データ分類とは？【4つの一般的なタイプ】

データ分類とは何ですか？データ分類は、データを異なるカテゴリに整理することで、このデータを管理しやすくし、保護し、利用しやすくすることです。

データ分類とは？

データ分類は、個人、ビジネス、または政府の目的でデータを共有することを最小限に抑えるために、無許可の閲覧者や読者からデータを遮断します。このデータには通常、企業秘密、国家機密、または組織で働く個人やその組織の顧客や構成員としての個人に害を及ぼす可能性のある識別情報が含まれます。

分類（および多くの形態のデータプライバシー）に関しては、データ保護の「CIAトライアド」に重点が置かれています：

• 機密性: 情報の無許可の閲覧を防ぐことで情報のプライバシーを維持します。
• 整合性: データが変更されず、破損していないことを保証するコントロールを提供することでデータの整合性を維持します。
• 可用性: 他のコントロールが情報の利用を妨げないように、許可されたユーザーがデータにアクセスできるようにします。

これらのトライアド要素に基づき、分類は許可された個人のみがその分類された情報を閲覧できるようにする特定のコントロール、実践、およびプロセスのセット内でのみ存在します。

これらのコントロールはしばしば特定のカテゴリに分類されます：

• セキュリティとコンプライアンス: 機密データを扱う組織は、技術的なセキュリティフレームワークをカバーする特定の規制の対象となる可能性が高いです。民間産業でも、分類されたデータのセキュリティと取り扱い要件をカバーするフレームワークが含まれています。
• ガバナンス: 機密性、整合性、可用性を維持するために、組織はデータがどのように管理されるべきか、どのシステムで管理されるべきか、日々のデータとシステムを保護するポリシーと手順を規定するガバナンスポリシーを持つ必要があります。
• ユーザビリティ: アクセシビリティは、許可された人々が仕事の一環としてデータを閲覧し使用することを要求します。したがって、ユーザビリティコントロールは、これらの人々が情報を損なうことなくそれを行えるようにします。

したがって、データに関して「分類」という言葉を使用することは、政府の分類の適切な命名法と、ラベルを通じて組織データを保護するためのより広範な意味の両方を指すことができます。

データ分類の種類

データ分類について議論することは、数十のコントロールと要件の適用をカバーするいくつかのコンテキストにまたがることができます。

一般的に言えば、分類には3つの包括的なタイプがあります：

• データベース: この分類は、保護が必要な情報の種類を通じて機能します。ファイルは、個人識別情報（PII）や個人または組織に関連する財務情報など、特定の保護された情報を含んでいるかどうかを判断するために調査されます。
• コンテキストベース: この分類アプローチは、問題の情報の使用、誰がそれを作成したか、どこで作成されたか、および何かが機密として分類されるべきであることを示すメタ変数を考慮します。
• ユーザーベース: 個人がドキュメントごとに分類について特定の判断を行います。

これらの異なるアプローチは、多くのコンテキストで展開され、同じ業界内でも重複しています。

公共分類

公共分類は一般的に最も許容的です。あるメカニズムを通じて広く一般に公開されている限り、機密情報を含むことがあります。そのため、この形式のデータは通常、他の形式と同じセキュリティコントロールを持っていません。

このようなデータには以下が含まれることがあります：

• 組織図
• 名前と姓
• プレスリリース
• ホワイトペーパー
• 建築ガイド

内部分類

内部分類は主にビジネスや企業の秘密に関連しており、その公開がその会社の知的財産や競争力を妨げる可能性のある貿易情報を表しています。

このようなデータの例には以下が含まれます：

• 製品設計図
• 内部メール
• イントラネットプラットフォーム
• 予算と財務予測

政府分類

政府分類は、「機密情報」を考えるときにしばしば思い浮かべるものです。連邦機関のデジタルサプライチェーン（クラウドプラットフォーム、アプリケーションなど）の成長が進む中、技術プロバイダーの分類は重要な問題です。

このカテゴリは、いくつかの異なるタイプのデータ保護をカバーすることができます：

• 機密分類: 政府は、機密国家機密を「機密」、「秘密」、または「極秘」として分類し、保護と制限のレベルをエスカレートさせます。極秘文書は限られた人々のみが閲覧可能です。

