ビジネスインテリジェンス(BI)ツールは、企業にとって大きな武器となっています。IT部門がレポートを作成したり、ビッグデータを操作しなくても、チームが独自のビジュアライゼーションを作成し、セルフサービスで分析を行うことができます。

しかし、もちろん問題もあります。BIツールは、より多くの人にデータを公開するため、BIセキュリティ(BISEC)とプライバシーについて、特にGDPRの時代には、新たな問題が発生します。今回のブログでは、BIのセキュリティについて知っておくべきことを説明します。

BISECはなぜ重要なのか?

多くの人は、情報セキュリティを単一の概念として考えがちです。企業が機密情報を保有しているのであれば、それを保護する必要があります。

しかし、セキュリティやプライバシーのリスクは、状況に応じて変化します。顧客が自身のアカウントにアクセスしているときには特定の脅威があり、データウェアハウスにデータを保存しているときには全く異なる脅威があります。

また、BIプラットフォームを通じてユーザーにデータを公開する際には、独自の課題に直面します。情報セキュリティの三要素は、ビジネスインテリジェンスの文脈では次のようになります。

  • 機密性:通常、BIや分析レポートを実行する人は、個人を特定できる情報(PII)にアクセスする必要はありません。
  • 完全性:BIデータは、現在のオペレーションの詳細な情報を提供する必要があります。データを部分的にでも除外すると、完全性に影響を与える可能性があります。
  • 可用性:BIユーザーは、必要なときにデータにアクセスできなければなりませんが、それは多くの場合、リアルタイムに近い状態です。BIユーザーは、複数のデータソースから情報を収集する必要があるかもしれません。

こうした内容を考慮し、BISECは、BIアナリストにPIIやその他の機密情報へのアクセスを許可することなく、生産性の高いユーザーエクスペリエンスを提供することを目的としています。

BIのリスクとは?

企業がBISECポリシーを持っていない場合、問題を引き起こす可能性があります。これらの問題には次のようなものがあります。

  • データ漏洩:承認されていないユーザーが、BIシステムを介してPIIやその他の機密データを閲覧できる可能性があります。また、このプラットフォームは、サイバー犯罪者に新たな攻撃手段を提供します。
  • 質の低いアナリティクス: アクセスコントロールが厳しすぎると、アナリストが全体像を把握できない可能性があります。その結果、質の低いインサイトしか得られず、誤ったビジネス上の意思決定につながる可能性があります。
  • スケーラビリティの欠如:BIセキュリティに対する受け身のアプローチは、短期的には有効かもしれませんが、成長を難しくします。強力なBISECポリシーがあれば、ビジネスの成長に合わせてデータを保護することができます。

現在、ビジネスインテリジェンスツールに頼っていなくても、今から準備を始めるのが良いでしょう。ビジネス・インテリジェンス・チームが立ち上がってからではなく、スタートする前にポリシーを適用する方がはるかに簡単です。

BISECポリシーの導入方法

情報セキュリティポリシーの策定方法を考えてみると、以下のようなステップを踏んでいることがわかります。

  • データ資産をリストアップし、処理プロセスをマッピングする。
  • すべてのリスクを評価する。
  • リスクを軽減するためのシステム変更を実施する。
  • ユーザーをトレーニングし、サポートする。
  • モニタリングと監査。

このようなセキュリティモデルは、安全性と機能性のバランスを常に追求するため、継続的なプロセスとなります。

BISECにおいても同じことが言えます。BISECポリシーは、常に新たな脅威や変化するユーザーのニーズに対応する必要があります。ここでは、そのために必要なステップをご紹介します。

1. センシティブなデータソースの棚卸しを行う

まず、PIIを含むデータセットが現在ネットワーク内のどこに存在するかを知る必要があります。これには、すべてのファイルディレクトリ、SQLデータベース、メタデータ、そしてPIIを含むMicrosoft Excelファイルも含まれます。また、スタック内でデータを移動・変換するプロセスやAPIコールをマッピングする必要があります。このステップでは、BIプラットフォームが必要なデータをどこからどのようにして収集するか?を整理します。

