしなければならないか

これらの質問から、以下のようなデータのカテゴリーを大まかに定義することができます。

• 高機密データ： このデータは、脅威アクターから保護するためにセキュリティの確保と監視が必要です。また、データにアクセスできるユーザー数を最小限に抑えるなど、厳格なアクセス制御が必要な情報としてコンプライアンス規制の対象となることがよくあります。
• 中機密データ： 一般に公開することはできませんが、データ漏えいが大きなリスクとならないファイルやデータは、中程度のリスクとみなされる可能性があります。高機密データと同様にアクセス制御が必要ですが、アクセスできるユーザーの範囲は広くなります。
• 低機密データ： このデータは一般的に公開されている情報であり、データ漏えいから保護するためのセキュリティはあまり必要ありません。

データ分類は、他のテクノロジーと密接に連携し、データの保護と管理をより効果的に行うことができます。万が一、組織がデータ漏えいに見舞われた場合、データ分類は管理者が失われたデータを特定したり、サイバー犯罪者を追跡したりするのに役立つ可能性があります。

ここでは、データ分類に活用できる技術をご紹介します。

• アイデンティティアクセス管理（IAM）： 誰がどのようなデータにアクセスできるかを管理できるツールです。同じ権限を持つユーザーをグループ化することができます。グループには権限レベルが与えられ、1つのユニットとして管理されます。あるユーザーが退社した場合、そのユーザーをグループから削除することで、そのユーザーに対するすべての権限をなくすことができます。このようなグループ化と組織化により、ネットワーク全体の権限管理を効率化することができます。
• データの暗号化： 特定のデータ資産は、保存時および移動時に暗号化する必要があります。「保存データ」とは、ストレージデバイス（通常はハードディスク）に保存されているデータのことです。「移動中のデータ」とは、ネットワーク上で転送されるデータのことです。データを暗号化することで、攻撃者が傍受しても読み取ることができないようにします。
• 自動化： 自動化は、監視ツールと連携して、管理者がレビューするためのデータの検出、分類、ラベル付けを行います。一部のツールは、人工知能（AI）と機械学習（ML）を統合して、データを自動的に検出、ラベル付け、分類します。また、これらの技術は、データを盗むために使用される可能性のある脅威を特定するのに役立ちます。ラベル付けされたデータにより、管理者はIAMを使用して許可を適用し、特定の脅威が保存データにアクセスするのを阻止することができます。
• データフォレンジック： データフォレンジックとは、何が問題だったのか、誰がネットワークに侵入したのかを特定するプロセスです。データ侵害の後、データフォレンジックは、さらなる調査のために必要な証拠を収集し、保存します。データフォレンジックは通常、2つのプロセスで構成されています。まず、自動化ツールでデータを収集します。次に、人間のアナリストが異常を特定し、調査します。

以下のレベルを考慮すると、データをより適切に分類することができます。データ分類は、通常4つのカテゴリーに分けられます。

公開データ

このデータは、ローカルまたはインターネット上で一般に公開されています。公開データは、公開してもコンプライアンスに違反しないため、セキュリティはほとんど必要ありません。

社外秘データ

メモ、知的財産、電子メールなどは、社内の従業員に制限すべきデータの例です。

機密データ

社外秘データと機密データの違いは、機密データにはアクセス許可が必要なことです。アクセス許可は、特定の従業員や許可されたサードパーティベンダーに割り当てることができます。

極秘データ

極秘データとは、通常、権限を与えられた個人のみがアクセスできる政府機関の情報を指します。極秘データの開示は、企業収益や評判に反論の余地のない損害を与える可能性があります。

データ分類のレビューを開始する前に、Proofpoint とあなたの組織は同じ見解を持つ必要があります。レビューの開始時に、Proofpoint とあなたの組織は資産リストを作成し、ビジネスカテゴリを定義します。例えば、技術データ、財務データ、顧客データを保存するファイルを保持しているかもしれません。カテゴリーを定義することで、セキュリティ要件とデータを一致させることができます。

このステップは、前のセクションで定義されたデータ分類レベルの適用も含まれています。各カテゴリーでは、ファイルのグループごとに異なる分類レベルが設定される可能性があります。この最初のステップで、データ分類プロセス全体の基礎が構築されます。

コンプライアンス基準を満たすためにデータを分類する必要があると判断した場合、最初のステップは、データの保存場所、分類、適切なサイバーセキュリティの決定を支援する手順を導入することです。各手順の実行方法は、組織のコンプライアンス基準や、データの安全性を確保するためのインフラストラクチャによって異なります。一般的なデータ分類の手順は以下のとおりです。

