2/15開催【先進セミナー】データセキュリティの最新トレンド～クラウドサービスとの密な関係性とは～　イベントレポート

皆さんこんにちは！ドコモ・ベンチャーズです。
今回は、2022年2月15日(火)に行われたイベント

【先進セミナー】データセキュリティの最新トレンド
～クラウドサービスとの密な関係性とは～

についてレポートしていきたいと思います！

本イベントでは、現在シリコンバレーにいらっしゃる、ドコモ・ベンチャーズの下城拓也さんにお話しいただきました。

・データをもっと活用したいけどセキュリティが不安な人
・欧米の技術動向に興味がある人
・クラウドサービスを活用中の人
などに向けた内容となっていますので、ぜひ読んでみてください！

＜ドコモ・ベンチャーズ シリコンバレー支社 Manager 下城 拓也氏＞

2013年NTTドコモ入社。先進技術研究所にて主に5Gコアネットワークの研究開発に従事し、災害や需要の変化に対して柔軟に対応する仮想化技術やサービスごとの細かな要求を充足するネットワークスライシング技術の特許化・標準化を行う。
2018～2020年米国にてMBA取得後、現職。
米国スタートアップとNTTグループとの協業創出、投資実行を行う他、スタートアップの発掘も行う。
サイバーセキュリティ、5G/IoT、Cloud/SaaS、ドローンなどを中心にNTTグループの発展に資するスタートアップを幅広く調査している。

■DX化に伴う個人情報取扱いへの問題視

昨今「DX」「クラウド」等といった言葉が注目を集めており、特にマーケティング分野におけるデータ活用の中で頻繁に利用されています。
例えば、

いつ・どこで・誰が・何を買って、その結果どうなったのかといった顧客のデータを
自社や関連会社、あるいは他者と連携することで集め、クラウドのデータ管理サービスを使って一括管理
　　　　　　　　　　　　　　　　　↓
同じくクラウドサービスのAIや解析ツールなどを活用して顧客のインサイトを発見し、どのようなマーケティングを行えば良いのかをデータに基づいて判断
　　　　　　　　　　　　　　　　　↓
それらを合わせて個人個人に合わせたプロモーションの形で顧客にフィードバックすることによって、また顧客から新たなデータが取得出来る

このサイクルを回すことによって、より良い顧客体験を追及することが出来るのです。

この時に最も大切なことは、如何にそれぞれの個人に合わせたきめ細かなサービス、適切なプロモーションを提供するかということです。
しかし、裏を返せば、これを実現するには詳細な個人情報を収集しなければならないことを意味しています。
そのため、”どこまでの個人データを取得しても良いのか”といったデータ管理に関する規制がとても厳しくなってきています。
特に最近は、GAFAへの懸念を発端に欧米を中心に個人データの取扱い規制が強化されており、個人情報の過度な収集やデータ管理の不備が制裁に繋がる例が頻出しています。
このような背景から、今回は欧米の個人情報取扱いに関する動向やデータセキュリティについてお話しいただきました。

■個人情報取扱いに関する欧米の動向

・GDPR/CCPAの制定

欧米では、GAFA等の大企業が過度なデータ収集や活用をしていることが問題視されていたことから、2016年にEUでGDPR（General Data Protection Regulation）という個人データの保護ポリシーが制定され、続いて米・カリフォルニア州でも2018年、CCPA（California Consumer Privacy Act）という消費者プライバシー法が制定されました。

これらのポリシーの注目点の一つは、罰金の高さです。
もし違反した場合、CCPAではユーザー1件当たり最大で$7500、GDPRでは最大で売上の4%が制裁金として課される可能性があります。
実際にAmazon、Google、Meta（旧Facebook）などに対して数百億円規模の制裁金が課された例が多数ありました。

