1. ビジネスインテリジェンス (BI) のBIツールならNecto™トップページ
  2. >
  3. ニュース
  4. >
  5. 2017年
  6. >
  7. BIシステムにおいて、最も高いレベルのセキュリティを確保するには
2017.04.19

BIシステムにおいて、最も高いレベルのセキュリティを確保するには
Panorama Software BI Blog より

 BIシステムの活用は企業に多大なメリットを提供します。とはいえBIデータを適切に扱うようにしなければセキュリティ上のリスクをもたらす恐れがあります。BIは企業の戦略を推進しますが、同時に重要なデータをリスクにさらす恐れもあります。競合他社、投資家(企業の現在の株主ではなく、新たに投資対象を探している投資家)、顧客、ベンダーなど、企業データを手に入れたいと願う人は数多く存在します。ある企業のデータを入手すればその弱点、過失、事業内容がすべて明らかになります。上記のような人々がすべて企業のデータを求め、盗み取ることを画策しているという意味ではありません。とはいえ、多くの企業を対象に定期的にデータを盗み、それに関心を示す人(例えば競合他社など)向けに市場で売買する人々が存在します。BI環境は、このように企業の重要なデータを盗み暴露しようとする悪意ある盗難と無縁ではないことを認識しておくべきです。

 BIデータは非常に簡単に盗み取ることができます。BIには膨大なデータがあり、いつデータが盗難にあったか、ユーザーが全く気づかないこともあります。データが悪意のある人物の手にわたり、その企業が事業に重大な影響を与えるレベルの情報漏洩に巻き込まれて初めて、データの盗難に気付くということがあります。多くの場合、企業データは共有することを想定していません。例えば金融業界、あるいは医療業界では、データは顧客あるいは患者のものです。データが盗難されれば企業の信頼性が失われるだけでなく、さらに悪い事態になれば法廷闘争などに発展する恐れがあります。一方、内部リスクもあります。ビジネスの前提が不正確なデータに基づいている場合には、誤ったデータ操作によって企業経営が悪化する可能性があります。これによって事業活動に支障をきたし、ビジネスインテリジェンスの目的全体はすべて台無しになります。

 ビューにアクセスして分析する
 BIについて話す場合、誰が企業データにアクセスできるかを設定することは非常に重要です。BIシステムの中核コンポーネントがダッシュボードであると仮定しましょう。このときダッシュボードのセキュリティの基本的事項(セキュリティ101)は次のようなものです。
 このフォルダ内の情報を見られるユーザーは誰か?
 フォルダの一覧とその内容をユーザーが利用可能になっているかどうかを管理しているか?
 そこまで管理ができたら、あるダッシュボードが存在するかどうかまでもわかるユーザーは誰か?例えば給与を調査検討するダッシュボードがある場合、すべてのユーザーがこれを閲覧できることは好ましいことかどうか、考えてみればわかります。

 上記の項目を設定すれば、次はダッシュボードを開くことができるユーザーを設定します。さらに、そのデータを分析できるユーザーは誰かを設定します。そのデータを共有できるユーザーと、共有する相手のユーザーも設定しなくてはなりません。
 対応しなくてはならないセキュリティの問題はいくつもの階層に及びます。導入するBIソリューションは、これらすべての問題に対応するためのツールを提供できるものでなければなりません。上記で述べたそれぞれの項目について、それぞれに適したレベルのセキュリティのしくみを整備することが必要です。

 適用できる多様なセキュリティレベルをスクリーンショットで見ることができます。例えば、あるフォルダやダッシュボードの管理者権限をごく少数のユーザーだけに許可することが可能です。書き込みの認証を許可すると、ユーザーが情報を追加記入したり、修正、削除を行うことができます。これもまたごく少数のユーザーにのみ許可されるべき認証です。情報を読み取る認証を許可すると、ユーザーはダッシュボードを開き、中の情報を見ることができます。非表示とは、ユーザーがあるフォルダやダッシュボードの存在さえも見ることができないという意味です。拒否とは、ユーザーがフォルダの共有を許可されている場合でも、その内部のデータを見ることができないという意味です。

 これらの5つの認証は、企業のBIシステムにとって必須の要件です。個々のユーザーに対して、あるいは個々の役割に対して認証を与えることができます。このような認証をできるだけ迅速に設定することが重要です。

