一般的に、セキュリティとプライバシーは相反するものであると考えられています。効果的なセキュリティを導入するにためは、どのような脅威が待ち受けているかを知る力が必要です。しかし、セキュリティを導入すると、機密データや個人データが検査されることになり、プライバシーが脅かされる可能性があります。
現実には、データプライバシーを実現する 唯一の方法は、効果的なデータセキュリティを導入することです。適切に設計されたプライバシーを最優先にしたセキュリティプログラムは、潜在的なプライバシーへの影響を最小限に抑えながら、あらゆる組織に大きなメリットをもたらします。
セキュリティとプライバシーが相反するものであるという見解は、この2つの概念を両極端に捉えることで生まれたものです。この考え方では、機密データにアクセスする可能性はプライバシーの侵害であり、何としても避けるべきものとみなされます。この考え方を採用した場合、セキュリティプログラムの持つ、潜在的な脅威を特定して対処する能力が著しく阻害されることになります。
例えば、ネットワークトラフィックを解析する場合を考えてみましょう。パケット検査は、企業のサイバーセキュリティプログラムにとって非常に貴重なツールです。ファイアウォールは今や常識とされるパケット検査の一形態であり、ファイアウォールの未導入は、世界各地の法律や規制が求める合理的なセキュリティ対策に違反しているとみなされます。ネットワークパケットのペイロード内部を検査することで、マルウェア感染、データ流出、アカウント乗っ取り、その他の脅威の試みを特定することができます。
しかし、プライバシーの観点からは、パケット内部を検査されると言うことに対し、パケットにPIIやその他の機密データが含まれている場合に懸念を抱く人も居るでしょう。プライバシー絶対主義者の観点からすると、パケットが検査されないエンドツーエンドの暗号化が望ましいようです。
表面的には、必要なセキュリティを提供することと、個人データを非公開にするという2つの視点は相容れないように見えます。しかし、規制当局は、合理的なセキュリティを提供することはデータプライバシーを保護するためにも重要であると明言しています。このことは、セキュリティ侵害に遭った企業に対するプライバシー規制当局による強制措置の数々を見れば一目瞭然です。私たちは、データのプライバシーとセキュリティのリーダーは、セキュリティ絶対主義とプライバシー絶対主義の間の溝を埋めることができると考えていますが、それにはデータのプライバシーとセキュリティに対する異なる視点が必要です。
リスク管理は、データセキュリティおよびデータプライバシープログラムの中核となる原則です。この2つのプログラムの目標を統一するには、組織のデータに対する潜在的なリスクを考慮する必要があります。
個人データを処理する組織にとって、そのデータを安全かつプライベートに保つことは最重要事項です。データセキュリティプログラムに関連する組織の最大の懸念事項の1つは、職務の一環としてセキュリティソリューションがPIIやその他の機密データを閲覧する可能性があることです。セキュリティソリューションのツールは、電子メール、ネットワークパケット、ファイルをスキャンして、悪意のあるコンテンツの兆候を探ります。
企業や顧客データにとってもう一つの主なリスクは、サイバー犯罪者によるアクセスです。例えば、最近のランサムウェアは、企業に身代金を要求し、従わない場合に機密データを盗み出し、流出させます。身代金を支払ったとしても、データが削除されたり、流出されない保証はありません。
この両方のリスクを回避することは不可能です。効果的なセキュリティプログラムにはデータへのアクセスが必要であり、逆に効果的でないセキュリティは事実上データ漏洩を招くことになります。
私たちは、セキュリティソリューションがプライバシーを考慮して設計され ている場合、企業は顧客や従業員の個人データを保護しながら、強固なセキュリティ保護を実装できると認識しています。また、プライバシーを最優先にしたセキュリティアプローチには費用対効果的にも大きな潜在的なメリットがあることを認識しています。
例えば、マルウェアが組織のシステムに到達する前に阻止することで、データ漏洩を防ぐことができます。2023年には平均して445万ドルもの損害が発生しており、ブランドの評判や法的影響は言うまでもなく、1件のデータ漏洩も防ぐことが同社にとって重要です。このことから、業界をリードするセキュリティ対策が重要であることは間違いありません。信頼できるセキュリティ企業を利用することで、機密データにアクセスされる可能性を最小限に抑え、管理する個人データを保護するソリューションを手に入れることができます。
