プライバシー情報漏洩の問題を解体し、Shuanxingはデータ操作セキュリティの新しい概念を提案した。

近年、世界的な情報化とデジタル化の深化に伴い、人間の生産とライフスタイルは大きな変化を遂げており、世界中の産業界でデジタル変革のプロセスが加速しています。時代の急速な発展の中核的な原動力として、「データ」の価値が注目され、爆発的に成長してきました。膨大な量のデータはさまざまな業界の中核的な競争力となっている一方で、データセキュリティのリスクもますます顕著になっています。

データの改ざん、偽造、漏洩、悪用、企業データに対する攻撃、盗難、転売、ハイジャックなどのセキュリティインシデントが後を絶ちません。データセキュリティをどのように保護するかは、今日、あらゆる業界の企業にとって最も厳しいセキュリティテストとなっています。

金融業界を例にとると、金融業界は国民経済の発展において非常に重要な位置を占めています。金融業界は、データ集約型かつテクノロジー主導型の業界であるため、それ自体がビジネス価値が高く、資金、個人情報、信用情報など非常に重要なデータを扱っています。これらの非常に貴重な個人の金融情報データは、犯罪者の標的になりつつあります。

中国インターネット協会が発表した「中国インターネットユーザー権利保護調査報告書」によると、インターネットユーザーの個人情報の78.2％と、インターネットユーザーのオンライン金融取引記録の63.4％が漏洩した。近年、毎年発生する金融プライバシー漏洩の件数は約 35% の割合で増加しています。統計によると、2016 年に公表された金融プライバシー漏洩は 1,093 件、2017 年には 1,511 件、2018 年には 1,967 件、2019 年には 2,300 件を超えています。この数は 2020 年も急速に増加しています。

[[374435]]

私の国の金融業界では、なぜユーザーのプライバシー保護が繰り返し失敗するのでしょうか?

中国銀行保険新聞は最近発表した「金融業界のサイバーセキュリティに関する白書」の中で、金融業界のデータ保護は、データセキュリティに関する不完全な法律や規制システム、金融業界の複雑なビジネスシナリオ、5GやAIなどの新興技術によってもたらされる新たなセキュリティリスクなど、さまざまな課題に直面していると指摘した。

まず、法律や規制の観点から見ると、国際レベルと比較すると、私の国のデータセキュリティとプライバシー保護に関する法律制定は比較的遅れて始まりました。今年に入ってから、中国は「中華人民共和国データセキュリティ弁（草案）」と「中華人民共和国個人情報保護法（草案）」について世論の募集を開始し、業界規制当局も相次いで個人の金融情報に関するセキュリティ基準を発表しているが、全体として、わが国は金融プライバシー保護に関する厳格な法制度をまだ形成しておらず、行政罰は主に各機関やプラットフォームに対して用いられている。数億ドルという高額の罰金を科すことがよくある他国と比べると、企業を効果的に抑止し、データセキュリティ保護に注意を払うよう促すことは困難です。

第二に、技術的な観点から見ると、5Gなどの新技術の急速な応用により、金融プライバシー保護に対するリスクと課題が増大しています。 2019年12月現在、WeChat公式アカウント「APP個人情報報告」はネットユーザーから合計12,125件の報告を受けており、対象アプリは2,300以上となっている。その中でも、モバイル金融アプリは、携帯電話による個人情報の不正利用の被害が最も大きい分野です。クラウドコンピューティングとビッグデータはビッグデータ分析に利便性をもたらす一方で、大量の高価値データも収集するため、ハッカー攻撃の主要な標的にもなっています。

最後に、金融業界の複雑かつ多様なビジネスシナリオも、データ保護の困難さの重要な理由です。ビジネスの継続的な発展に伴い、金融機関には、多数のアプリケーション シナリオを持つ数百または数千のビジネス システムが存在することが多く、大量の顧客基本情報、ビジネス取引データ、ビジネス製品データ、企業運営データ、機関データ、認証情報、生体情報、企業従業員情報、その他のビジネスおよびシステム データが格納されています。これらのデータは異なるシステム間で流れる必要があるため、データフローのあらゆるリンクで改ざんや漏洩のリスクがあります。

大手金融機関におけるデータセキュリティ管理の導入

調査によると、金融業界が現在採用している主なデータセキュリティ保護対策は依然としてデータ自体の伝統的な保護であり、データ流通プロセス中のデータ共有に対するセキュリティ保護対策はまだ欠如しており、少数の大手金融機関のみが関連するパイロットプロジェクトと応用の試みを行っている。

しかし実際には、データの最大の特徴はその流れにあり、流れの中のデータだけが価値を生み出すことができます。従来のファイアウォールや端末および境界ベースの保護製品では、移動中の企業データを保護することはできません。

