詳細を読む
IBMの調査によると、2025年に発生したデータ侵害の35%が管理外のデータソース、いわゆるシャドーデータに起因していました。企業のサイバーセキュリティにおいて、データセキュリティは依然として最も成熟度の低い領域の一つであり、「どのデータを保有し、どこに存在し、どう移動するのか」という基本的な問いに答えられない組織が多いと指摘されています。
データセキュリティ成熟度向上の最大の障壁は可視性の欠如です。データ量の把握だけでなく、個人情報や財務データ、知的財産といった内容の分類が不可欠です。成熟した組織は、大規模な環境全体で機密データを検出・分類し、明確なポリシーに基づいた保護を適用する能力を優先的に構築しています。
データセキュリティが他の領域に比べて遅れている理由の一つは、データそのものの混沌とした性質にあります。同一の情報が構造化データベース、非構造化文書、チャット記録、分析パイプラインなど異なる形式で存在し、人的行動がさらにリスクを増大させます。そのため、ワークフローの末端に保護を後付けするのではなく、データ取得の段階から多層防御を設計原則として組み込む必要があります。
AIシステムの普及に伴い、大量データへのアクセスが求められる中、自動化されたガバナンスの重要性が高まっています。合成データやトークン化による機密値の保護、ポリシー・アズ・コードによる自動制御が有効な手段となります。AIシステムにも人間のワークフローと同等の権限管理や監視が不可欠です。
今後18〜24か月の優先事項として、メタデータを活用したデータエコシステムの棚卸し、分類に基づく明確なポリシーの策定、開発ワークフローに直接統合可能なスケーラブルな自動保護の導入が挙げられています。事後対応型から予防組込型への転換により、コンプライアンスの簡素化とAI活用への準備が同時に実現できるとしています。