BIツールの導入を検討するにあたり、セキュリティと利便性のバランスについてお悩みの方もいらっしゃるのではないでしょうか。BIツールを使ってデータをビジネスに活用するには、セキュリティと利便性について考えることがとても重要です。
この記事ではBIツールにおけるセキュリティの重要性や、利便性とのバランスをとるためのポイントを解説し、BIツールのセキュリティ機能および事例についてご紹介します。
BIツールにおいてなぜセキュリティが重要なのか
企業は顧客情報を始めとする機密情報を扱っています。現代のビジネスにおいて、競争力や製品・サービスの価値を高めていくためには、顧客に関する様々な情報を収集し、分析する必要があります。
しかし扱うデータが増えれば増えるほど、情報漏洩やデータ改ざんによる誤った情報の利用で、社会的信用を失ったり、事業に対して損失が生じるリスクが発生します。
例えば顧客データが流出すれば、顧客の信頼を失うだけでなく、それに伴う売上の低下や法的費用・罰金などの経済的な損失が発生する可能性があります。またデータが改ざんされれば、誤った情報に基づいた意思決定が行われ、ビジネスに深刻な影響を与えることもあります。
そのようなリスクをできるだけ下げるために、データを扱うBIツールにはセキュリティ対策を適切に講じることが求められます。
情報セキュリティの3要素
情報セキュリティは、機密性(Confidentiality)・完全性(Integrity)・可用性(Availability)の3つの要素から成り立ちます。これらはそれぞれの英単語の頭文字をとって、CIAとも呼ばれます。
機密性(Confidentiality)
アクセス権限があるユーザーやクライアント端末からのみ、情報資産が利用できる状態にしておくことを指します。情報への不正アクセスや情報漏洩を防ぐための観点です。
具体的な施策としては、アクセス制御やデータ暗号化、認証機能の利用などが挙げられます。
完全性(Integrity)
アクセス権限がないユーザーやクライアント端末から、データの改ざん・破壊等が行われておらず、情報資産が確実に正しい状態であることを指します。情報の信頼性と正確性を維持するための観点です。
具体的な施策としては、データのバックアップや監査証跡ログの記録などが挙げられます。
可用性(Availability)
障害が発生しにくく、障害が発生しても影響を小さく抑えられ、必要な時に情報資産が利用できる状態にあることを指します。システムのダウンタイムを最小限にするための観点です。
具体的な施策としては、事前に災害復旧計画を用意しておく、冗長構成をとる、異常を迅速に発見できるようシステムを監視する、などが挙げられます。
業種や部門によって最適なセキュリティは異なる
セキュリティを高めるには、情報セキュリティの3要素それぞれを高める必要があります。
しかし企業の業種や部門によって取り扱うデータの性質や利用の目的が異なるため、企業や部門ごとに最適なセキュリティも変わっていきます。
例えばデータを全て暗号化すれば機密性は高まりますが、大量のデータを暗号化・復号化することでパフォーマンスが低下したり、メモリを逼迫する可能性があります。その結果、必要な時に情報資産が利用できず、可用性が低下し、ユーザーも待ち時間が長くストレスがたまるなど、利便性の低下を招くことが考えられます。
またいくら機密性が高くても使い勝手が悪いと、ユーザーが承認を受けずに、セキュリティ管理の外でシステムを導入し使用するなどといった、シャドーITのリスクが増大します。
そのためBIツールを導入する際には、実際にデータを扱うユーザーのニーズや業務フローを考慮しながら、セキュリティと利便性のバランスを慎重に検討することが重要です。
BIツールのセキュリティと利便性を両立させるためのポイント
BIツールの目的を踏まえて優先すべきことを明確化する
一般社団法人 日本サイバーセキュリティ・イノベーション委員会(JCIC)が2021年に発表したレポートでは、各社の利便性とセキュリティのバランスを4つのモデルに分類した上で、次のように述べています。
重要なことは、なぜそのタイプを選んだのかを説明できることである。経営者と現場のセキュリティ責任者が、今後の経営戦略に沿ったワークスタイルやセキュリティ管理を考え抜いた末に導き出した方向性でなければならない。他社の動向を見ながら時流に流されるのではなく、自らの意思で中長期的な方針を策定していかなければ、生産性低下やリスク顕在化、更には優秀な人材の流出など、ビジネスに多大な影響を与える恐れがあることを認識する必要がある。
2025 年に向けた利便性とセキュリティのリバランス(2021)P.3
https://www.j-cic.com/pdf/report/Rebalancing.pdf