米加州で新個人情報保護法　欧州上回る企業負担も

ちなみに、GDPRやCCPAがカバーする個人データの定義は幅広く、
名前はもちろんのこと、位置情報やIPアドレス、検索履歴など多岐に渡る情報が個人データとして扱われます。
これは、単体で個人を識別できなくとも、複数情報の組み合わせで個人が特定できれば個人データになり得るからです。
他にも、Webサイト上のCookieが個人データとして取り扱われています。
よくWebサイトを閲覧する際に「Cookieを有効にしますか？」という質問が出てきて皆さんは何気なく承認していると思いますが、この質問を表示するようになったのもGDPR/CCPAの影響があります。
また、入室管理等のデータと紐づけることで、検温データも個人データになり得るという議論もあります。

・カリフォルニア州以外の状況

上記では米国の中でカリフォルニア州の例を挙げましたが、他の州でも個人データ取扱いに関する法整備が進んでいます。
（下図参照）

この図は、US State Privacy Legislation Trackerというサイトから抜粋したものです。
赤色で塗られているコロラド州やバージニア州ではCCPAと同様の規制が制定されており、その他の青色や緑色で塗られている州でも規制導入の議論が進められています。
さらに、米連邦政府でもCORPという米全土に適用される法案を検討中で、米国では全体的に個人データ保護に対する機運が高まっていると言えます。

・サービス提供者への影響

こうした動きは、サービス提供者に大きな影響を与えており、その中で最も影響を受けたのがMeta社（旧Facebook）と言われています。
Meta社では、ユーザーが登録した個人プロフィールに加えて他のアプリの利用履歴を把握し、ユーザー毎に最適な広告を配信する施策を行っていました。
しかしAppleが他のアプリの利用履歴を取得することを禁止したため、売上が大きく下がってしまったことがニュースで報じられました。

↑CNBC記事/Coindesk記事
またMeta社は、今後メタバース事業を展開し、仮想空間におけるユーザーの立ち振る舞い、感情、生体データなどを取得していきたいと考えているようですが、このようなデータを個人データとしてどのように扱うのか、そしてMeta社にどこまでの制限を与えるのか、といった議論が今後起こる可能性が考えられます。

・ポリシーを懸念したサービスの停止

また、GDPRの厳しいポリシーを常に守りながらヨーロッパでサービス展開を行うことをリスクと考え、撤退する企業も出始めています。
例えば、ヤフージャパンがヨーロッパからの撤退を発表したり、Meta社も欧州でのサービス展開の諦めを仄めかしています。

↑朝日新聞デジタル/Times News Network
だからといってGDPRが緩まることはなく、今後もサービス提供者側が個人データ規制のポリシーに合わせていかなければならない流れは変わらないでしょう。

・CCPAが定める”オプトアウトの権利”

CCPAでは、「通知の受領や個人データの第三者への提供を、本人の求めに応じて速やかに提出させることが出来る」と定めています。
具体的には、メールマガジンの配信設定や、企業が所持している個人データの削除を簡単に行えるようにすることを指しています。
なので、例えば米国のサービスは会員登録解除やメールマガジンの配信解除が簡単に出来るようになっています。
一方、日本のサービスはマイページにログインして登録内容を変更しなければならない等、解除に一手間かかります。これはCCPAに抵触する可能性があるので、もし米国展開する場合、若しくはCCPAのような規制が日本に適用されることになった場合は注意しなくてはなりません。
ちなみに、会員登録解除が簡単に出来ることでユーザーの満足度向上に繋がるというデータ結果も存在するため、マーケティングの観点からもこの点は改善した方が良いでしょう。

■クラウドサービスの発展とデータセキュリティ

昨今、取得するデータの種類やデータそのものの量、活用機会が増加したことに伴い、「クラウドサービス」が発展してきています。
クラウドサービスを利用すると、自社管理サーバを所持するよりも安く簡単に運用することが出来ます。

