セキュリティとコンプライアンスの ためのテストデータ管理

Big Data時代のリスク軽減
ホワイトペーパー
セキュリティとコンプライアンスの
ためのテストデータ管理
この文書にはInformatica Corporation（Informatica）の機密情報、専有情報および企業秘密情報（以
後、｢機密情報｣とします）が含まれており、Informaticaによる事前の書面による承認を得ることな
く、いかなる手段においても、この文書をコピー、配布、複製、複写することを禁止します。
この文書の情報が正確かつ完全であるようにあらゆる試みを行っていますが、誤植または技術的に不
正確な部分が存在する可能性があります。Informaticaは、この文書に含まれる情報の使用から生じる
いかなる損失に対して一切の責任を負いません。この文書に含まれる情報は、予告なく変更されるこ
とがあります。
こうした資料で検討している製品特性をInformaticaソフトウェア製品のリリースやアップグレードへ
採用することは、リリースやアップグレードの時期と同様に、Informaticaが独自に決定します。
以下の米国特許のひとつまたは複数の特許によって保護されています：6,032,158; 5,794,246;
6,014,670; 6,339,775; 6,044,374; 6,208,990; 6,208,990; 6,850,947; 6,895,471;または以下の申請
中の米国特許：09/644,280; 10/966,046; 10/727,700。
当文書は英語で作成されたものであり、翻訳した言語の間に差異が生じる場合もありますが予めご了
承ください。
2012年9月発行
ホワイトペーパー
目次
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Big Data
におけるセキュリティリスク . . . . . . . . . . . . . . . . . . 3
Informaticaの利点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Informatica Data Subset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Informatica Persistent Data Masking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
ビジネス価値 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Informaticaソリューションの活用事例 . . . . . . . . . . . . . . . . . . 8
結論 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
セキュリティとコンプライアンスのためのテストデータ管理
1
概要
企業のデータセンターで管理されている情報量は、従来、存在しなかった新しい種類のデータによって、
十年以内1に50倍に増えると予想されています。一方、ますます複雑化するIT環境では、テスト、パッ
チ、開発、トレーニング、完全バックアップのためにデータセットの複数のコピーが必要とされていま
す。
Big Dataが増大するにつれ、IT組織内ではデータを制御できなくなるリスクが高まります。そのリスクを
軽減するためには、拡張性の高い新しい戦略を立案しなければなりません。本ホワイトペーパーでは、テ
ストデータ管理がデータプライバシーの保護、また以下の方法によって法規制へのコンプライアンスを確
保する上で、いかに重要な役割を果たしているかを考察します。
• 機密データの定義および分類
• アプリケーションおよびデータベースにおける機密データの格納場所を特定
• データサブセットの作成およびシステム全体において一貫したデータマスキングルールを適用
• データセキュリティの測定、監視、提供
本ホワイトペーパーでは、テストデータ管理のためのInformatica®ソリューションの利点について説明し
ます。拡張性、柔軟性、および操作性を考えて開発されたこのソリューションは、個人情報や機密データ
を保護し、データ侵害のリスクを軽減するためのものです。また、タイムリーかつ効果的にコンプライア
ンス要件を満たしながら、データのコストを削減することが可能です。データの価値を引き出し、投資収
益率を最大限に高めます。
1
2
IDC「The 2011 Digital Universe Study：Extracting Value from the Chaos」2011年6月
Big Data におけるセキュリティリスク
Big Dataの莫大な容量、多様性、速度は、特にデータ漏えいを起こしやすくしていると言えます。調査会
社IDCの研究によると、企業のデータセンター内に存在するデータは、ソーシャルメディア、モバイルコ
ンピューティング、デバイス間の対話などから発生する、世界中を高速に駆け巡るデータによって、2021
年までに50倍に増えると予想されています。IT組織は、外部の脅威から機密データを保護する方法につ