 モバイル
 モバイルBIが大変普及してきていますが、セキュリティの観点からはモバイルもまた大変危険な要素を持っています。モバイルBIを使うことは、あなたの机を外に出して公園の近くに置いているようなものです。問題は、このように危険な状況であるにもかかわらず、市場全体としては多くのユーザーがモバイル環境にシフトしているということです。このため、セキュリティ確保のために行わなければならない対策が困難になっています。もっとも多いモバイルユーザーは経営陣と若年層の社員ですから、これは企業が軽視できるようなものではありません。

 ユーザーが事前にできる予防策は次のようなものです。
 まず一つ目はダブルログインです。まずデバイスにログインし、次に異なるログイン認証でデバイスシステムにログインします。もう一つの対策はパスワードを頻繁に変更しておくことです。パスワードを頻繁に変更するように求めることは、あらゆるBI環境、特にモバイル環境で適切なセキュリティを確保するために大変重要なポイントです。BIシステムは決してデバイス上にデータをおくべきではありません。これは非常に重要です。なぜならデバイスは簡単に盗難され、あるいは紛失するからです。一度デバイスが盗難されると、デバイス上にあるデータは何であれすべて表に出てしまいます。デバイスを遠隔操作して削除できるシステムもありますが、しくみを熟知した多くの盗難者はそれをブロックする方法を知っています。遠隔操作でのデータ削除をブロックすることは非常に簡単です。したがってセキュリティ対策として遠隔ブロック機能に頼ることは危険です。そして最後に、デバイスを接続していない場合は自動ログアウトを有効にしておくことです。ユーザーがデバイスに再度接続する場合は、再度ログインをするべきです。

 全社集中管理BIと分散型BIの違い
 セキュリティについて重要な問題は、全社集中管理BIと分散型BIのどちらのモデルを採用するべきかということです。分散型環境に対応する多くの技術がありますが、これは何を意味するのでしょうか。それは、ユーザーが自分でPCにプログラムをインストールすれば、ユーザーが自身で作業ができるということです。しかしそれは企業の構造とは連動していません。企業の活動と連動するBIシステムを導入しようとするならば、全社集中型BIでなければなりません。分散型BIは、別々のデスクトップ機にシステムをインストールする必要があるため、それぞれのユーザーのデータはサイロ化してしまい、分断されてしまいます。そのため、セキュリティ対策はある固有のデスクトップ機にのみ施されていることから、あるユーザーが別のユーザーにデータにアクセスする許可を与える、あるいはデータをeメールした場合、そのデータは簡単に漏えいしてしまいます。したがって個々のユーザーはサイロ化しているとともにデータを漏えいさせるリスクをもはらんでいます。セキュリティの観点からは分散型BIは非常に大きな脅威となるのです。

 一方集中管理型BIでは、あらゆるデータがデスクトップ機ではなく、ウェブのアプリケーションから一元的に管理されます。そのため企業は全社統一分析を維持することができます。特定の管理ポイントからセキュリティと統制が全社的に行われます。これによって、企業はセキュリティ上の安全を確保してBIを管理統制しながら多くのユーザーにデータ分析の権限を許可できます。

 セキュリティの観点から考えると、分散型BIにはセキュリティというものが全くありません。なぜなら、それぞれのユーザーが自身のセキュリティ認証を管理しなければならないとすれば、セキュリティ違反を行うことはあまりにもたやすいからです。セキュリティに対する監査がなく、セキュリティ担当責任者もなく、ただ個々のユーザーのセキュリティを遵守しているという自己申告に頼るだけの状態です。それでは真のセキュリティとは言えず、企業はそのようなセキュリティメカニズムを採用すべきではありません。セキュリティは常に全社レベルで統合的に管理しなければなりません。先に述べたようなルールに沿って、システムのセキュリティ責任者、および他のユーザーに多様な要素やデータ閲覧のオーナーシップを設定する担当責任者をおくということです。

 セキュリティ担当者、あるいはセキュリティ担当チームは必ず、BIソフトウェアが常に最新の状態にアップデートされるように確保しなければなりません。これを怠ると、BIベンダーが設定したセキュリティ強化策は無駄になってしまいます。