  これらのレベルに加えて、より柔軟な分類表示が見られることがよくあります。たとえば、「極秘」とラベル付けされた文書には、必要に応じて情報へのアクセス保護が追加されることがあります。このアプローチは、最も機密性の高い秘密の偶発的な露出を防ぎます。

  このカテゴリの機密資料へのアクセスは通常、非常に特定の許可に依存しており、そのような情報は、秘密IPルーターネットワーク（SIPRNET）などの非常にプライベートなネットワークに配置されています。

• 制御されていない分類情報（CUI）: 請負業者が防衛機関と協力する際に、分類されていないが、参加する機関や企業の保護のために非公開にしておくべき情報を生成することがあります。CUIはこのデータの特別な形式であり、（CMMC）というコンプライアンスフレームワーク全体が専用されているほど重要なデータです。これは、国家標準技術研究所（NIST）と国防総省によって管理されています。

  CUIはより伝統的なネットワークに保存されることがありますが、それらのネットワークには厳格なセキュリティコントロールが必要です。

機密分類

民間部門では、「分類」データは重要な秘密を指定することよりも、その感度に基づいて情報を保護することに重点を置いています。この種の感度には、企業秘密の保護や、より重要なことに、顧客や患者の情報の保護が含まれます。これにはサイバーセキュリティリスク管理戦略が必要です。

民間データの機密分類には以下が含まれます：

• 個人識別情報（PII）: PIIは、市場のほぼすべての規制におけるデータ保護の基準です。PIIには、社会保障番号（SSN）、住所、電話番号、財務情報、または個人を特定し、機密情報を組み合わせるために使用できるその他の情報（連絡先、居住地など）が含まれます。

  ほぼすべてのコンプライアンス基準、公共および民間の両方が、ある程度PIIを保護しています。

• 保護された健康情報（PHI）: PHIは、患者ケアに関連する情報であり、医療保険の相互運用性と説明責任に関する法律（HIPAA）規制で定められています。病院、医師、保険会社が扱う情報、たとえば医療記録、医師のメモ、または医療提供に関連する支払い情報はPHIと見なされます。同様に、PHIを扱う組織の人事部門やその他の部門も同様です。
• 主口座番号（PAN）: PANは、アカウント番号、チップまたは磁気ストライプ情報、または関連するCVV番号を含むカード所有者情報を指します。

民間ビジネスの文脈では、提供する情報の種類と業界に基づいてデータとデータストレージシステムを分類することが重要です。

分類されたデータを保護する際の課題とベストプラクティスは何ですか？

データと異なる分類を追跡することは非常に簡単に思えるかもしれませんが、多くの場合それは事実です。現代の技術は、外部の世界を単に隔離することができる囲い込みアプローチには適していません。その情報が複数の人々にとって利用可能であり、組織がオンラインアプリやクラウドのような高度なインフラを使用する場合、最適なデータ分類と保護の実践を理解する必要があります。

これらの課題とベストプラクティスのいくつかは以下の通りです：

• 脆弱性: 機密データは多くの方法で露出する可能性があり、複雑なシステムにとって混乱を招くことがあります。さらに、分類が規制コンプライアンス要件にどのように影響するかも変わります。

  異なる種類の分類にふさわしいセキュリティを維持するためには、機密システムとデータフローのインベントリを含む重要なガバナンスポリシーを維持することが重要です。

• 専門知識: 分類とセキュリティの管理はフルタイムの仕事であり、それをうまく行うために人々は何年も訓練を受けます。特に機密データを定期的に扱う大企業では、会社のポリシーとインフラが要件を満たすことを保証するために、専任のコンプライアンスと分類マネージャーを持っています。

  組織は専門知識を惜しんではなりません。社内のコンプライアンスとセキュリティ担当者を維持する時間やリソースがない場合は、特定の業界に特化した第三者のセキュリティ企業と協力してください。