いて判断を迫られています。たとえば、オフィスアプリケーションの機密データの保管場所をどこにする
かという判断は難しいものです。
同時に、外部からの脅威と同様に、内部の脅威も致命的になりうる事実が判明しています。Forresterに
よれば、データ漏えいの70%は内部関係者に起因することが報告されています。2 2012年5月のPonemon
Instituteのレポートでは、問題の50%について、特権ユーザーなどアンケート対象企業の内部関係者が関
与していたと報告されています。3
ますます複雑化するIT環境は、データプライバシーに対してさらに多くの課題をもたらしています。多く
の IT 組織では、個々の事業帯をサポートするために複数のアプリケーションを開発し、維持する必要が
あります。それぞれの運用アプリケーションは、テスト、開発、トレーニング、オンサイトやリモート
バックアップを目的として、データセットの複数のコピーを必要とする場合があります。その結果、機
密データや、プライバシー規制に該当するデータへのダイレクトアクセスができる環境が数多く増えてし
まっているかもしれません。上昇するコストを緩和するために、IT組織はオフショアを活用するか、また
はサービス型ソフトウェア（SaaS）やクラウドベースの製品を導入した方が良い場合があります。これ
らのオフショア、アウトソーシング、またはクラウドモデルを最大限に活用するためには、データをマス
クする必要があります。
3
2
Forrester、 「Test Data Privacy Is Critical To Meet Compliances」、2009年10月。
Ponemon、「Safeguarding Data in Production & Development:A Survey of IT Practitioners」、2012年5月。
セキュリティとコンプライアンスのためのテストデータ管理
3
Informaticaの利点
Informaticaはデータ漏えいのリスクとデータ容量を大幅に軽減し、同時にデータプライバシー方針、規
制、指令へのコンプライアンスを改善するテストデータ管理ソリューションを提供しています。このソリ
ューションは、集中データ管理アプローチをサポートし、包括的でオープンな業界ナンバーワンの統合
プラットフォームでもある、Informatica Data Integration Platform™を基盤としています。このためIT組織
は、企業全体に対する監査やデータプライバシー方針の適用の際に、複数の事業体においてこのソリュー
ションを活用することができます。Informaticaのテストデータ管理ソリューションには、組織のデータガ
バナンスプログラムに対応し、実装を加速させるためのベストプラクティスやテンプレートを提供してい
ます。
データ量を減らしながらテスト環境におけるリスクを軽減させるこの包括的なソリューションは、一度
だけの利用用途だけではなく、以下の方法による、継続的な総合プログラムの一環としてご利用いただ
けます。
• 広範な社内および社外運用のデータベースやアプリケーションに対応
• 一貫した企業全体のデータプライバシー保護やテストデータ管理のための集中管理や管理センターを
提供
• さまざまなカスタムおよびパッケージアプリケーション、データベース、データセンターに対応する
マスキング
• 組織の成長またはデータセンターに新しいアプリケーションが導入されたことによるデータ量の増加
への対応
Informatica プラットフォームを活用することで、Informaticaのテストデータ管理ソリューションは、以
下の方法でデータライフサイクルの各パートに対応します。
1. データおよびメタデータパターンを含む機密データの定義や、分類。
2.機密データがデータベースおよびアプリケーションのどこにあるかを識別。
3.テストおよびトレーニング環境のデータサブセット作成のための方針を適用。
4.多様なコンプライアンス基準を満たすため、組織のシステム全体のデータを一貫してマスキング。
5.データが保護されていることを継続的に証明するための測定とモニタリング。
Informaticaのテストデータ管理ソリューションは、2つの製品で構成されています（Informatica Data
SubsetおよびInformatica Persistent Data Masking）。これらの製品は連携してシームレスに、あらゆる
形式――非構造型、半構造型、またはSWIFT、EDI、HIPPAなどの業界標準データ――のテストデータを
保護します。
4
Informatica Data Subset
Informatica Data Subset は、大規模で複雑なデータベースから小規模なターゲットデータベースの作成、
更新、およびデータサブセットの保護を行う、柔軟で拡張可能なエンタープライズソフトウェアです。相
互接続されたシステムに関連する運用環境の完全なデータサブセットは、非本番環境のサポートに要する
時間、労力、およびディスク容量を大幅に減らすことができます。
Informatica Data Subsetは、最も関連性が高く、高品質なアプリケーションデータだけで、運用環境デー
