データを分類してスタートアップ企業を保護するための 4 つの簡単なステップ

データ分類プロセスにより、機密データと一般公開を目的としたデータを区別し、それぞれのデータを適切に処理できます。データを分類したスタートアップ企業は、欧州連合の一般データ保護規則 (GDPR) やカリフォルニア州消費者プライバシー法 (CCPA) などの法律の遵守をより効率的かつ自信を持って進めることができます。

データの種類とその機密レベルを理解することで、スタートアップ企業は、意図せぬデータの使用や開示を未然に防ぎ、コンプライアンス要件を満たすことができます。

開始するために、この記事では、スタートアップ企業のデータ分類プロセスを簡素化および自動化するための 4 つの簡単なステップを紹介します。

1. データ分類フレームワークの設計

まず、データの分類と制御の方法を評価して、スタートアップのデータに誰がアクセスできるかを判断します。

データの評価と分類

Amazon Web Services (AWS) ホワイトペーパーの「データ分類」ページで定義されているとおり、データ分類とは「組織が所有または運用する情報システムで処理され、保存されているデータの種類を特定することが含まれます」

データ分類フレームワークを設計するには、まずデータを評価します。そのためには、シンプルなフレームワークの方が管理しやすいため、データをできるだけ少ないカテゴリにグループ化することをお勧めします。

ほとんどの企業にとって、次の 3 つの階層は最も一般的なデータ分類のユースケースに対応できるはずです。

• 未分類 セキュリティレベルの低いデータ (公開ウェブサイトデータ、コースカタログなど)
• 公開 セキュリティが中程度のデータ (公式コミュニケーション、内部メモなど)
• シークレット 最も機密性の高いデータ (財務記録、知的財産、法権のあるデータなど)

データをどのように分類し、どこに保存するかは、ビジネスの性質と法的要件によって決まります。例えば、クレジットカードを処理する場合、シークレットに分類されるペイメントカード業界 (PCI) の基準に準拠する必要があります。

データを分類するのに助けが必要ですか? Amazon Macie は機械学習 (ML) を使用して、機密データやビジネスクリティカルなデータの分類を自動化します。機械学習 (ML) とパターンマッチングを使用して、クレジットカード番号、健康データ、その他の個人を特定できる情報 (PII) などの機密情報を検出します。

データ保護コントロールの決定

データ保護コントロールは、データの使用方法、データにアクセスできるユーザー、および暗号化方法を管理します。

データセットを分類層に割り当てたら、各カテゴリにどの制御を適用するかを決定します。各ワークロードの保護要件とともに適切なデータ分類システムを慎重に管理することで、データに適した制御とアクセスまたは保護のレベルをマッピングできます。

データ保護コントロールにはさまざまな種類がありますが、知っておく必要がある一般的なものは次のとおりです。

• 個別のアカウントを使用して、機密性レベルごとにワークロードリソースを配置します。 AWS Organizations では、 複数の AWS アカウント を簡単に作成して管理できます。
• IAM ポリシー、組織のサービスコントロールポリシー (SCP)、 AWS Key Management Service (AWS KMS)、および AWS CloudHSM を設定することで、データの分類と暗号化による保護に関するポリシーを定義して実装できます。
• コンプライアンスとデータレジデンシーの要件に基づいて、データが適切な AWS リージョンで保存および処理されるようにします。AWS はリージョン間のデータ移動を決して開始しません。あるリージョンに配置されたコンテンツは、ユーザーが明示的に機能を有効にするか、その機能を提供するサービスを使用しない限り、そのリージョンに残ります。
• AWS Config ルール を使用して、 Amazon Elastic Block Store (Amazon EBS) ボリューム、Amazon Relational Database Service (Amazon RDS) インスタンス、および Amazon Simple Storage Service (Amazon S3) バケットなど、保管中のデータに暗号化を使用していることを自動的に確認します。
• 転送中の暗号化を強制します。例えば、HTTP リクエストを Amazon CloudFront または Application Load Balancer の HTTPS に自動的にリダイレクトすることもできます。

例えば、未分類のデータは、組織内の誰でも、または外部からでも利用できる場合がありますが、シークレットデータは、復号化するためにキーへのアクセス許可が必要な場合があります。

2. データにタグ付け

セキュリティ上の理由から、メタデータタグは、目的、所有者、環境、その他の条件など、さまざまな方法でリソースを識別、分類、管理するのに役立ちます。セキュリティタグを使用すると、機密性とコンプライアンス要件に基づいてリソースを識別し、グループ化できます。

データを分類して保護する方法を理解したところで、次は分類レベルを指定するメタデータタグを追加します。これらのタグはチームの参考資料となり、さらなる自動化と制御を可能にします。一般的なタグ付戦略は多くありますが、セキュリティのために使用すると便利なタグには次のようなものがあります。

• 機密性 - リソースがサポートする特定のデータ機密性レベルを示す識別子
• コンプライアンス - 特定のコンプライアンス要件を満たす必要があるワークロードの識別子

例えば、タグを使用して暗号化を要求したり、データにアクセスできるユーザーを制限したりできます。既存のリソース用のタグがまだない場合、AWS では複数のサービスにわたるリソースタグの管理に役立つツールを用意しています。

• AWS Resource Groups と リソースグループタグ付け API を使用すると、タグをプログラムで制御できるため、タグとリソースの管理、検索、およびフィルタリングが容易になります。
• AWS Identity and Access Management (IAM) では、  タグを使用してリソースへのアクセスを制御できます。

注: ビジネス要件の変化に合わせてタグを変更するのは非常に簡単ですが、将来的な変更に伴う影響も考慮してください。例えば、アクセスコントロールタグを変更するということは、そのタグを参照してリソースへのアクセスを制御するポリシーも更新しなければならないということです。

3. 機密データの編集

データ編集は、ダウンストリームの環境に支障をきたすことなく、機密データを保存する場所を制限し、それを必要とするユーザーへのアクセスを制限します。

編集を自動化することで、不用意によるデータ公開の危険性を抑え、スタートアップ企業が増大するデータに対応しながらプライバシー要件を遵守することができます。

Amazon Comprehend を Amazon S3 Object Lambda アクセスポイントと組み合わせると、パスワード、住所、電話番号、社会保障番号など 12 種類以上の PII を検出し、テキストドキュメントを自動的に編集できます。

4. コンプライアンスの遵守

データコンプライアンスは、データ保護、セキュリティ、およびストレージのルールを特定します。ポリシー、手順、プロトコルを確立し、データを不正アクセスや不正使用から保護します。

最後のステップとして、データをモニタリングしてコンプライアンスを遵守していることを確認します。AWS Security Hub の AWS Config ルールと AWS Foundational Security Best Practices は、データ設定がどのように構成されているかを追跡し、変更があった場合は通知を受けるのに役立ちます。これらにより、セキュリティ基準が満たされていることを継続的に確認できます。

AWS でスタートアップ企業を保護

現在、ほとんどすべてのスタートアップ企業がグローバルな環境で事業を展開しており、事業を行う国ごとに異なる要件に直面することが増えています。

所有しているデータを特定し、適切な自動コントロールを実装することで、これらの要件をより簡単に満たすことができると同時に、セキュリティ体制も改善できます。さらに詳しくは、「AWS データ分類」ホワイトペーパーをご覧ください。また、「AWS Well-Architected フレームワーク」を確認されることもお勧めします。そこでは、クラウドでシステムを構築する際に下す決定の長所と短所を理解するのに役立ち、クラウドテクノロジーを活用してデータ、システム、アセットを保護してセキュリティ体制を強化する方法を説明しています。