• リスクアセスメントの実施： リスクアセスメントでは、データの機密性を判断し、攻撃者がどのようにネットワーク防御を突破する可能性があるかを特定します。
• 分類のポリシーと基準の策定： 将来的に追加データが発生した場合、分類ポリシーによって繰り返し可能なプロセスを合理化することができ、スタッフの作業を容易にするとともに、プロセスにおけるミスを最小限に抑えることができます。
• データの分類： リスクアセスメントとポリシーに基づき、データの機密性、アクセス可能な人、公開された場合のコンプライアンス上の罰則などに基づいてデータを分類します。
• データの保存場所の特定： 適切なサイバーセキュリティ対策を導入する前に、データがどこに保存されているかを知る必要があります。データの保存場所を特定することは、データを保護するために必要なサイバーセキュリティの種類を特定することにつながります。
• データの特定と分類： データを特定したら、次はそれを分類します。このステップでは、サードパーティのソフトウェアを使用すると、データの分類と追跡が容易になります。
• 管理策の導入： データへのアクセスが必要なすべてのユーザーとリソースに対して、認証と承認のアクセス要求を行う必要があります。データへのアクセスは、「知る必要性」に基づいて行われるべきです。つまり、ユーザーは職務を遂行するためにデータを見る必要がある場合にのみ、アクセスを許可されるべきです。
• アクセスおよびデータの監視： データの監視は、コンプライアンスとデータのプライバシーを守るための必須条件です。監視を行わなければ、攻撃者は数か月のうちにネットワークからデータを流出させることができます。適切な監視制御により異常を検出し、ネットワークからの脅威の検出、緩和、撲滅に必要な時間を短縮することができます。

データ分類のプロセスを合理化し、その一部を自動化することは可能ですが、このプロセスには、依然として人の手によるレビューと手動手続きが必要です。

自動化されたシステムは、ラベル付けや分類を提案しますが、そのラベルが正しいかどうかは人間のレビューによって判断されます。目的や基準を明確にする必要があり、そのためには人間のレビュアーとITスタッフが必要です。

自動化されたツールは、デジタル資産にフラグを立て、人間がレビューできるようにします。リストには、オブジェクト（特定の顧客に関するデータなど）と、それぞれに適用されるルール（HIPAAやPCI-DSSなど）が表示されます。自動化ツールの中には、オブジェクトのインデックスを作成できるものがあります。（インデックスとは、ネットワーク上で迅速かつ効率的な検索を可能にするために、データを分類・整理するプロセスのことです）。

また、データ分類のプロセスでは、他のポリシーも適用されます。一般データ保護規則（GDPR）は、消費者が自分のデータを削除する権利を与えるEUの規則です。組織は、EU域内で消費者データを保管する場合、これを遵守しなければなりません。データ分類ツールの中には、顧客から問い合わせがあったときにすぐに削除できるように、オブジェクトにインデックスを付けるものがあります。

データ分類する上で最も困難なステップの1つは、リスクを理解することです。コンプライアンス基準は、ほとんどの個人の機密データを監督していますが、組織は、ファイルやデータベースに格納されているさまざまなデータに適用されるコンプライアンス規制を遵守する必要があります。データ分類は、データを保護し、コンプライアンスを確保するのに役立ちます。これは、GDPRの要件に従うために不可欠です。（例えば、企業はEUの消費者データを要求に応じて削除できるようにインデックスを作成する必要があります。）

また、GDPRは、顧客の民族的出身、政治的意見、人種、宗教的信条などの二次的個人情報の保護も義務付けています。このため、企業はこれらのデータを分類し、デジタル資産に適切なアクセス許可を設定する必要があります。データ分類は、データが悪用されないように、そのデータにアクセスできる人を決定します。そうすることで、消費者の個人情報の開示や、コストのかかるデータ漏えいを回避することができます。

GDPRを分類するための3つのステップには、以下のようなものがあります。

• データの保存場所の特定と監査： データ分類の前に、管理者はデータが保存されている場所と、そのデータに影響を与えるルールを特定する必要があります。
• 分類ポリシーの作成： コンプライアンスを維持するために、データ分類の標準と手順を作成し、組織での機密データの保存と転送の方法を定義します。
• データの整理と優先順位付け： 優先順位をつけることで、組織はデータの分類とアクセス許可を決定することができます。

