データマスキング

データマスキングとは？

これは、現実でマスクをして顔や身元を隠すのと同じ考え方です。サイバーセキュリティの専門家は、実際のデータのダミー版を作り、本当の値を隠します。そのため、データ難読化とも呼ばれます。

構造は実データにほぼ似ていますが、重要な情報は含まれていません。この偽データを本物のデータベースの前に置くことで、ハッカーを惑わします。もしハッカーがこの偽データに侵入しても、大事な情報は守られるのです。

この方法で、重要なデータは守られます。データの安全を守るだけでなく、効果的な社員研修やシステムの性能検証にも役立ちます。

‍

なぜ選ばれる？

正しく実施すれば、データマスキングは多くのメリットをもたらします。セキュリティに関心のある組織が採用すべき理由は以下の通りです。

Reason #1: データマスキングを利用すると、機密データを盗難、抽出、改ざんなどの脅威から守るのが容易です。これらの脅威は、重要なデータを損ない、業務・財務・評判に大きなダメージを与える可能性があります。

Reason #2: 社員研修やソフトウェアテストはどの組織でも必要ですが、実データをそのまま使用するのは危険です。データマスキングは実データに似たダミーデータベースを簡単に作成できるため、安全に活用できます。

Reason #3: データマスキングにより、ハッカーを惑わすことが容易になります。ハッカーが偽のデータベースに時間を費やしている間に、重要なデータを安全な場所に移すことが可能です。

‍

データマスキングの種類

• 静的

実データのクリーンな版を作成する方法です。業界でよく行われ、まず業務や本番環境のデータのバックアップを作り、別の環境にアップロードして不要な情報を除去し、最後にマスキングを実施します。完成したマスク済みデータは、指定先に送られます。

• 動的

オンデマンドの解決策です。マスク済みデータが動的に本番環境に送られ、開発やテスト環境で使用されます。実行時に機能し、属性に基づいて処理されます。また、事前に設計されたポリシーで動的マスキングが駆動されています。

• その場で

ソフトウェアテストを多く行う企業に有用な技法です。データが生成されると直ちに、少量のマスク済みデータとしてテスト環境に流すことができ、必要なときにデータが提供されます。

• 決定的

安全性はやや低い方法で、あるデータ文字列やセットを別のものに置き換えます。例えば、データ中の『Wallarm for Cybersecurity』は常に『API Safety Platform』に置き換えられます。

マスキング技法

ここまででデータマスキングの種類について説明しました。次に、実際にどのように行われるかを紹介します。多くの企業が採用している手法は以下の通りです。

1. ‍Scrambling

名前の通り、データの並べ替えを意味します。例えば、データベース内の『code』が『dice』と入れ替えられることがあります。

手軽ですが、安全性は低いです。

元々のデータに『dice』が含まれている場合、処理中に『code』と入れ替えると誤りとなる可能性があり、特定の状況でのみ適用されます。

2. ‍Encryption

この方法では、データを見えなくするためのアルゴリズムを用いて処理します。複雑で高度な知識が必要ですが、安全性が非常に高く、先進的な手法です。

データマスキングと暗号化は混同されることがありますが、前者は静的および動的データに適しており、後者は実際のデータ値を変えるため、静的データまたは保存中のデータに向いています。

3. ‍Substitution

組織のデータを守るために、実データの値を偽の値に置き換え、ハッカーや不正な利用者を惑わせます。

4. ‍Nulling Out

他の方法がうまくいかない場合の最後の手段です。主にデータベースの一貫性を保つために用いられ、削除とも呼ばれます。不正な利用者が敏感なデータベースにアクセスしても、値は表示されません。

5. ‍Shuffling

データの値を置き換えるのではなく、同じデータベース内の別の値と位置を入れ替えます。

6. ‍Value Variance

置換マスキングと似た考え方ですが、処理方法と出力は異なります。生データは直接別の値に置き換えるのではなく、関数を用いて変化させます。

7. ‍Pseudonymization

識別に使われないよう、データの値を変更する方法です。通常、直接の識別子を削除するか、識別しやすい情報の付加を防ぎます。

9. ‍Data Ageing

主に数値データに用いられ、特定の列の平均値に置き換える方法です。

‍

データマスキングの問題点

サイバーセキュリティで有効な手法であるにもかかわらず、採用に踏み切れない企業が多くあります。理由は、その複雑さにあります。データマスキングの実施時に直面する主な問題点は以下の通りです。

• 元データは、脅威や改ざんから十分に守られている必要があります。そうでなければ、企業自身がデータを損なう恐れがあります。
• データの置換時には、性別の情報を維持する必要があります。例えば、男性の『John Mill』は男性の名前に置き換えるべきで、女性の『Sofia Smiths』にしてはいけません。こうしたルールが後のデータ解析を容易にします。
• データマスキング中は、データの一意性が保たれる必要があります。ユニークなデータはユニークなダミーデータに置き換えなければ、同じダミーデータや実データと重なると、最終的なマスク済みデータに不整合が生じます。

‍

データマスキングの推奨事項

データマスキングを導入する際は、最良の基準を採用することが重要です。以下のベストプラクティスを守ってください。

• データの把握は完璧でなければなりません。これは全体の成功の基礎となるため、各種情報を適切に分類し、詳細に記録を残すことが大切です。
• セキュリティの抜け穴がないか、データ監視を行う必要があります。監視担当者は最善の方法を理解し、機密データが保存・管理されている場所を常にチェックするべきです。また、異なるデータセットには別々の監視およびマスキング手法を採用することが重要です。一律の方法では問題が生じる可能性があります。
• 大規模な組織でデータマスキングを導入する際は、複数の手法を組み合わせて活用することが重要です。一つの手法だけでは十分ではありません。
• マスキングの処理は、実施前にテストすべきです。これにより失敗の可能性を減らせます。テスト中は、導入した手法が期待通りの結果を出すかを確認し、もし期待に沿わなければ元のデータベースの復元を最優先します。
• マスク済みデータを作成するアルゴリズムの保護は譲れません。アルゴリズムが守られていれば、アクセスできるのは認可された担当者のみで、ハッカーが手法を突き止めることは不可能です。

Wallarm データセキュリティ：知っておくべきこと

Wallarm のデータセキュリティプラットフォームを使えば、データマスキングは簡単に実現できます。Cloud WAF や API Security Platform などの先進的なソリューションにより、Wallarm は貴社で様々なデータマスキング手法を導入し、不正アクセスから守り、保存中も転送中もデータをしっかり支えます。

「Cloud WAF」と「API Security Platform」は、どちらも非常に先進的で即時の脅威検知が可能です。その精度は疑いようがありません。これらの機能を詳しく知るには、デモの利用がおすすめです。Wallarm の AppSec セキュリティ専門家が、貴社の要件に合わせたデータマスキングプログラムを設計します。一度試してみると、その有用性が実感できるでしょう。