データ分類は、特に組織が大量のデータを保存している場合、情報セキュリティおよびコンプライアンスプ オンプレミスとクラウドの両方で、機密性の高い規制されたデータをどこに保存するかを理解することで、データセキュリティ戦略の強固な基盤を提 さらに、データ分類は、ユーザーの生産性と意思決定を向上させ、不要なデータを排除できるようにすることにより、ストレージと保守コストを削減します。
この記事では、データ分類が提供する利点、それを実装する方法、および適切なソフトウェアソリューションを選択する方法を学びます。
- 主要なデータ分類用語と定義
- データ分類の目的
- データ分類の利点
- データ分類の種類
- データ分類カテゴリの例
- データ分類プロセス
- データ分類ソリューションの選択方法
- >faq
主要なデータ分類用語と定義
データ分類は、構造化データと非構造化データを、異なるタイプのデータを表す定義されたカテゴリに編成するプロセスです。 データ分類で使用される標準的な分類には、次のものがあります:
- パブリック
- 機密
- 機密
- 個人
機密データは、特定の人やグループによって使用されるように制限されたデータを表す一般的な用語です。 機密データと機密データは、多くの場合、交換可能に使用されます。 機密データの例には、知的財産および企業秘密が含まれます。
データの再分類とは、法的義務または契約上の義務の変更、データの使用または価値、または新しいまたは改訂された規制上の義務に基づいて、適切な更新を適用するためにデータを再分類することです。
データのタグ付けまたはラベル付けは、分類結果を示すメタデータをファイルに追加します。
データ分類の目的
データ分類は、格納するデータの種類とそのデータがどこにあるかを理解するのに役立ちます。 この知性は:
- リスク管理、法的発見、規制遵守プロセスを通知
- セキュリティ対策の優先順位付けを支援
- 検索とeディスカバリーを合理化することにより、ユーザーの生産性と意思決定を向上させる
- 重複して古いデータを特定することにより、データメンテナンスとストレージコストを削減
- ITチームがデータセキュリティへの投資要求を正当化するのに役立ちます。
データ分類の利点
より広義には、データ分類は組織がデータセキュリティを向上させ、規制遵守を確保するのに役立ちます。
データセキュリティ
分類は、貴重なデータを保護するための効果的な方法です。 保存するデータの種類を特定し、機密データが存在する場所を特定することで、次のことを行うことができます:
- データの機密性に基づいてセキュリティ対策を優先し、セキュリティコントロールを調整する
- データにアクセス、変更、または削除できるユーザーを理解する
- 違反、ランサムウェア攻撃、またはその他の脅威によるビジネスへの影響などのリスクを評価する
規制コンプライアンス
コンプライアンス規制により、組織はカード会員情報などの特定のデータを保護する必要があります。(PCI DSS)またはEU居住者の個人データ(GDPR)。 データ分類を使用すると、特定の規制の対象となるデータを特定できるため、必要な管理を適用して監査に合格することができます。
データ分類が一般的なコンプライアンス基準を満たすのに役立つ方法は次のとおりです:
- GDPR—データ分類は、特定の個人に関するデータを含む一連の文書を取得することにより、データ主体のアクセス要求を満たすなど、データ主体の権利を維持す
- HIPAA—すべての健康記録が保存されている場所を知ることは、適切なデータ保護のためのセキュリティ制御を実装するのに役立ちます。
- ISO27001—値と感度に応じて情報を分類することで、不正な開示や変更を防止するための要件を満たすことができます。
- NIST SP800—53-データを分類することは、連邦政府機関がITシステムを適切に設計し、管理するのに役立ちます。
- PCI DSS—データ分類により、決済カードで使用される消費者金融情報を特定し、保護することができます
データ分類の種類
- コンテンツベースの分類は、機密情報を識別するためにファイルを検査し、解釈します。
- コンテキストベースの分類では、アプリケーション、場所、作成者タグ、およびその他の変数を機密情報の間接的な指標として見ます。
- ユーザーベースの分類は、人による各文書の手動選択に依存します。
データ分類カテゴリの例
基本分類スキームの例
最も単純なスキームは三段階分類です:
- 公開データ-自由に公開することができるデータ。 例には、会社の連絡先情報やブラウザのcookieポリシーが含まれます。