一方、紙ベースの管理や自社管理サーバの環境では生じなかった様々なセキュリティリスクに目を向ける必要があります。
例えば、

・物理的に離れた拠点や多様なデバイスからクラウドにアクセスされるデータ流入
・第三者に情報を公開し、新たなサービス提供を検討する
・インターネットを通してのデータのやり取り
・クラウドサーバ上で起動するアプリケーションを頻繁に更新する

といったことが当たり前になった際に、

・データ形式の不一致、個人データの管理が困難（いつ・どこで・誰が・どのデータを使っているのか不明）
・クラウド上でのデータ開示、やり取りの増加
・データの出入りが多くなり、どこでデータが漏れるか分からない
・現状を全て把握する人の不在

などの課題が生じることが予想されます。
これらの課題に対し、スタートアップが様々なツールを開発しながら新たなビジネス領域としてサービス展開しています。

以下、クラウドサービスにおけるそれぞれの課題を解決するスタートアップの事例を紹介します。

■クラウドサービスにおける課題を解決するスタートアップの事例

１．データガバナンス

データガバナンスとは、データの管理・保存・使用の方法を一意に制御するためのポリシー・プロトコルを規定するものです。
・データ管理方法がセキュリティポリシーに準拠しているか
・データへのアクセス付与は適切か
等、データマネジメント活動に関するルールを指します。

下図を見てください。
例えば、「ワタナベ イチロウ」という人がいるとして、左のように同一人物であっても異なる漢字で登録されていたり、異なったメールアドレスで複数データが登録されているとします。もし「個人情報を削除してください」と言われた際に1つのデータしか削除しなかった場合は、GDPRに抵触する恐れがあります。
また、右のように顧客から情報開示を求められた際、顧客が求めた情報のみを開示し、最小限の情報開示にしなければなりません。
このような場合にデータガバナンスツールが役立ちます。

このデータガバナンスツールのサービス展開をしているスタートアップを2社ご紹介します。

・IMMUTA（2014年、ボストン発）
複数のクラウドデータベースやデータの入力元/出力先のツールを含めた一元的なデータアクセス制御を実行します。いつ・誰が・どこからアクセスしたとしても、同じようにアクセス制御することが可能です。
またGDPRなどのポリシーに合わせて、保存するデータに対し自動的に重要度を割り当てて分類することも可能です。

Universal Cloud Data Access Control | Immuta

・Transcend（2017年、サンフランシスコ発）
Webサイトやアプリケーションと連携し、GDPR/CCPA等のセキュリティポリシーを遵守するようクラウドデータベースを管理することが出来ます。具体的には、ポリシーの改定や個人情報削除依頼に応じて自動的にデータベースの更新を実行してくれます。
また個人情報は独自のゲートウェイを介してやり取りされ、Trascend自体は個人情報を所持しないので、リスクなくデータのやり取りが可能です。

Transcend - Easily encode privacy across your tech stack

２．”ゼロトラスト”コンセプト

ゼロトラストとは、「すべての通信を信頼しない」ことを前提に、対策を講じるセキュリティの考え方です。

下図を見てください。
従来は、左のように、社内LANやVPNで接続されたデータセンターなど信頼できる「内側」とそれ以外の信頼できない「外側」にネットワークを分け、その境界線で対策を講じるというものでした。その境界線にファイアウォールやプロキシー、IDS／IPSなどのセキュリティ機器を設置し、通信の監視や制御を行うことで外部からのサイバー攻撃を遮断するのです。
しかしクラウドサービスを導入すると、右のように、外側であるインターネット上に保護すべきものがある状況が珍しくありません。
そこで生まれた考え方がこのゼロトラストの考え方で、最初から全ての通信を信頼しないことを前提にして、ネットワークの内外に関わらない通信経路の暗号化や多要素認証の利用などによるユーザー認証の強化、ネットワークやそれに接続される各種デバイスの統合的なログ監視、データを利用する環境の制限などを行います。