• 実施: ポリシーは実施されて初めて有効であり、最良のガバナンスアプローチも、それを確実に機能させる人と技術がなければ意味がありません。

  コンプライアンス運用とデータの安全な保存と送信をサポートする技術を使用してください。また、要件を満たし、問題をその発生源まで追跡できるようにするために、適切な自動化と監査ログを備えたツールを利用してください。

Kiteworksで機密情報のセキュリティを維持する

コンプライアンスとセキュリティは、分類されたデータを扱う際の基盤です。それは、データの分類に関係なく、データを安全かつ機密に保つために、組織全体で適切な技術を維持することを意味します。

Kiteworksプライベートコンテンツネットワークは、多くのコンプライアンスフレームワークをサポートし、組織がその情報を使用し共有する方法を犠牲にすることなくデータプライバシーに焦点を当てています。Kiteworksプライベートコンテンツネットワークは、メール、セキュアファイル転送、マネージドファイル転送、アプリケーションプログラミングインターフェース（API）、およびウェブフォームなど、最も一般的なビジネスアプリケーション全体にエンドツーエンドの暗号化機能を統合しています。

Kiteworksには以下の機能が含まれています：

• セキュリティとコンプライアンス: Kiteworksは、データの保存時にAES-256暗号化を使用し、データの転送時にはTLS 1.2+を使用します。プラットフォームの強化された仮想アプライアンス、詳細なコントロール、認証、その他のセキュリティスタックの統合、および包括的なログと監査報告により、組織はセキュリティ基準へのコンプライアンスを簡単かつ迅速に示すことができます。

  Kiteworksプラットフォームは、HIPAA、支払いカード業界データセキュリティ基準（PCI DSS）、SOC 2、および一般データ保護規則（GDPR）などの業界および政府の規制と基準に対する即時のコンプライアンス報告を提供します。

  さらに、Kiteworksは、FedRAMP、FIPS（連邦情報処理規格）、およびFISMA（連邦情報セキュリティ管理法）を含むがこれに限定されないさまざまな基準に対する認証とコンプライアンスを誇っています。

  同様に、KiteworksはIRAP（情報セキュリティ登録評価者プログラム）PROTECTEDレベルのコントロールに対して評価されています。さらに、最近の評価に基づき、KiteworksはCMMCレベル2の実践の約89%に対するコンプライアンスを達成しています。

• 監査ログ: Kiteworksの不変の監査ログを使用することで、組織は攻撃が早期に検出され、フォレンジックを実行するための正しい証拠の連鎖を維持できると信頼できます。

  システムがすべてのコンポーネントからのエントリを統合し標準化するため、Kiteworksの統一されたsyslogとアラートは、セキュリティオペレーションセンターチームの貴重な時間を節約し、コンプライアンスチームが監査の準備をするのを助けます。

• SIEM統合: Kiteworksは、IBM QRadar、ArcSight、FireEye Helix、LogRhythmなどの主要なセキュリティ情報およびイベント管理（SIEM）ソリューションとの統合をサポートしています。また、Splunk Forwarderを備えており、Splunk Appを含んでいます。

• 可視性と管理: KiteworksのCISOダッシュボードは、組織に情報の概要を提供します：どこにあるのか、誰がアクセスしているのか、どのように使用されているのか、送信、共有、または転送されるデータが規制や基準に準拠しているかどうか。CISOダッシュボードは、ビジネスリーダーが情報に基づいた意思決定を行うことを可能にし、コンプライアンスの詳細なビューを提供します。

• シングルテナントクラウド環境: ファイル共有、自動ファイル転送、ファイルストレージ、およびユーザーアクセスは、オンプレミスで展開された専用のKiteworksインスタンス、組織のInfrastructure-as-a-Service（IaaS）リソース、またはKiteworksクラウドサーバーによってクラウドでホストされるプライベートシングルテナントインスタンスで発生します。これにより、共有ランタイム、共有データベースまたはリポジトリ、共有リソース、またはクロスクラウドの侵害や攻撃の可能性はありません。

Kiteworksプライベートコンテンツネットワークを見て、機密コンテンツ通信のデータプライバシーとコンプライアンスをどのように実現するかを、カスタムデモをスケジュールして確認してください。