- 内部データ—マーケティングリサーチのように、セキュリティ要件は低いが、公開のためのものではないデータ。
- 制限されたデータ—機密性の高い内部データ。 開示は業務に悪影響を及ぼし、組織を財政的または法的リスクにさらす可能性があります。 制限されたデータには、最高レベルのセキュリティ保護が必要です。
政府の分類スキームの例
政府機関はしばしば三つのレベルの感度を使用しますが、上記とは異なるラベルを与えます:top secret、secret、public。 より複雑なデータ構造の場合は、より多くのレベルが追加される場合があります。 ここでは、例を持つ五レベルの戦略です:
- トップシークレット—暗号と通信インテリジェンス
- 秘密—軍事計画を選択
- 機密—地上部隊の強さを示すデータ
- 機密未分類—”公式使用のみ”とタグ付けされたデータ
- 未分類—許可を得て公に公開される可能性のあるデータ
例商業分類のうち
通常、商業データを保存および処理する組織は、データを分類するために四つのレベル、すなわち三つの機密レベルと一つの公開レベルを使 いくつかは、次のレベルを持つ五レベルのシステムにそれを拡張します:
- 機密—知的財産、PHI
- 機密—ベンダー契約、従業員レビュー
- プライベート—顧客名または画像
- 専有—組織プロセス
- 公開—誰にも開示される可能性のある情報
データ分類プロセス
有効5つのステップでの情報分類
- 目的、ワークフロー、データ分類スキーム、データ所有者、および処理を含むデータ分類ポリシーを確立
- 保存する機密データを特定します。
- データにタグを付けてラベルを適用します。
- セキュリティとコンプライアンスを向上させるために結果を使用します。
- データは動的であり、分類は進行中のプロセスです。
効果的なデータ分類ポリシーの構築
データ分類ポリシーは、分類フレームワーク、機密データを識別するための責任のリスト、および様々なデータ
:
- は、単純で曖昧さを避ける基準を使用しますが、異なるデータセットや状況に適用するのに十分な一般的な基準を使用します
- は明確で簡単な言語で書かれています
- は、組織のビジネスに適合します
- は、3または4の分類レベルに制限されています
- は、明確化のための連絡先を含む
- レビュースケジュールを確立します
データ分類ソリューションの選択方法
これらの機能を探す:
- 複合語検索—偽陽性と偽陰性を最小限に抑えることで精度を向上させます。
- Index—データを再クロールせずに機密用語を識別できます。
- 柔軟なタクソノミマネージャ—用語やルールを簡単に追加および変更できます。
- ワークフロー—文書が特定の方法で分類されると、自動的に特定のアクションを実行します。 たとえば、ワークフローは機密データを公開共有から遠ざける可能性があります。
- 幅広いカバレッジ—構造化データと非構造化データの両方を含む、クラウドとオンプレミスの両方のデータソースをサポートします。
よくある質問
データ分類の目的は何ですか?
データ分類データをその値と感度に基づいてカテゴリに分類します。
データ分類が重要なのはなぜですか? それはどんな利点を提供するか。
データ分類は、データセキュリティと規制遵守を改善するためのデータ保護努力の優先順位を決定するのに役立ちます。 また、ユーザーの生産性と意思決定を向上させ、不要なデータを排除できるようにすることでコストを削減します。
一般的なデータ分類レベルは何ですか?
データは、多くの場合、公開、機密、機密、または個人として分類されます。
データ分類タイプは何ですか?
分類は、コンテンツベース、コンテキストベース、またはユーザーベース(手動)にすることができます。
データ分類にはどのようなソフトウェアを使用すればよいですか?
Netwrixが提供するようなデータ分類ソフトウェアを探します。:
- 複合語検索を使用して、誤検出を最小限に抑える正確な分類を保証します
- にはインデックスがあり、データストアを再クロールせずに機密用語を見つ構造化データと非構造化データの両方を含むソース
組織?
組織は、通常、セキュリティおよびリスク管理者、データ保護管理者、コンプライアンス委員会または同様の組織を指定します。
Netwrixの製品管理担当副社長。 IliaはNetwrix製品のビジョンと戦略を担当しています。 彼は情報セキュリティの専門家であり、Forbes Technology Councilの正式メンバーです。 Iliaは、IT管理ソフトウェア市場で15年以上の経験を持っています。 Netwrixのブログでは、Iliaはサイバーセキュリティの動向、戦略、リスク評価に焦点を当てています。