このゼロトラストの考え方に基づいたサービスを提供しているスタートアップを2社ご紹介します。

・BANYAN SECURITY（2015年、サンフランシスコ発）
ゼロトラストシステム上で自律的に稼働するアクセスコントロールシステムで、独自に定義したTrust Scoreを用いてユーザーの挙動に応じて算出し、リアルタイムにアクセス制御やアラートを発出します。
例えば、自分と関係ない部署のデータへのアクセスを試みたり、異なる場所から頻繁にログインしているユーザーがいると、そのユーザーを”リスクがあるユーザー”としてアクセスを制限させることができます。

Zero Trust Network Access - Banyan Security

・Virtru（2011年、ワシントン発）
クラウドサーバ上のファイルやクラウドサービス上でやり取りされるメールに鍵をかけ、アクセス制御を実行しています。
メールやファイルをやり取りする際、Virtruサーバと独自の鍵交換プロトコルを用いることでデータを追跡し、認証されるユーザーのみ開封できるようにすることで情報漏洩を防ぎます。

Data Encryption For Email & File Sharing | Virtru

３．”ゼロデータ”コンセプト

ゼロデータとは、機密データを取り扱うことなく、機密データのやり取りを行うコンセプトです。
データ管理サーバのみが機密情報を持つトークンを介したデータ送受信や、元データを暗号化させて計算結果だけを得る秘密計算などが使われます。

このゼロデータの考え方に基づいたサービスを提供しているスタートアップを2社ご紹介します。
両社ともトークンを活用したサービスです。

・VERY GOOD SECURITY（2015年、サンフランシスコ発）
顧客情報などの機密情報を管理し、必要に応じてAPI経由でトークンを発行します。VERY GOOD SECURITY（以下、VGS）のみが機密情報を所持することで顧客は機密情報を所持する必要が無くなり、データ管理コストを大きく抑えることが出来ます。
顧客はトークンを介してデータのやり取りを行い、必要に応じて社内のVGSクライアントを経由してVGSサーバに対して元データのリクエストを行います。

Data Security & Compliance Infrastructure for Modern Organizations | Very Good Security

・Skyflow（2019年、パロアルト発）
VGSと同様、機密情報を管理し、API経由でトークンを発行します。
VGSとの大きな違いとして、任意のクラウド環境上にskyflowサーバを設置できるため、重要データを国外に持ち出すことなく実装化できる点や、暗号化技術の違いが挙げられます。

Skyflow - What if privacy had an API?

４．”Governance as Code（GaC）”コンセプト

Governance as Codeとは、DevOps（開発担当者と運用担当者が連携して協力する開発手法）の開発スピードを維持しながらセキュリティ/健全性も担保していく考え方のことです。
通常、DevOpsでは、スピード感とセキュリティを両立するのは難しいことなのですが、このGaCツールを用いてセキュリティの部分をコードで記述して管理したりすることで、人の手を煩わせることなく速く正確にセキュリティチェックを実施することを可能にします。

このGaCの考え方に基づいたサービスを提供している主なスタートアップが以下の2社です。

・Stacklet（2020年、アーリントン発）
クラウドシステムを利用する際のガバナンスを利用するオープンソースCloud Custodianを開発しています。
このCloud Custodianをインストールすることで全てのコードをレビューし、更新に際してリスクのある箇所・コストが増加する箇所をハイライトし、セキュリティ基準に則っているかをレビューしてくれます。
マルチクラウドやGitOpsにも対応しているので、複数のクラウドを同時に一元的に見ることが可能です。

Stacklet - Cloud Governance as code for the enterprise

・Pulumi（2019年、パロアルト発）
Webアプリケーションなどの運用環境をコード化し、容易に複製や移行を行うIaC（Infrastructure as Code）の記述や管理を抽象化するツールを開発しています。
Python、Go、Javascriptなどを用いてIaCを記述することができ、変更履歴の可視化やログトレースも可能です。
また変更の制御をポリシーとして管理し、リスクのある変更や更新を防止してくれます。

