データ基盤のセキュリティ、5つの鉄則をクラウド横断で考える
対象読者
データエンジニア、クラウドエンジニア、データ基盤の設計・運用にこれから関わる方
TL;DR
データ基盤は「データを集めて使える形にする仕組み」のこと。そのセキュリティは ①アクセス制御 / ②通信の暗号化 / ③データマスキング / ④データの暗号化(保管時) / ⑤監視とロギング の5つが柱。クラウドのマネージドサービスを使いこなし、"多層防御"を実装するのがキモです!
1. データ基盤って、そもそも何?
最近よく聞く「データ基盤」って、結局なんなの?という方も多いかもしれません。
超ざっくり言うと、社内のいろんな場所(各システムのDB、ファイルストレージなど)に散らばっているデータを、ビジネスに活用するために「収集・蓄積・加工」する一連の仕組みのことです。会社のデータを美味しく料理するための「セントラルキッチン」をイメージすると分かりやすいかもしれません。
データ基盤の必要性イメージ
データ基盤の構築の流れ(一例)
- 食材を仕入れる (収集): バラバラのデータを集めてきます。
- 食材を保管・下ごしらえする (蓄積・加工): データレイクやデータウェアハウス(DWH)にデータを保存し、分析しやすいように整理します。
- 料理を作って提供する (活用): BIツールで可視化したり、AIの学習データに使ったりします。
この「セントラルキッチン」があるおかげで、データに基づいた意思決定(データドリブン経営)が可能になるわけです。(最新のデータ プラットフォームの設計)
2. なぜセキュリティが重要なのか?
「データは21世紀の石油だ!」なんて言われますが、石油と同じで、漏れたら大惨事です。データ基盤という「セントラルキッチン」には、企業の機密情報や顧客の個人情報という超重要な食材がたくさん保管されています。
もし、このキッチンに誰でも入れてしまったり、食材の運び方が雑だったりしたらどうでしょう?食中毒(情報漏洩)が起きて、会社の信用はガタ落ちです。
だからこそ、設計段階からセキュリティをガチガチに固めておく必要があります。具体的には、以下の4つの「守るべき場所」に分解して考えます。
必要なセキュリティ要素
-
入口 (誰がキッチンに入れる?) →
アクセス制御 -
通り道 (食材の搬入経路は安全?) →
通信の暗号化 -
中身 (食材そのものは大丈夫?) →
データマスキングとデータの暗号化 -
足跡 (誰が何を使ったか追える?) →
監視とロギング
この記事では、この考え方に基づいたセキュリティの5大要素を、クラウドでどう実現するかに焦点を当てて解説していきます。
3. セキュリティの5大要素とクラウドでの実践
① アクセス制御 - 「厨房に入れるのは許可されたシェフだけ!」
一言で言うと:「誰が」「どのデータに」「何をして良いか」を管理する、セキュリティのド基本です。
とにかく「最小権限の原則」がすべて。見習いシェフが、秘伝のタレのレシピ(機密データ)にアクセスできる必要はないですよね?役割(ロール)に応じて、本当に必要な権限だけを割り当てます。([AWS Well-Architected])
クラウドでは、IDとアクセス権を管理するサービスを使ってこれを実現します。
- 誰が(認証):ユーザー名/パスワード、APIキー、多要素認証などで本人確認。
- 何を(認可):定義された「ロール」や「ポリシー」に基づいて、許可された操作(読み取り、書き込みなど)だけを実行可能にします。
クラウドでの実現方法
- ID・ロール管理: AWS IAM (IAM ドキュメント), GC Cloud IAM (Cloud Identity and Access Management のドキュメント), Azure Active Directory (Azure AD) (Azure Active Directory のドキュメント)
- データレイクの権限管理: AWS Lake Formation
- DB/DWHでの詳細制御: BigQueryの列/行レベル制御, Azure Synapse Analyticsのアクセス制御
② 通信の暗号化 - 「食材の搬入経路」をガッチリ固める
一言で言うと:データがネットワーク上を移動している最中の盗聴や改ざんを防ぐための対策です。
産地(オンプレDB)からセントラルキッチン(クラウド)に食材を運ぶトラックの荷台が、カギもかからず丸見えだったら危ないですよね。データの移動経路も同じです。
- インターネット経由の通信: TLS/SSL (HTTPS) で暗号化するのが基本です。
- 拠点間のプライベートな通信: VPNや専用線接続を利用して、外部から見えない安全なトンネルを確保します。
クラウドでの実現方法
- TLS/SSL証明書管理: AWS Certificate Manager (ACM), Google マネージド証明書, Azure App Service証明書
- VPN/専用線: AWS VPN / Direct Connect, GC Cloud VPN / Interconnect (Cloud VPN の概要), Azure VPN Gateway / ExpressRoute (Azure ExpressRoute とは)
③ データマスキング - 「高級食材の名前を隠す」
一言で言うと:個人情報やクレジットカード番号みたいな機密データを、意味のない別の値(***とかダミーデータ)に置き換える技術です。
「料理の練習をしたいけど、本物の高級食材(本番データ)を使うのはもったいないし危ない…」という時に、そっくりな練習用食材(マスキングデータ)を用意するイメージです。情報漏洩リスクを大幅に下げつつ、リアルなデータ構造でテストや分析ができます。
クラウドでの実現方法
- GCのCloud Data Loss Prevention (DLP) は、データの中から自動で機密情報を見つけてマスキングしてくれる代表的なサービスです。(Cloud Data Loss Prevention のドキュメント)
- 他にも、AWS Macieによるデータ検出とGlue DataBrewでの変換処理、AzureのDynamic Data Masking(SQL DB向け)やAzure Purviewによるデータ分類などが利用できます。
④ データの暗号化(保管時) - 「食材保管庫の金庫」
一言で言うと:ストレージに保存されているデータそのものを暗号化すること(Encryption at Rest)。