国内の多くのセキュリティベンダーは、企業のビジネス状況に基づいて動的かつ体系的かつ長期的なセキュリティ運用メカニズムを構築し、企業データのライフサイクル全体にわたるセキュリティ管理戦略を実行する方法を模索しています。

データ操作セキュリティ - データビジネスプロセス全体のマッピング管理とセキュリティ保護

少し前、中国の新世代データセキュリティ技術革新メーカーであるShuanxingは、データ運用の観点からデータセキュリティの問題を再認識し、中国で初めてデータ運用セキュリティ（DataSecOps）の保護概念を提案し、データセキュリティ属性をデータ運用に組み込み、データ運用セキュリティプラットフォームを通じて全プロセスデータ適応型アクセス制御および保護ルールシステムを構築しました。

データ操作セキュリティは、データビジネスプロセスの正常な運用に影響を与えることなく、政府および企業組織内の機密データ資産をより効果的に保護し、機密データの拡散や悪用などのリスクに迅速に対応し、データ操作に携わるすべての人員にデータセキュリティ保護戦略を提供することを目的としています。セキュリティ保護とデータ サービスは相互に影響を与えることなく独立して実行されるため、データは安全かつ効率的に価値を生み出すことができます。

データ操作のセキュリティに対するソリューションでは、データ操作を中心に据え、データストレージとビジネスプロセスを変更せずにマッピングする必要があります。セキュリティ保護とデータ業務は互いに影響を及ぼさずに独立して運営され、データ運用の真のセキュリティ保護を実現し、データの安全で効果的な流れを促進し、機密データの拡散のリスクをタイムリーに察知し、あらゆる種類の違反や乱用を排除し、悪意のある漏洩や攻撃、盗難などのさまざまな危険な事件に迅速に対応します。

ゼロトラストデータオペレーションセキュリティプラットフォームの概略図

Shuanxing は、データ操作のあらゆるリンクからデータ セキュリティのリスクが発生すると考えています。セキュリティ保護対策は、システムやネットワークのセキュリティだけに重点を置くのではなく、問題の本質に立ち返り、データを中核として、データ操作の全プロセスにわたってセキュリティ保護システムを構築する必要があります。

データ操作セキュリティとゼロトラストアーキテクチャの有機的な統合

ShuanxingのCEOである王文宇氏によると、Shuanxingはゼロトラストアーキテクチャ理論に基づいてデータ運用セキュリティプラットフォームを構築し、データ運用セキュリティの考え方を製品化し、人工知能によって駆動しているという。データビジネスプロセス全体を変更せずにマッピングすることで、データエンティティ保護の観点から、ネットワークアーキテクチャの変更やビジネスの変革を行わずに、データ操作プロセス中のデータ自体のセキュリティを向上させ、データ操作プロセス中のデータのセキュリティを確保します。

Shuanxing はゼロトラスト セキュリティ アーキテクチャを使用して重要なビジネスへのアクセスを保護し、重要なデータを分離して保護することで、機密データの主体と対象を正確に識別し、動的なリスク評価を行い、さまざまなリスクにタイムリーに対応して処分することを可能にします。ゼロトラストの本質は「継続的な検証、決して信頼しない」ことです。環境とユーザーの ID 検証とリスク評価は、ゼロ トラストの基礎であり、データ操作セキュリティの基盤の 1 つです。両者には有機的な統合の根底にある論理的根拠があります。

Shuanxingデータ運用セキュリティプラットフォームは、機密データの内容と使用環境を継続的に検出・分析し、データの主要ユーザーのID役割検証と継続的なリスク評価を実施し、プラットフォームによるユーザーIDと承認済みデバイスの管理と二重検証を可能にします。

機密データ、ユーザー ID、リスクを検出して識別する機能により、内部拡散リスクや違法な乱用リスクを正確に特定できます。デフォルトでは、すべての人や環境は信頼できず、信頼ステータスは常に変化します。この継続的かつ動的なリスク評価に基づいてのみ、真に適応型セキュリティ保護を実現できます。

このプラットフォームは、企業にデータ価値の自動検出とデータセキュリティサービスを提供し、プライバシーデータ保護、企業秘密保護、データビジネス間の効果的なバランスを実現し、ユーザーがさまざまなタイプとソースの個人のプライバシーデータとビジネスデータを管理および追跡できるようにし、さまざまなデータロール間の機能横断的なコラボレーションを促進し、データ使用に関する法的コンプライアンス要件を満たし、データの増殖と違法な乱用のリスクを自動的に認識します。

「デジタルセキュリティの価値は、データ運用のセキュリティを真に実現できるエコシステムを構築し、顧客にフルシナリオのデータ運用セキュリティ保護ソリューションを提供し、データが安全に価値を生み出せるようにしている点にあります」と王文宇は語った。