データセキュリティ運用システムの範囲（周睿群：データセキュリティガバナンスの体系的な実践アイデア）

周瑞群: データセキュリティガバナンスの体系的な実践

ゲスト: Venusstar マーケティングディレクター、周瑞群氏

編集者：李傑九江デジタル

制作プラットフォーム: DataFunTalk

はじめに:この記事では主に、データセキュリティガバナンスプロセス全体における Venustech の実践的な経験を紹介します。

データ分野における最大のイベントを振り返る

2017年12月8日、中国共産党中央委員会政治局は集団研究の中で「データを主軸としたデジタル経済を構築すべきだ」と明言した。

2019年10月31日、中国共産党第19期中央委員会第4回全体会議は初めて「データを生産要素として流通に組み込む」ことを提案した。

2020年3月30日、中国共産党中央委員会と国務院が発表した「より完全な市場に基づく生産要素配分システムとメカニズムの構築に関する意見」に、生産要素のデータが正式に盛り込まれた。

2021年3月11日、第13期全国人民代表大会第4回会議で可決された「国民経済と社会発展の第14次5カ年計画と2035年の長期目標の概要に関する決議」において、デジタル発展が国家戦略に昇格されました。そのうち、第5章「デジタル発展の加速とデジタル中国の構築」では、デジタル化が新興経済形態として、デジタル経済、デジタル社会、デジタル政府など、生活のあらゆる分野に浸透していることが明確に述べられています。デジタル変革は全体として、生産方法、ライフスタイル、ガバナンス方法の変化を促進します。

データセキュリティ分野の2つのセッションの提案

デジタル開発について語るとき、データセキュリティについて言及する必要があります。 2021年初頭の2回の会議で、中国人民政治協商会議全国委員会委員のヤン・ワンジア氏は、政府ビッグデータのライフサイクル全体にわたるセキュリティガバナンスシステムの構築に関する提案の中で、次のように強調した。

データセキュリティガバナンスのトップレベルの計画を強化する。
政府のビッグデータプロジェクトの構築が、同期計画、同期構築、同期使用というセキュリティ技術措置の「3つの同期」を実現することを確保し、データセキュリティの「一票拒否」システムを確立する。
一般的なシナリオに基づいて特別なデータセキュリティ機能ガバナンスを開始します。

我が国の最高レベルのデータセキュリティシステムの設計

2015年に施行された国家安全法第25条には、「重要な分野における中核ネットワークと情報技術、重要インフラ、情報システムとデータの安全性と制御性を確保する必要がある」と明記されている。

2017年に施行された「サイバーセキュリティ法」では、データセキュリティがサイバーセキュリティの範囲に組み込まれました。サイバーセキュリティ段階的保護システム、重要情報インフラ保護システム、個人情報保護システムは、データセキュリティを確保するための重要な制度的サポートを提供します。

2021年に施行された「データセキュリティ法」は、国家全体のセキュリティ概念を全面的に実施し、国家のデータセキュリティ作業システムとメカニズムを確立し、データセキュリティの協調ガバナンスシステムを構築し、データセキュリティリスクを防止、制御、排除するための一連のシステムと措置を明確にし、国全体のデータセキュリティ保護能力を強化します。

デジタル経済の時代では、データセキュリティインシデントが頻繁に発生しています

一連の安全保障事件は、国のイメージ、社会、企業、個人に多大な影響を及ぼした。

2020年の春節前後、微博に「武漢から帰国した人々の情報が漏洩」という話題が出現し、武漢から帰国した7000人以上の情報が漏洩した。

2020年3月、ダークウェブは「Weiboユーザー5億3800万人分の携帯電話番号データ、うち1億7200万人分の基本アカウント情報」という取引情報を公開し、販売価格は1,388米ドルだった。

2020年3月、Facebookはオーストラリアのユーザー30万人の個人情報を漏洩したとしてオーストラリア政府から訴訟を起こされた。

2020年3月、Googleはユーザーのプライバシーを漏洩し、スウェーデンのデータ保護法に違反したとして800万ドル以上の罰金を科せられた。

2020年4月、膠州市民のWeChatグループに中央病院に出入りした人々のリストが掲載され、6,000人以上の氏名、住所、連絡先、ID番号などの個人情報が含まれていた。

2020年8月、犯罪者はYTO Expressの複数の「内部者」と共謀し、国民の個人情報40万件を転売した。

2020年12月、CCTVが履歴書情報が売買されている事実を暴露し、採用プラットフォームが履歴書情報漏洩の源となった。

2020年12月、フォックスコンのサーバー約1,200台の定期的な業務文書や報告書データが漏洩する危険にさらされた。

2021年3月、インドで800万件の核酸検査結果が漏洩し、氏名、年齢、婚姻状況、検査時間、居住地住所などの個人情報が含まれていた。

2021年5月、米国の大手精製石油パイプライン運営会社であるコロニアル・パイプラインがランサムウェア攻撃を受け、主要な精製石油パイプライン4本が停止した。

データセキュリティの現状とニーズ

1. データ資産が不明確です。数多くの業務システムには大量のデータが存在し、データ資産の所在や量は不明瞭であり、データ資産を整理するための効果的な手段が不足しています。