万が一、泥棒がセントラルキッチンの冷蔵庫(ストレージ)をこじ開けても、中の食材が頑丈な金庫に入っていれば盗まれません。データも同じで、保管されている状態で暗号化しておけば、万が一漏れても中身を読み取られることはありません。
主要なクラウドストレージサービスでは、デフォルトでサーバサイド暗号化が有効になっていることがほとんどです。(GC ドキュメント: 保存時の暗号化)
クラウドでの実現方法
- 鍵管理サービス: AWS Key Management Service (KMS) (AWS Key Management Service とは), GC Cloud KMS, Azure Key Vault (Azure Key Vault の概要)
- これらを使って、各ストレージサービス(S3, Cloud Storage, Blob Storageなど)の暗号化キーをより厳密に管理できます。
⑤ 監視とロギング - 「厨房の監視カメラと入退室記録」
一言で言うと:「いつ、誰が、何をしたか」をすべて記録し、追跡可能にすることです。
何か問題が起きたとき、監視カメラの映像や入退室記録(ログ)がなければ原因究明もできません。また、普段から映像をチェックすることで、不審な動きを早期に検知できます。これは、技術的な対策だけでなく、監査対応のためにも絶対に必要です。
クラウドでの実現方法
- 監査ログ: AWS CloudTrail (AWS CloudTrail とは), GC Cloud Audit Logs (Cloud Audit Logs の概要), Azure Monitor
- ログの統合分析・脅威検出 (SIEM): AWS GuardDuty, GC Security Command Center, Microsoft Sentinel
4. よくあるアンチパターン
- 「とりあえず全員に料理長権限を…」: 最小権限の原則とは真逆。事故の元です。
- 「本番の顧客リストをそのまま開発用にコピー」: マスキングしましょう。情報漏洩の温床です。
- 「金庫はあるけど鍵は机の上」: 鍵の管理がセキュリティの肝。KMS等を使いましょう。
- 「監視カメラはついてるけど録画を見てない」: 宝の持ち腐れ。異常検知のアラート設定は必須です。
5. まとめ
- データ基盤のセキュリティは、5つの要素(アクセス制御、通信、マスキング、暗号化、ロギング)を組み合わせた「多層防御」で考えるのが基本です。
- クラウドの強力なマネージドサービスを積極的に活用することで、これらの対策を効率的かつ堅牢に実装できます。
- 設計段階からセキュリティを意識することが、将来の事故を防ぐ一番の近道。この記事が、皆さんのデータ基盤設計の一助となれば幸いです!
6. 参考ドキュメント
- AWS Well-Architected Framework (Security Pillar) ([AWS ドキュメント])
- Google Cloud Well-Architected Framework (セキュリティ) ([GC ドキュメント: Well-Architected])
- Azure Well-Architected Framework (セキュリティ) ([Microsoft Learn])
: https://cloud.google.com/solutions/designing-a-modern-data-platform?hl=ja "最新のデータ プラットフォームの設計"
: https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/security-pillar/welcome.html "セキュリティの柱 - AWS Well-Architected フレームワーク"
: https://docs.aws.amazon.com/ja_jp/iam/index.html "IAM ドキュメント"
: https://cloud.google.com/iam/docs?hl=ja "Cloud Identity and Access Management のドキュメント"
: https://learn.microsoft.com/ja-jp/azure/active-directory/ "Azure Active Directory のドキュメント"
: https://cloud.google.com/network-connectivity/docs/vpn/concepts/overview?hl=ja "Cloud VPN の概要"
: https://learn.microsoft.com/ja-jp/azure/expressroute/ "Azure ExpressRoute とは"
: https://cloud.google.com/dlp/docs?hl=ja "Cloud Data Loss Prevention のドキュメント"
: https://cloud.google.com/docs/security/encryption-at-rest?hl=ja "Google Cloud の保存時の暗号化"
: https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/overview.html "AWS Key Management Service とは"
: https://learn.microsoft.com/ja-jp/azure/key-vault/general/overview "Azure Key Vault の概要"
: https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-user-guide.html "AWS CloudTrail とは"
: https://cloud.google.com/logging/docs/audit?hl=ja "Cloud Audit Logs の概要"
: https://cloud.google.com/architecture/framework/security?hl=ja "セキュリティ | Google Cloud Well-Architected Framework"
: https://learn.microsoft.com/ja-jp/azure/well-architected/security/ "Azure Well-Architected Framework のセキュリティ"