タを素早く複製、更新します。Informatica Data Subsetは、Big Data時代のテストと品質保証のために必
要なデータを大幅に削減します。
Informatica Persistent Data Masking
Informatica Persistent Data Maskingにより、IT組織はデータマスキング方針の作成、維持、適用を行い、
テストや運用環境において機密データを保護し、不正な社外流出を防ぐことができます。この拡張可能な
データマスキングソフトウエアは、データベース、プラットフォームを問わず、多様なデータベース、マ
スキングテスト、運用環境データから作成された開発環境において、他に類を見ない企業全体にわたる拡
張性、堅牢性、接続性を提供します。
洗練された柔軟なマスキングルールが含まれたソフトウェアにより、IT チームは、テスト、トレーニン
グ、および他の非運用環境で使用される多様なデータに対して、さまざまな種類のマスキング技術を適用
することができます。Informatica Persistent Data Maskingにより、IT組織は役割分担を維持しながら企
業全体のデータプライバシー方針を作成できます。監査担当者とセキュリティオフィサーは方針を定義
し、一方で開発者、テスター、トレーナーは、アプリケーションの機能に影響を与えることなく、豊富な
コンテクストで、機能に制限のない、現実的なデータへのアクセスを確保できます。
セキュリティとコンプライアンスのためのテストデータ管理
5
ビジネス価値
データ漏えいのリスクを最小限に抑えることは、テストデータ管理ソリューションのビジネスメリットの
1つにすぎません。現実の業績と業界ベンチマークが、複数の基準にわたるビジネス価値を定量化します。
テストデータ管理ソリューションのビジネス価値は、データプライバシーライフサイクルの各段階にマッ
ピングできます（図1を参照）。
• ࠛࡦ࠲࡯ࡊ࡜ࠗ࠭ో૕߆ࠄᯏ
ኒ࠺࡯࠲ࠍ⚛ᣧߊᬌ಴
• ৻⽾ߒߚ࠺࡯࠲ࡑࠬࠠࡦࠣ
ࡐ࡝ࠪ࡯ࠍቯ⟵
• ࠺࡯࠲ߩ࠲ࠗࡊࠍಽ㘃ߒ‫ޔ‬
࡝ࠬࠢシᷫࡐ࡝ࠪ࡯ࠍ᳿ቯ
᷹ቯߣ⋙ⷞ
• ߤߎߢ࠺࡯࠲߇ࡑࠬࠢߐࠇ
ߡ޿ࠆ߆᷹ቯ߅ࠃ߮⴫␜
• ଻⼔ߐࠇߚ࠺࡯࠲ࠍᬌ⸽
ࠦࡦࡊ࡜ࠗࠕࡦࠬࠍ⸽᣿
6
ቯ⟵
࠺࡯࠲
ࠟࡃ࠽ࡦࠬ
ㆡ↪
• ࡈࠖ࡯࡞࠼߅ࠃ߮࠹࡯ࡉ࡞ߩ
㑐ଥࠍ⼂೎
ᬌ಴
• ⇣⒳ⅣႺߦ߅ߌࠆࠣࡠ࡯ࡃ࡞
ࡐ࡝ࠪ࡯ࠍㆡ↪߅ࠃ߮⛔ว
• ෳᾖᢛวᕈߣ଻⼔ߐࠇߚ࠺࡯
࠲ߩ৻⽾ᕈࠍ⛽ᜬ
段階
利点
定義
品質を向上 - 品質保証プロセスおよび開発プロセスにおける現実的なデータを定義し、開発、作り
直し、生産休止時間を削減
テスト生産性を向上 - 最適なテストケースデータ識別に要する時間を削減し、全体的なテスト時
間を短縮
検出
リスクを軽減 - 漏えいを防止し、機密データを判別することで、被害者通知コスト、罰金、その他
のコストを削減
機密データ検出の加速 - すべてのレガシーおよびパッケージアプリケーションとシステムにおける
機密データを高速で判別し、時間とコストを削減
適用
開発生産性の向上 - アクセラレータ、組み込まれたマスキング技術を通じてより効率的にグローバ
ルマスキングルールを開発し、開発コストを削減
テスト生産性を向上 - 最適なテストケースデータ識別にかかる時間を削減し、全体的なテスト時
間を短縮
ハードウェアとインフラストラクチャコスト削減 - サブセット（テスト目的でプロダクションの小
さなコピーを作成し 、全体的な保管コストを削減）。ネットワークセキュリティの維持コストおよ
び環境保全のための他のソフトウェアのコストを削減
アウトソーシングによる節約 - データがマスクされているため、企業はアプリケーション開発やサ
ポートをアウトソース可能
測定と監視
コンプライアンスレポート生産性を向上 - どのようなマスキング方針が実行され、いつデータがマ
スクされたのか、また何がマスクされたのかを示すレポートを監査チームに提供
図 1:テストデータ管理ソリューションのビジネス価値はデータプライバシーライフサイクルの各段階に
マッピングできます。
Informaticaは顧客や業界アナリストと共に上記のアプローチを検証し、Informaticaのテストデータ管理ソ
リューションを使用してコスト削減やデータ漏えい回避を定量化するビジネス価値評価を作成しました。
このビジネス価値評価は、コスト削減について顧客から得た証言および漏えいした記録1つ当たりの平均
コストなどの業界ベンチマークに基づいています。
ビジネス価値評価は、従業員が自らテストデータ管理ソリューションを実装した場合にかかるコストと、
Informaticaソリューションを購入して実装した場合にかかるコスト（Informaticaソリューションを使用し
て達成したすべてのコスト削減分を含む）を比較します。
セキュリティとコンプライアンスのためのテストデータ管理
7
Informaticaソリューションの活用事例
実際に使用されているInformaticaのテストデータ管理ソリューションを見てみましょう。
Ochsner Health Systemは、患者治療を合理化し、患者の結果を改善し、低コストでデータ価値を高める
ために、Informaticaプラットフォームを利用しています。Ochsnerはルイジアナ南東部にある最大の医療
