CISOがデータ保護戦略を再考

スコット・コプチャは、CISO全員が目撃していることを経験しました。従業員は公開モデルであろうとカスタムAIツールであろうと、人工知能を使用したいという熱意を持ち、驚異的な速度と量で企業データにアクセスしています。

コプチャは既に成熟したデータ保護戦略を実施していました。法律事務所として、彼の組織は機密データを保護してきた長い歴史があります。それでも、コプチャ、法律事務所Goodwin Procterの最高情報セキュリティ責任者（CISO）は、自社のデータ保護戦略の進化が必要であることを認識していました。

「これらの異なるタイプのAIモデルを細かく分析し始めると、データと相互作用する方法は7～8種類あることに気づきます。そして、当社のツールは必ずしも必要な監視および保護機能の幅を提供するために設定されていませんでした」と彼は述べています。

彼は、データをAIで使用できるかどうか、どのような状況で使用できるかに基づいて分類およびタグ付けする、別の保護レイヤーを追加しました。そのレイヤーをサポートするために新しいツールに投資し、データ保護プログラムをさらに強化できる新興機能を提供するベンダーランドスケープを監視しています。

コプチャのデータ保護戦略はまた、企業が展開する新しいテクノロジーの評価を呼びかけており、それらに対して新しいコントロールが必要かどうかを判断します。この動きは、保護がテクノロジーイノベーションのペースに対応することを保証していると彼は述べています。

「その考え方は、質問に来た誰にでも、あなたが十分な調査を行い、適切な注意を払ったことを示すことができるようにすることです」と彼は述べています。

コプチャはこの探求において一人ではありません。

多くのCISOは、主にAI利用の爆発によって駆動され、データ保護戦略を成熟させるために取り組んでいます。これにより、彼らはポリシー、手順、ツール、および意思決定方法、データ保護計画を改正する必要がある頻度を再考しています。

「データは常に企業の生命線でした。変わったのは、データ保護を指数関数的に困難にしている圧力の収束です」と、SANS InstituteのフィールドCISO兼AIセキュリティ部門副社長であるクリス・コクラン氏は述べています。「AIは従来のペリメータをほぼ無関係なものにしました。従業員は無認可のAIツールを非常に高い率で仕事に使用し、ソースコードと顧客データをコンシューマーグレードのモデルに貼り付けています。問題の1つは、それが流出のように見えたり感じたりしないということです。データソブリンティ要件の拡張、規制当局がAIデータセキュリティに関する特定のガイダンスを発行するようになり、ポスト量子暗号の現実が迫っていることを考えると、これがボードレベルの会話になった理由が分かります。」

戦略評価を推進する要因

CISO、セキュリティ専門家、データプラクティショナーは、企業内でのAI利用の拡大をデータ保護戦略を再考している主な理由として挙げています。

「AIはより多くの機密情報を露出させており、[従業員]はその情報を取得してLLMに入力しています」と、Health-ISACのCSOであるエロール・ワイス氏は述べています。

AIツールは従業員が機密データを簡単に露出させることを簡単にしていると、ワイス氏は述べています。彼らは保護された情報を公開AIモデルに素早く入力して日常的なタスクに取り組むことができ、彼らは効率的に作業していると考え、彼らが取っているデータプライバシーリスクを認識していません。「現在、何十万人もの人々がこの方法でテクノロジーを使用しています」と彼は付け加えています。

しかし、他の要因もCISO にデータ保護ポリシーと慣行を再評価するよう促しています。これらには、データ生成の速度と量の増加、攻撃対象領域の拡大、規制圧力の増加、運用復旧力への関心の高まり、そしてAIが可能にするサイバー攻撃が含まれます。

研究によると、大多数の組織が措置を講じています。Cisco 2026 Data and Privacy Benchmark Studyによると、90%の組織はAIのためにプライバシープログラムを拡大し、43%は過去1年間でプライバシー支出を増加させ、93%はAIシステムの複雑性の増加と顧客、クライアント、規制当局の期待により、今後2年間でプライバシーとデータガバナンスにより多くのリソースを配分する予定です。

ダン・メレン氏は、プロフェッショナルサービス企業EYのグローバルおよび米国サイバーCTOであり、ほとんどの組織で改善が必要であると述べています。

例えば、多くの組織はデータ分類とデータタグ付けの仕事が不十分です。これは機密データに適切なセキュリティコントロールが適用されることを保証するための2つの重要なステップです。「適切なガードレールが設置されていない無数の例を見てきました」と彼は付け加えています。

多くのITリーダーは、データ保護のために実装するいくつかのテクノロジーが、AIが進展するにつれて彼らのニーズに対応する能力がないことに気づいています。特に、エージェンティックAIデプロイメントの場合、メレン氏は述べています。例えば、すべてのデータ損失防止（DLP）ツールがサーバーまたはワークロード間の横向きデータ移動を監視し、代わりにペリメータ防御のみを提供しているわけではないと彼は述べています。