2. データ保護機能が不十分。現在のシステムには、運用・保守ユーザーを管理するための要塞ホストしかなく、セキュリティ保護機能が不十分です。運用保守や業務利用データの漏洩リスクがあります。

3. セキュリティポリシー管理の欠如。現在のセキュリティポリシー管理は抽象的すぎます。データの運用と保守に関しては、アクセス可能なチャネルを確立するだけで、データセキュリティポリシーの洗練された管理が欠けています。、

4. 効果的なトレーサビリティ機能の欠如。効果的なデータ識別機能がないため、データ漏洩後にその発生源を効果的に追跡し、関連する責任者を特定することは不可能です。

5. データセキュリティリスクは不明です。現在、アプリケーションの操作とインターフェースの動作は記録されるか、まったく記録されません。効果的なデータセキュリティリスク分析および識別機能が不足しており、データリスクを事前に防止することができません。

国内外のデータセキュリティガバナンスシステムの比較

以下に、海外の代表的なデータセキュリティガバナンスシステムを 2 つ紹介します。

Gartner は、ビジネスニーズ、リスク、脅威、コンプライアンスのバランスを重視しています。これまで、多くの企業は自社の事業開発ニーズに基づいてデータセキュリティに重点を置いてきました。近年の法律、規制、制度の改善により、コンプライアンスは以前よりもさらに重要になっているかもしれません。
Microsoft のデータセキュリティガバナンスシステムは、人、組織プロセス、および技術的手段に重点を置いています。

我が国はデータの分類と等級付けを重視しており、段階に応じて異なる技術的手法を採用しています。実践プロセス全体を通してより明確な支援を提供し、最も必要な保護対策に正確な取り組みを行えるように、以下にマトリックス型の図を作成します。

データセキュリティガバナンスの3点セット

具体的な実践プロセスでは、

まず、「データベース監査、データファイアウォール、データ暗号化、透かし、感度低下」などのデータセキュリティ機能が必要です。
第二に、さまざまな機能を推進するために、つまり、プラットフォームの完全なライフサイクル管理とデータトレーサビリティ管理を通じて基本的な機能の適用シナリオを提供するために、プラットフォームベースのツールが必要です。
最も重要なのは操作です。プラットフォームとツールが導入された後は、システム、プロセス、戦略、資産の分類、リスク評価を継続的に反復使用することで、データセキュリティガバナンスの持続性が確実に保証されます。

上記は、データセキュリティガバナンスに不可欠な 3 つのガバナンスコンポーネントです。

ガバナンスのアイデア

データガバナンス関連の業務を遂行するためには、まずシナリオベースを入り口として、デジタルに着目し、シナリオベースに基づいたガバナンスを実施する必要があります。

システムとフレームワーク

関連する国内外の標準を参照し、中国情報通信研究院が主導するデータセキュリティガバナンス能力評価方法と組み合わせ、最適化と反復を経て、データセキュリティガバナンスシステムの枠組みがまとめられました。包括的な管理および制御プラットフォームでは、組織管理、制度プロセス、技術システム、運用システムが統合され、シナリオベースのアプローチを通じてデータの完全なライフサイクル管理が実現されます。

データセキュリティガバナンスシステムの特徴

1. シナリオベースのアプローチを使用して、データのライフサイクル全体の管理を実現します。

2. ID と権限に基づくデータセキュリティ管理および制御対策。

3. データは利用可能だが閲覧できないことを保証する信頼できるデータセキュリティ環境。

4. データの透かしとフィンガープリントにより、データの追跡が可能になり、共有のセキュリティが確保されます。

5. データセキュリティ運用サービスをサポートするための継続的なデータリスク監視。

データセキュリティガバナンスワークフロー

1. データの識別。データ資産の統合管理、自動データ識別、データ分類およびグレーディング。

2. 集中管理。セキュリティポリシーは、シナリオベースのデータライフサイクル管理と ID ベースのデータセキュリティ管理を使用して集中管理およびスケジュールされ、データの欠落を防止します。

3. リスク検出。データセキュリティの監視、データリスクのモデリング、およびデータセキュリティリスクの状態の包括的かつ詳細な分析。

4. 安全な操作。関係部門の要件や社内コンプライアンス検査を満たすための安全な運用管理と継続的なセキュリティ保証。

実際の事例

以下は、地元のビッグデータ局の実際の事例です。

業務内容：まず、各種委員会や局のデータを抽出し、ビッグデータ局がデータをクリーニング、管理、マイニングして関連する主題ライブラリを形成し、主題ライブラリを通じて委員会や局と共有します。