ここでは、データの機密性を「高」「中」「低」に分類した例をご紹介します。

• 高機密データ： あなたの会社が、製品を購入するお客様から支払い方法としてクレジットカード番号を収集するとします。このようなデータには、厳格な権限管理、アクセス要求を検出するための監査、保存および送信データに適用される暗号化などが必要です。データ漏えいが発生すれば、顧客と組織の双方に被害が及ぶ可能性が高いため、厳重なサイバーセキュリティ管理のもと、高機密データとして分類されるべきです。
• 中機密データ： すべてのサードパーティベンダーとの署名付き契約書が例にあります。このデータは顧客に危害を加えることはありませんが、ビジネスの詳細が記述された機密情報であることに変わりはありません。これらのファイルは、中程度の機密性とみなされます。
• 低機密データ： 一般消費者向けのデータは、機密性が低いと考えることができます。例えば、自社サイトで公開されているマーケティング資料は、一般読者向けに作成され公開されているため、厳密な管理は必要ありません。

データの分類には人間の操作が必要ですが、プロセスの大部分は自動化できます。自動化と意思決定機能を追加するために、Proofpointは99%の予測精度を持つデータ分類エンジンを開発しました。AIによる自動化により、組織は継続的に文書を識別、分類、保護することができます。つまり、データ分類エンジンは環境に追加される新しい文書を継続的にスキャンし、レビューします。

Proofpointは、人間のレビューとAIベースのデータ分類をバランスよく行います。アクティブラーニングモジュールは、プロセスを開始し、精度を向上させるために、カテゴリーごとに約20のドキュメントを取り込みます。データ分類エンジンは、機械学習モデルを使用してパターンを認識します。機械学習アルゴリズムがより良い精度を持つように、すべてのファイルグループは多様であるべきです。

機械学習モデルは文書のラベルを予測し、その予測精度を判定します。「信頼度」がレビュアーに示され、情報の分類を再度行うためにモデルデータを再評価します。精度が低いとモデルが伝えた場合、人間のレビュアーは、精度を向上させるために、より多様なファイルセットを持つようにモデルを更新することができます。データ分類エンジンは、新しい情報を活用して自己を再教育し、新たな最適な結果を導き出します。Proofpointは、アクセスベースのドキュメントの割り当てになるようにエンジンを構築しているので、データ分類エンジンはユーザーの職務遂行に必要なファイルのみにアクセス権限を割り当てます。

ProofpointのAI搭載データ分類ソフトウェアは、数ヶ月かかるプロセスのオーバーヘッドを大幅に削減します。すべてのファイルを自動的にスキャンし、ファイルのコンテンツを識別し、正しいカテゴリーと分類レベルを割り当て、適切なセーフガードセキュリティを決定させることができます。

データの「機密性レベル」は、データをどのように処理し、保護するかを決定するものです。データが重要であることがわかっていても、それに関連するリスクを評価する必要があります。データ分類のプロセスは、潜在的な脅威を発見し、ビジネスにとって最も有益なサイバーセキュリティソリューションを導入するのに役立ちます。

機密性のレベルを設定し、データを分類することで、重要なデータを取り巻くアクセスルールを理解することができます。また、データ漏えいの可能性があるデータをより適切に監視することができ、最も重要なこととして、コンプライアンスを維持することができます。コンプライアンスガイドラインは、適切なサイバーセキュリティ対策を決定するのに役立ちますが、まずリスクアセスメントを実施し、データを分類する必要があります。多くの場合、組織はサイバーセキュリティの導入をより効率的に行うために、データ分類を支援するサードパーティを必要とします。

データ分類の精度は今後のDLP戦略にとって不可欠であり、そのため、大小問わず多くの組織がAIによる自動化に目を向けています。人工知能は、機械学習モデルを活用して、適切な分類レベルとカテゴリーを決定します。

• 知的財産を含むすべての機密データが、保管場所のどこにあるのかを慎重に特定します。
• データカテゴリーを定義することで、機密データにラベルを付け、適切なアクセス許可を設定します。カテゴリーは、権限も細かく設定できるように、細かく設定する必要があります。また、管理者がグループ内でデータを分類できるようにする必要があります。
• 最も重要で機密性の高いデータを特定することで、自動化ツールが適切な分類と規制のためのタグを付けることができます。

• 従業員を教育し、機密データの扱い方を理解させます。機密データを保護し、サイバーセキュリティを実践するために必要なツールを提供します。
• 規則を遵守し、罰則を回避するために、すべての規制基準を見直します。
• 誤って分類されたデータや分類されていないデータをユーザーが特定し、問題を解決できるようなポリシーを策定します。
• 精度を上げデータ分類を高速化できる場合はAIを活用します。