Cloudflareの最高個人情報責任者として、プライバシーを最優先にしたセキュリティソリューションの設計と実装方法を考えることは、私の仕事とCISOとの議論の中で特に重要な部分です。私たちは数年前に、Area 1の利用を開始しました。そのきっかけは、電子メールのトラフィックを事前に検査し、セキュアにするソリューションを導入することが重要だと考えたためです。当初、私はCPO(最高個人情報責任者)として、電子メールのトラフィックをスキャンする技術を社内に許可することに懸念を抱えていました。しかし、Area 1のソリューションの仕組みやプライバシー保護について詳しく知るにつれ、Area 1のデータ処理方法は、潜在的な利益を最大化する一方で、セキュリティリスクを大幅に削減し、プライバシーを最優先にした方法でそれを実現していることがわかりました。実際、私たちはその製品に非常に感銘を受け、それを使用するだけでなく、その会社を買収し、今ではCloudflareのZero Trust製品スイートの主軸を担う重要な製品となっています。
プライバシーとセキュリティは必ずしも相反するものではありません。プライバシーを最優先にしたセキュリティプログラムは、セキュリティを導入するリスクと導入しないリスクを判断します。電子メールのスキャンなど、セキュリティソリューションを導入するメリットがそれを上回る場合(ほぼ間違いなく上回りますが)、組織はこの機能を慎重に導入する必要があります。
セキュリティツールがデータセキュリティとプライバシーに適しているかどうかを評価するには、次のような重要な質問があります:
明確なメリットがありますか?セキュリティソリュー ションを使用するで発生するプライバシーへの潜在的なリスクは、そのソリューションがデータ漏洩のリスクを低減する場合にのみ許容されます。
そのセキュリティソリューションがアクセスする個人情報は最小限に抑えられていますか?潜在的に機密とされるデータに対するセキュリティソリューションのアクセスや処理は、最小限に抑える必要があります。
会社はセキュリティを優先していますか?企業がこれまでのセキュリティインシデントにどのような態度で取り組んできたか、セキュリティ投資にどのような優先順位をつけてきたかを確認します。
そのセキュリティソリューションは規制要件を満たしていますか?ソリューションを提供する企業がISO 27701やISO 27018などのプライバシーに焦点を当てた認証を受けているか、欧州-米国データプライバシーフレームワークの認証を受けているか、欧州クラウド行動規範の認証を受けているかを確認します。提供する企業がPCI DSS、ISO 27001、SOC 2 Type IIなどの標準的なセキュリティ認証に加え、これらの認証を取得している場合、そのベンダーのプライバシーとセキュリティに関する取り組みが標準を上回ることを示す素晴らしい兆候です。
平均的な組織で使用されている60以上のセキュリティツールについて、これらの基準をすべて評価することは、かなりの負担になります。これもセキュリティ統合に関するもう一つの大きな論拠です。数点のセキュリティ製品を浅く評価するよりも、幅広い機能スイートを持つベンダー1社の深い企業調査を実施する方が簡単です。
Cloudflareは長い間、プライバシーを最優先にしたセキュリティを擁護しています。Trust Hubでは、すべての主要なデータ保護規制のプライバシーおよびセキュリティ要件を満たす、またはそれを上回るための取り組みについて詳しく説明しています。
Cloudflareのプライバシー重視の姿勢は当社のソリューションにも反映されており、強力なセキュリティを確保しながら個人データへのアクセスを最小限に抑えるよう設計されています。その鍵の1つは、Cloudflareネットワークの範囲です。全インターネットサイトの20%がCloudflareによって保護されているため、インターネットトラフィックのかなりの部分がCloudflareのシステムを流れ、顧客のエンドユーザーのプライバシーを損なわない方法でCloudflareの脅威インテリジェンスに情報を提供します。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
プライバシーを先頭に据えたセキュリティに対するCloudflareのアプローチについては、Cloudflare One for Data Protectionソリューション概要をご覧ください。
Emily Hancock — @emilyhancock、
Cloudflare最高個人情報責任者
この記事では、以下のことがわかるようになります。
データプライバシーとセキュリティの関係性
セキュリティ投資のプライバシーリスクを測定す る方法
プライバシーを重視するセキュリティ製品に求められるもの