2. 安全なデータパイプラインを構築する

Integrate.ioのようなローコードのパイプラインは、セットアップが簡単で、ほとんどのデータソースで動作します。各データソースの統合を行うための認証処理を行い、ドラッグ&ドロップのインターフェイスでスキーママッピングを設定するだけで、すぐに実行できます。データパイプラインを中心にネットワークを構成することで、データ転送プロセスの可視性を高めることができます。

3. 信頼性のある場所でデータを参照する

データをBIに利用できるようにする最善の方法は、Microsoft Azureのようなデータウェアハウスのような1つのリポジトリにデータを集約することです。これにより、アナリストは利用可能なすべてのデータを一箇所で見ることができるため、ビジネスインテリジェンスのプロセスがスピードアップします。また、データの保存やアクセスをより細かく管理できるようになります。新しいアーキテクチャでは、パイプラインを中心とし、本番システム(データソース)とデータウェアハウス(データ送信先)がエンドポイントとなります。

4. PIIを難読化する

もし可能であれば、データベースレベルでPIIを見えなくすることが一番です。それができない場合、ETL(Extract, Transform, and Load)データパイプラインを使えば、データウェアハウスに入る前にデータを変換することができます。これにより、機密情報をスクランブル、暗号化、または完全に削除することができます。コードレスでの変換により、安全なデータモデルを簡単に構築することができます。

5. セキュリティファーストのBIプラットフォームを使用する

マーケットには何十種類ものBIプラットフォームが存在し、それぞれが魅力的な機能を備えています。しかし、ベルやホイッスルに気を取られることなく、セキュリティ機能に注目しましょう。セキュリティの設定が簡単にできるBIシステムを探してください。MicrosoftのPower BIのように、RLS(行レベルのセキュリティ)を含む非常に優れた機能を提供しているプラットフォームもあります。また、機密データのローカルコピーを作成するようなプラットフォームは避けた方がよいでしょう。

6. ロールベースのアクセスコントロールの適用

内部の脅威は、外部のリスクと同じくらい、いやそれ以上に深刻です。ユーザーに柔軟なアクセスコントロールを導入することで、この危険を最小限に抑えることができます。組織内の各役割は、データリポジトリ内の特定のサブセットの情報だけを見る必要があります。優れたBIプラットフォームを使えば、データアクセスをきめ細かく制限することができます。また、二要素認証や安全なシングルサインオンなど、個々のユーザーに厳しいセキュリティプロセスを課すことで、これらの役割を強化することができます。

7. データ漏洩の可能性を監視する

漏洩を特定して修復するには280日かかります。定期的に監査を行い、侵害が発生していないかどうかを確認することで、この時間を短縮することができます。また、エンドユーザにデータ・セキュリティについての教育を行い、違反行為を発見した場合に記録できるツールを提供するのも良いアイデアです。侵害は起こる可能性があるため、影響を受けた人への通知を含む、インシデント対応プロセスを定義する必要があります。

8. いかなる脅威にも即座に対応する

セキュリティの脅威は常に進化しており、毎日のように新しい攻撃手段が登場します。BISECの重要なポイントは、セキュリティの動向を常に把握し、データの完全性を脅かす可能性のあるものに注意を払うことです。セキュリティはアクティブなプロセスであり、毎日実行するものです。常に注意を怠らず、サイバー犯罪者の先を行くようにしましょう。

Integrate.ioでBIセキュリティを強化する方法

ビジネスインテリジェンスは強力なツールです。BIのワークスペースでリッチなビジュアライゼーションを作成する人々の姿はとても印象的ですが、そのビジュアライゼーションには、実際の人々から得た実際のデータが使用されていることが多いことを忘れがちです。 

そのデータを保護するには、二要素認証やSSOを追加するだけでは不十分です。データセキュリティをすべての中心に据えた、強力でスケーラブルなインフラが必要なのです。 

BIのセキュリティを強化するためにIntegrate.ioがどのような役割を果たすか興味のある方は、ぜひオンラインデモでご確認ください。