情報ネットワークで、同州で8つの病院と38以上の医療センターを接続しています。
この医療システムは、38以上の臨床、スケジュール、および請求システムを新しいEpic電子医療レコー
ド（EMR）システムに統合する必要に迫られていました。同社は個人の患者情報のマスキングを含むあら
ゆる種類のデータ集約型プロジェクトをサポートする必要がありました。新たなEMRシステムの展開の一
環として、安全なコンプライアンステストと開発を支援するため、Ochsnerは運用環境にある医療レコー
ド情報をマスクする必要があります。
Informaticaソリューションは、ビジネスインテリジェンスの重要なデータを1つの共有されたビューで組
織全体に提供し、データ品質問題を探知して修正、テストおよび開発におけるデータマスキングをサポー
トします。統合が完了した時点で、Ochsnerは1つのシステムとして、リアルタイムにすべての医療情報
を利用できるようになります。
他のInformaticaの顧客は、クラウドベースのアプリケーションのテスト環境でリスクを軽減するために、
このソリューションを使用しています。
ある事例で、自社運用からクラウドベースの人事システムに移行しようとしている企業は、テスト環境に
ある機密情報の人事や給与データをマスクするためにテストデータ管理ソリューションを導入しました
（‍図2を参照）。データをマスクすることで、この企業は計画していた半分の期間である、わずか2週間
で機密データを識別不可能にしました。その結果、新しいホスト型人事モデルは計画よりも3週間早く立
ち上がりました。さらに機密データをマスクして保護することで、この企業や他の企業は、マスクされて
いない情報に不正にアクセスされる心配がなくなります。それが実現すると、開発やアプリケーションサ
ポートをアウトソースすることで、さらなるコスト削減を期待できます。
ㆇ↪ⅣႺ࡙࡯ࠩ࡯
ㆇ↪ⅣႺ
㐿⊒
ࠕࡊ࡝ࠤ࡯࡚ࠪࡦ࠹ࠬ࠲࡯
図 2:Informaticaのテストデータ管理ソリューションは完全にマスクされた運用環境データのデータサブ
セットを作成。アプリケーションテスターに慎重な扱いを要する従業員情報へアクセスさせることなく、
クラウド型人事アプリケーションへの速やかな移行を実現しました。
8
結論
インフォマティカ社について
機密情報を識別し、テスト用の機能的で安全なデータサブセットを作成するテストデー
タ管理ソリューションにより、組織はBig Dataの戦略的メリットを享受でき、Big Data
を制御できなくなるリスクを軽減することができます。
Informaticaのテストデータ管理ソリューションは、高いパフｫーマンスと包括的な接続
性でこれらの要求基準を満たしながら、さまざまな法規制に対応できる監査証跡を提供
します。さらに、拡張性、柔軟性、および操作性を考えて開発されたこのソリューショ
ンにより、IT組織は個人情報や機密データの保護、データ侵害のリスクを軽減、タイム
リーかつ効果的にコンプライアンス要件を満たしながら、データのコストを削減し、デ
ータの価値を高め、投資収益率を最大化することができるようになります。
組織のテストデータ管理におけるビジネス価値評価を行う際には、Informaticaまでご連
絡ください。
Informatica Corporation
(NASDAQ:vINFA)は、データ統
合ソフトウェア業界をリードす
る独立系企業です。世界中の組
織が、Informaticaを利用してデ
ータから最大限の利益を得、競
争上の優位を獲得しています。
世界中で 4,630を超える企業
が、Informatica を使用して、
業務用システム、クラウドお
よびソーシャルネットワーク
全体に存在する情報資産をフ
ル活用しています。詳細につ
いては、03‑5229-7211(米国内
は 1-800-653-3871)にお電話いた
だくか、www.‍informatica.‍com に
アクセスしてください。
http://www.facebook.com/
Informatica Corporation,
www.‍linkedin.com/company/
informatica
および http://‍twitter.‍com/‍Informat
icaCorp でInformaticaにつながり
ます。
セキュリティとコンプライアンスのためのテストデータ管理
9
〒 162-0845 東京都新宿区市谷本村町 1-1
住友市ヶ谷ビル 13 階
電話: 03-5229-7211（代表) FAX: 03-5229-7623
http://www.informatica.com/jp
© 2010 Informatica Corporation.All rights reserved.米国で印刷。Informatica、Informatica ロゴ、および The Data Integration Company は、米国およびその他の国における Informatica
Corporation の商標または登録商標です。その他すべての企業名および製品名は、各社が所有する商号または商標です。初版発行:2010 年 10 月
IN09_0912_02108