データの分類と等級付け

具体的には、最初のステップはデータ資産の発見、2 番目のステップはデータ識別の整理、3 番目のステップはデータの分類と等級付けです。たとえば、重要なデータ、個人の機密データ、一般的なデータ（ビジネスデータ、その他のデータ）などです。通信業界、金融業界、医療業界などの業界を区別することに特別な注意を払う必要があります。業界によってデータの特性が異なります。

ほとんどの業界や地域では、データ分類により、国、公共、国民の一部の情報が、コンプライアンス、機密性、リスク管理レベルなどに基づいて 1 ～ 4 つのレベルに分割され、異なる管理と制御が行われます。

最新の安全コンセプト

1. ゼロトラストセキュリティ管理。継続的な ID 認証 (ID の一意性管理) と動的承認 (コマンドとアプリケーション URL に基づくきめ細かい承認、動的ページ感度低下、透かしテクノロジ) を備えた、ID 中心、ビジネス指向、データ指向のソリューションです。

2. データを地上に持ち出さないというガバナンスのコンセプトは、データキューブを通じて信頼性が高く目に見えない効果を実現します。

（１）信頼できるデータセキュリティ環境を構築し、データアクセスユーザーごとに仮想個人空間を提供し、ユーザーデータが仮想個人空間内にのみ存在するようにし、安全で信頼性の高いデータ利用・流通チャネルを提供する。

（２）信頼できるデータセキュリティ環境でデータを使用することで、ユーザーがデータに直接アクセスして漏洩を引き起こすことを効果的に防止できるほか、オンライン透かしなどの技術を使用して携帯電話による写真撮影を防止し、データは利用可能ではあるが目に見えないようにすることができる。

（３）信頼できるデータセキュリティ環境からデータを出す必要がある場合は、承認担当者の承認を得る必要があります。同時に、オフラインデータのセキュリティを確保するために、オフラインデータの透かしと制限付き印刷が使用されます。

素晴らしいQ&A

Q: データセキュリティ分類の基準は何ですか?

A: 現在、国家規格が策定されており、現在は主に業界規格となっています。たとえば、事業者は機密情報に関する独自の基準を持っており、日常業務を非常に詳細なレベルでさまざまなカテゴリに分類しています。金融分野にも関連規格が存在します。政府のビッグデータ局の運営には、現在参照できる標準が存在しない。当社は、関連する経験に基づき、既存の業界標準と組み合わせて、ユーザーが標準を開発できるよう支援します。たとえば北京では、ユーザーと協力してデータセキュリティの分類と等級付けの基準を推進しています。この作業は、プロセス全体の中で最も難しい作業ではないかもしれませんが、最も複雑です。

Q: 業界やシナリオの粒度はどの程度ですか?

A: 例えば金融業界は、業態（金融取引業務システムなど）に応じて3つのカテゴリに分けられます。最も細かい粒度である 3 番目のカテゴリでは、個人名、カード番号、有効期限など、すべてのフィールドが詳細化されます。

Q: データの分類と格付けにはどのような技術が使用され、どのようにして正確性を確保するのでしょうか?

A: データをスキャンするツールを使用しますが、その過程では手動の判断が必要になります。各業界のデータ特性は異なるため、たとえば、オペレータ業界のデータベーステーブルは、設計プロセス中に独自の特性を持ちます。実践的な経験がなければ、このデータを十分に理解することは困難です。最初は認識率が間違いなく非常に低くなります。継続的な実践を通じて、業界データの特徴を発見し、継続的な修正を経て、認識率は徐々に向上します。どんなに優れたツールであっても、このようなプロセスは存在します。

本日のシェアは以上です。皆様ありがとうございました。

オリジナルの技術記事をもっと読むには、 WeChat の公開アカウント「DataFunTalk」をフォローしてください。

講演者:

おすすめのアクティビティ:

第 2 回オンライン DataFunSummit: データサイエンスオンラインサミット

日付: 5月21日
場所: ライブオンライン
ゲスト：テンセント、アリババ、グーグル、快手、バイトダンス、中国科学院、人民大学などの企業や大学から50人以上の専門家が参加しました。

【無料視聴方法】プライベートメッセージでキーワード「5.21」に返信

私たちについて：

DataFun:ビッグデータと人工知能技術の応用の共有と伝達に重点を置いています。 2017年に開始され、北京、上海、深セン、杭州などの都市で100以上のオフラインと100以上のオンラインサロン、フォーラム、サミットが開催され、2,000人以上の専門家や学者が参加して情報を共有しました。同社の公開アカウント DataFunTalk は、500 件を超えるオリジナル記事を制作し、100 万回以上の閲覧数を獲得し、13 万人を超える熱心なファンを擁しています。

転載や共有を歓迎します。転載する場合は、メッセージやコメントを残してください。

<<: データに基づく運営の意味（「Pinduoduo」丨データに基づいて店舗活動を運営する方法）

>>: データ資産運用の鍵は（データ資産のテーブルへの参入を促進し、エコシステムを構築することが鍵）