IT 調査会社である米国 Gartner によると、情報セキュリティ最高責任者 (CISO) は、ビッグデータのセキュリティと従来のセキュリティを分けるのではなく、すべてのセキュリティをカバーするポリシーを策定する必要があるそうだ。

同社は、2016年までの間に、企業・組織の80%以上が、データサイロ横断型の統合データセキュリティ ポリシーの策定に失敗、結果として法令を遵守できず、セキュリティ違反、社会的責任の追及につながる恐れがある、と予想している。

同社の主席リサーチアナリスト、Brian Lowans 氏は、次のように述べている。

「従来、企業はデータを、構造化サイロと非構造化サイロの枠内で管理してきたが、これには、リレーショナルデータベース管理システム(RDBMS)、ファイルストレージシステム、非構造化ファイルを共有することなどが不可欠だった。

しかし、ビッグデータとクラウドストレージ環境の登場で、データの格納、アクセス、処理方法が大きく変わりつつあり、CISO は『データ中心型のセキュリティ』を考える必要がある。

残念ながら、現在このようなアプローチは一般的ではない。また、データセキュリティポリシーとその管理構造が確立されていないため、プランニングが欠かせない」

また、Gartner リサーチ担当 VP の Earl Perkins 氏は、以下のように指摘する。

「データサイロ全体を通じて、データセキュリティのガバナンス (統制) ポリシーの重要性も大きく高まりつつあるが、現在のところ市場には、CISO が一貫性をもってすべてのサイロを管理するために必要な、『データ中心型の監査と保護』(DCAP: Data-Centric Audit and Protection)を実現するソリューションがない。

このため、サイロごとに異なるツールが使用されており、これらのツールごとに機能、ネットワークアーキテクチャ、データリポジトリが異なるため、全社規模のデータセキュリティプランを実装することが難しくなっている」

クラウドサービスプロバイダやセキュリティベンダーが利用するパブリッククラウドサービスとインフラ基盤も、このデータセキュリティプランをさらに複雑化させる要因となる。

ベンダー各社は、オンプレミス (自社運用) 環境とクラウド環境の双方を通じて、異なるサイロリポジトリに適用できる製品の開発に取り組んでいるが、まだユーザー側がこのレベルにまで達していないそうだ。

「企業の各部門の責任者は、セキュリティチームとの連携に慣れていないかもしれない。そのため、CISO は各部門の責任者と信頼関係を構築し、データセキュリティの管理構造を確立し、各部門を横断した教育、研修の必要性を明確にする必要がある」(Brian Lowans 氏)