 セルフサービスBIのための、全社集中管理型のデータセキュリティ
 BIにおけるもうひとつの重要なセキュリティの要因は、データセキュリティです。データセキュリティはダッシュボードやアクセス上のセキュリティからさらにその先を取り扱います。データ要素自体についてのセキュリティのことを言います。2名のユーザーが同じダッシュボードを使用しているけれども別々のデータ参照権限を持つ場合、彼らに見えるデータは異なります。例えば営業部長は、営業のダッシュボードを部内のユーザー全員に配布できます。しかしそれぞれの営業部員には、彼らの担当地域に関するデータだけを閲覧できるように設定することが可能です。このようなデータ要素の参照権限を定義できる機能は、データディスカバリープロセスを自動化するためには不可欠の機能です。

 データセキュリティが確保されない環境では、ユーザーにセルフサービスBIを使ってもらうことはできません。その理由は、ユーザーがアクセスするべきでないデータにアクセスできるようになってしまうためです。これではアグリゲーション(オンラインフィードの収集)ができません。その理由はデータセキュリティを設定する場合は、ただデータへのアクセスを許可するだけではなく、ユーザーが作業するデータの粒度をも設定することになるからです。

 このデータのうちある特定のデータセット、あるいはディメンションの特定のメンバーへのアクセスを許可するだけではなく、そのユーザーらがそこで何ができるかを設定することが必要です。ユーザーはそのレベルよりも下位のレベルのデータをドリルダウン参照できるか?ディメンションの特定のメンバーが非表示になっているか?ユーザーがデータをドリルダウンしてから、特定のどのようなツールが使用できるようになるか?このようなことを設定しなければ、あなたの企業のセキュリティは非常にあやふやなままです。シンプルなデータだけを持っていて、懸念がない場合はそれで構いません。しかし、本当にセキュリティに懸念がある場合は対策を講じなければなりません。

 オリジナルな生データへのアクセス
 BIではユーザーがオペレーショナルシステムにアクセスすることは許可されていません。ユーザーはデータウェアハウスまたはキューブ、あるいはBIシステムが作動するエリアへのアクセスは許可されます。もし生データへのアクセスが許可されている場合は、甚大なセキュリティリスクをもたらすおそれがありますので、ユーザーには生データへのアクセスを許可してはいけません。生データにアクセスすることは、データセキュリティ全体の考え方を無視することになります。ユーザーはデータを操作することができるため、企業全体のBIを破壊することも可能になります。生データにアクセスできるとすると、データセット全体に完全にアクセスする認証を与えられ、データを盗み取ることも非常に簡単です。

 あなたはおそらく次のように考えるでしょう。一体誰がそんなことをするのか?例えば、ライトバック (Writeback) のことを考えてみてください。ライトバックを使用すればユーザーが最も手軽にシミュレーションを実行できるようになります。しかしこれができるようになると、データソースの整合性を損なうことになります。この場合シミュレーションを実行するとは、具体的にはデータレベルに直接アクセスするのではなく、BIソフトウェアレベルでデータを取り出したり、書き戻したりしてシミュレーションソフトウエアを実行することです。そのBIソフトウエアの書き戻しが、どのような状況下でも正しく行われるかどうかは疑問です。ライトバックを許可することは大きなリスクを伴いますので、十分注意が必要です。このようなデータ書換え操作からもとの内容に復元することはほとんど不可能です。

 ユーザー主導によるデータ漏えい
 セキュリティ違反のもっとも難しい形態は、企業の社員であるユーザー主導によるデータ漏えいです。これは企業がユーザーに許可したツールを使って行われます。これは誰かが別のユーザーにデータを見せるときに発生します。例えば画面上で見ているデータがあり、私はこれをもう少し詳しく調べたいとします。私はこれをExcelにコピーして自分の同僚にeメールで送信します。するとその同僚はこの情報に関心を持ち、「別の企業の友人が関心をもつだろうから、この情報をその友人に見せよう。」と言って、そのユーザーの友人にデータを転送するとします。こうして重大なデータ漏えいが発生します。