Pulumi - Modern Infrastructure as Code

Q&Aセッション

Q1．今回ご紹介いただいたスタートアップの中で、日本企業に導入事例があるスタートアップはあるか？
A．今回紹介したスタートアップはミドルステージが主なので、グローバルに展開していく段階ではないこともあり、現状は米国での展開が主です。
日本語化に対応しているものもほぼないですが、Qiita等で見ると個人的に関心を持っているエンジニアはいるようです。

Q2. 欧米におけるセキュリティの厳しさは、今後日本へも適用されるか？
A．多くの国には、日本も含めGDPRに匹敵する個人情報保護法が既に存在します。
他方、個人データの定義がGDPRと明確に異なり、個人に紐づくデータのみを個人データとしているなど、日本の個人情報保護法とGDPRの違いがあるため、個人情報保護法が厳しくなる可能性はあります。
またメタバースでの生体データ等、まだ日本国内で定義が曖昧になっているデータについては欧米のセキュリティ基準に追随する可能性はあります。

Q3. ご紹介いただいたスタートアップは、Google Cloud等で対応しきれない部分に特化しているということなのか？
また、ソリューションで出てきた1から4までを全て一元で担うサービスはあるか？
A．もちろんGoogle CloudやAWSの中にも似たようなサービスはありますが、マルチクラウドで使っているとAWSの形式にGoogle Cloudが対応していなかったりその逆もあるため、クラウドサービス毎で管理しなければならないのが管理者の負担になり得ます。
その点で、第三者である別サービスがマルチクラウドを一元管理する方が簡単なのです。
また、紹介したスタートアップはそれぞれの強みに特化したサービスを展開しているため、1から4までを全て一元で担うサービスは現状知らないです。

Q4．資金が少ない中で、スタートアップが一番優先度高く取り組んでおかなければいけないセキュリティ対策はどれか？
A．今日ご紹介した1から4までのセキュリティ対策は、規模が大きくなりすぎて自分では管理できない段階で初めて威力を発揮するものなので、データ量がそこまで多くない段階では、クラウドサービスの中のデータ管理で十分だと思います。

Q5．ある程度の規模になった段階で、いざクラウドのセキュリティサービスを取り入れる際に、米国では1から4までどのセキュリティ対策が最初に導入されることが多いのか？
A．小規模でも取り入れられやすいのはゼロトラストです。
他は、データガバナンスは、データを触る人がたくさんいないと導入の意味がないですし、ゼロデータは、扱うデータがどれだけ機密性が高いのかに依存します。

Q6．「クラウドは怖い」という漠然とした不安を抱いている人を説得するにはどうしたら良いか？
A．政府や金融機関などの導入事例があるなど、信用が高い機関と密に連携していることを訴えることが一番効果が高いと思います。

まとめ

今回は、データセキュリティの最新トレンドについてお話いただきました。

クラウドサービスの発展に伴い、データ活用の可能性が高まる一方で、新たなセキュリティリスクを生むため、様々な角度からのセキュリティスタートアップに注目が集まっていることが分かりました。

また欧米でのGDPR/CCPAといった個人情報保護ポリシー制定に伴ってデータセキュリティ対策不足によって企業が制裁を受けるケースをご紹介いただきましたが、欧米でのサービス展開を目指している方はもちろん、今後日本でもこのような個人情報に対する取扱い規制が適用される可能性もあるので、動向に注目していかなければならないでしょう。

今後もドコモ・ベンチャーズでは毎週1回以上のペースで定期的にイベントを実施し、その内容を本noteでレポートしていきます！
引き続きイベントレポートを配信していきますので、乞うご期待ください！！

次回は、【スタートアップピッチ】「建設/製造現場で進むXRのビジネス活～現業系メタバース関連4社をご紹介～」についてのレポートです！

＞＞今後のドコモ・ベンチャーズのイベント開催情報はこちら