マイク・ベイカー氏は、DXC TechnologyのバイスプレジデントおよびグローバルCISO であり、「データスプロール」という用語を使用して、移動中のデータの増加量を説明しており、これはクラウドコンピューティングで最初に加速し、現在はAIで加速しています。

他のCISO と同様に、ベイカーは自身と彼のチームが「本当にデータがどこにあるかを理解し、当社の資産全体のデータの機密性を理解し、それがどのようにアクセスされているか、データがどの環境にあるかを理解している」ことを確認するためにデータ保護プログラムを再検査しています。

その目的のために、彼はデータを識別、発見、分類し、それへのアクセスを管理し、データフローを継続的に監視するための最高レベルのツールを展開しています。彼はまた、ゼロトラスト・セキュリティフレームワークを実装しています。

さらに、ベイカーはビジネスリーダーとの四半期ごとのセッションに加えて、より多くのアドホック会議を開催し、データ保護戦略がビジネス戦略と一致し続け、会社のテクノロジーとビジネス環境の変化に対応できることを確認しています。

しかし、すべての組織がそのような措置を講じているわけではありません。

例えば、ガバナンス、リスク、セキュリティ、保証専門家の非営利団体であるISACAの2026 State of Privacy Reportによると、20%の経営陣は、彼らの組織がプライバシープログラムを監視していないと述べています。レポート著者は、これらの回答者はプライバシープログラムの進捗を評価したり改善の領域を特定したりする方法がないため、「懸念されている」と述べています。

行動の主要領域

未成熟なデータ保護戦略を持つ組織は急速に追いつく必要があると専門家は述べています。彼らは、成熟度スケール上でどの段階にいるかに関わらず、誰もがより良くすることができると付け加えています。

「彼らは多くの仕事をする必要があります」と、MedecisionのセキュリティバイスプレジデントおよびISACAボードメンバーであるパム・ニグロ氏は述べています。

ニグロ氏は、彼女の会社のようなヘルスケアなどの厳しく規制された業界の企業は、成熟したデータ保護プログラムを持つ傾向があると述べています。彼女は、彼らはまた彼らの戦略を定期的に見直し、継続的な改善を目指す可能性がより高いと付け加えています。

ニグロはほぼ毎月彼女のデータ保護戦略を見直し、その慣行とポリシーが会社の進化するテクノロジーとビジネス計画に対応することを確認しています。

彼女のデータ保護戦略で求められているように、ニグロのチームは新しいテクノロジーがどのように企業データを使用するかを見直して、新しいコントロールが必要かどうかを判断します。トラフィックフローを監視し、潜在的な使用のための新しいデータ保護およびセキュリティテクノロジーを評価します。

さらに、セキュリティリーダーはCISO がデータ保護戦略とプログラムを成熟させるために取ることができる他の行動を提供しています。

マイク・アイエロ氏は、ゴールドマン・サックスの元CISO 、現在はAllegisCyber Capitalのパートナーであり、他の経営幹部と協力してデータ侵害の可能性と影響を理解することを提案しています。「そうすれば、どの金銭をどのコントロール何のためにいくら費やすかを知り、曖昧なリスクに焦点を当てるのではなく、保護する優先度を知ることができます。」

ID とアクセス管理をデータ保護戦略の中心的な部分にします。アイエロ氏はアドバイスしています。誰が（人間であろうと機械であろうと）どのデータへのアクセスが許可されているかを認識および制御する能力は、侵害を防止し、規制に準拠するために不可欠です。

アイエロ氏はまた、セキュリティリーダーがデータプロブナンスに対処する戦略を持つようにアドバイスしています。それはセキュリティチームがデータセットの完全なライフサイクル全体にわたって整合性、信頼性、コンプライアンスを強制できることを保証しています。

そして、新しいツール、特にAIを使用するツールを定期的に評価するための戦略を持ち、組織のデータ保護プログラムがベンダー空間内の進化から利益を得ることができることを確認します。

ジェレミー・コッペン氏は、Equifax のCISO であり、データプライバシーに関する「スポットライトが明るくなっている」と述べており、会社が両方を管理するために数年前にセキュリティおよびプライバシーコントロールフレームワークを作成したことに言及しています。（Equifaxは2023年にフレームワークを公開しました。）

同社の戦略は継続的な進化を求めており、パスワードレス環境への移行を含めています。継続的にツールを調整および改良して、会社の内部ルールとコントロールフレームワークに合致させること。自動化と優先順位付けに焦点を当てること。そして製品とサービスの改善についてベンダーと共同で革新すること。

「先を行き続けるには」、コッペン氏は述べています。「当社のデータが使用およびアクセスされるすべての新しい方法を保護するためにガードレールを進化させることに執拗な焦点を必要とします。」