 以上述べたように、全社統制型のBIシステムを導入することに加えて、データセキュリティを万全にし、オリジナルの生のデータにアクセスを許可しない対策が必要です。さらに、ユーザーにはどのようにしてデータを安全に管理するかを教育し、どのようにしてセキュリティー対策が施されたデータを操作するかを説明することが重要です。Excelなどのデスクトップツールを使用しないように忠告しなければなりません。常にウェブベースの全社集中型BIツールを使い、ユーザーに必ずセルフサービス機能を確保します。これを怠ると、ユーザーはBIを使わなくなり、Excelに逆戻りしてしまいます。Excelは非常に簡単なツールですから、ユーザーが必要とするセルフサービス機能を備えた、優秀な全社集中型のBIツールを提供しなければ、ユーザーはすぐにExcelに逆戻りしてしまいます。するとこれによってユーザー主導型のデータ漏えいを引き起こす可能性が出てきます。

 また、ダッシュボードを転送する場合にはその「URLリンク」を送信することをユーザーに徹底することも、大変重要です。ダッシュボードを受信したユーザーが、Word, Excel, PDFといったファイルを添付するのではなく、その資料にアクセスするためのURLリンクを受信することが望ましいからです。

 データを添付するということは、データセキュリティが全く整備されていないデータセットを転送することで、潜在的にセキュリティ上の問題が発生します。転送内容をリンクで送信すれば、リンクを受信したユーザーは、集中管理されたデータセキュリティ対策を整えているBIシステムにログインして、データを入手することになります。集中管理型BIでは、ユーザーのセキュリティ認証に応じて見ることができるデータだけにアクセスができ、オリジナルの生のデータにはアクセス認証を許可しません。ユーザーの責任によって生じるデータ漏えいはもっとも解決が困難な問題です。なぜならセキュリティ万全なBIシステムを使うだけではデータ漏えいを防止するのに十分ではなく、さらにユーザーを教育する必要があるからです。

 Necto™を選ぶべき理由
 全社集中管理BIは企業にとって必須のソリューションです。とはいえ企業にとって適切なツールとは、アナリスト、業務ユーザー、システム管理者の苦労を同様に解決するソリューションでなくてはなりません。

 Necto™が提供する価値は、要求される全ての機能を実装してユーザーの最高の使用感を提供しながら、独自のアーキテクチャー、それはセキュリティーが万全であり、BIガバナンス(管理統制)を実施することが可能であり、全社集中管理型BIであり、展開が容易かつスピーディにできる、を一体化して提供するものです。Necto™はダッシュボード、アナリティクス、KPI監視、データマッシュアップの機能を提供します。そのうえ全社集中型BIですから、最先端のBIテクノロジーをユーザーに提供します。

 Panoramaは自動化された高度なアナリティクス技術でデータアナリティクスを進化させています。

  • BI市場でもっとも豊富なアナリティクスツールキットを提供します。

  • 全社集中管理型のシステムで、セキュリティ上のアクセス安全性を確保しながら、洞察を自動で発見するBIは、Necto™だけです。

  • 異常値や例外が発生した場合、自動アラート機能でお知らせします。

 Necto™はユーザーが共同作業を行う機能を搭載した唯一のソリューションです。全社集中管理型の基本設計と推奨エンジンにより、以下のようなことが可能になります。

  • 同僚とのディスカッションや分析の内容を追跡管理する。情報やメッセージの共有が簡単に行えます。

  • 発生するそれぞれの事象について、どのユーザーと共同作業するべきか、洞察を自動で提案されます。

  • 特定のデータセルについて注釈を追記し、分析の価値を高めることができます。また、他のユーザーはセキュリティによる保護のもとにその注釈を見ることが可能です。

 Necto™はもっとも優れたアナリティクスを提供する業界トップブランドであるだけでなく、企業全体のニーズに合わせてカスタマイズが可能なBIです。

  • Necto™はダッシュボードが最も簡単に開発できるBIです。

  • 見やすく美しいビジュアル表示ができるインフォグラフィック機能を使って、業務文脈にそったデータをダッシュボードに表示します。

  • フル機能を持ったSDKおよびJSフックを提供しています。

 Necto™はセキュリティ対策が万全な、セルフサービスのシステムとして、最新鋭の全社集中管理型BIをご提供します。