この文章からもわかるように、セキュリティと利便性のバランスについて絶対的な正解はなく、どちらも重要だからこそ、迷ったら自社のBIツール導入の目的に立ち返って判断しましょう。
例えば「在庫状況をリアルタイムで可視化できるようにする」がBIツールの導入の目的であれば、在庫状況が素早く確認できることが重要です。この場合、業務に耐えうるスピード感を保持しつつ、取引先の情報や売上情報などが漏洩しないように保護する必要があります。
このように、BIツール導入の目的を軸に、セキュリティと利便性において優先すべきことを明確化しましょう。
ちなみに上記のレポートにはバランスモデルの活用方法についても記載されているため、一読されると参考になると思います。
アクセス権限を適切に設定する
データにアクセスできる人を限定すれば、情報の機密性は高まります。しかし業務で使用していた情報にアクセスしづらくなったり、アクセスできなくなってしまうと、ユーザーの利便性は下がってしまいます。
また異動や昇進、退職などによって、特定のユーザーに不要な権限が残ったままだと、機密性は低下してしまいます。
アクセス権限を見直す際は、情報の重要度や業務などを考慮した上で、必要最低限の権限をユーザーに付与するようにしましょう。
ユーザー教育を実施する
ユーザー教育の実施により、セキュリティの重要性をユーザーに理解してもらうとともに、データ操作の方法やBIツールの使い方を学んでもらうことで、ユーザー自ら利便性を向上することができます。
加えて、インシデントが発生した場合に備え、対応方法や報告手順の周知も行いましょう。
ユーザー教育の実施は、導入したBIツールの効果を高める上で重要です。この記事では、BIツール導入におけるユーザー教育の重要性や効果的な進め方、また実践事例についてご紹介します。お役立ち資料「BIツール活用のためのユーザー教[…]
定期的に適切なバランスかをチェックする
導入時点でセキュリティと利便性のバランスが最適でも、業務の変化やユーザーのスキル向上によって、最適なバランスが変化することが考えられます。
そうした変化に対応するためにも、セキュリティと利便性のバランスが適切かを定期的にチェックし、必要に応じてセキュリティの設定を変更するなど、運用の見直しが重要です。
BIツールのセキュリティ機能
アクセス制御
業務での利用を踏まえて、部門やプロジェクト、個人単位でアクセスできるデータの範囲を制限する機能です。
BIツールによっては、ひとつのテーブルの特定の列のみをユーザーに公開したり、情報の一部をマスキングするなど、データの公開範囲を細やかに制御できるものもあります。
監査証跡ログ
BIツールユーザーのうち、誰がいつ、どのような情報を何件取得・閲覧したのかを記録する機能です。
記録することで万が一情報漏洩が起こった際に原因を追究したり、また情報漏洩の嫌疑がある社員の身の潔白を証明するための証拠ともなります。
BIツールによって記録できるログや出力形式が異なるため、導入を検討する際に確認しておきましょう。
ダウンロードの制御
結果データをダウンロードできないように制限する機能です。
BIツールには結果をダウンロードできる機能がありますが、機密情報を扱う場合はダウンロード自体できないようにした方が、情報漏洩のリスクを抑えられます。
多要素認証
多要素認証とは、パスワードの他に、SMS認証やスマートフォンの生体認証など2つ以上の認証を組み合わせる方法を指します。多要素認証を用いていれば、万が一パスワードが漏洩しても、不正なアクセスを防ぐことができます。
また多要素認証はアカウントの使いまわしによる情報漏洩の防止にも効果的です。
BIツールのセキュリティ事例
部門・利用者単位でデータへのアクセス権限を制御
このお客様は、システムの一元化に際し、部門・利用者の単位でデータへのアクセス権限を制御できるBIツールを導入することで、セキュリティ要件を満たしつつ、業務効率化を実現しました。
万が一に備えて監査証跡ログを記録
この保証会社様は、「ツールの便利さと情報漏洩のリスクは比例する」と認識しているからこそ、監査証跡ログが取得できるBIツールを採用することで、万が一の事態に備えていらっしゃいます。
不動産担保ローン専門会社の業務におけるExcellentの活用事例をご紹介いたします。債権貸付後の結果分析や経営関連の報告書作成に使用まずは御社の事業内容を教えていただ[…]
ユーザーが使いやすく安全なBIツール環境を用意しよう
コロナ禍を経て、リモートワーク環境が変化してきたからこそ、セキュリティに対して求められる要件も変化しています。
ユーザーの利便性も考慮しながら、安全に使えるBIツール環境の構築・運用をぜひ検討してみてください。
弊社では、細かなアクセス制御や監査証跡ログで安全なデータ活用環境を構築できるBIツール・WebQuery/Excellentの開発・販売・保守をワンストップで行っております。
ご興味のある方はぜひ以下から資料をダウンロードしてみてください。