プロのオーガナイザー、近藤麻理恵さんはこう言うかもしれません。「何を残し、何を捨てるかを選ぶ最良の方法は、『これが喜びをもたらすのか?』と自問することです。」彼女はさらに、効果のあるものは残し、そうでないものは処分することを勧めています。この方法は倉庫の整理には適しているかもしれませんが、組織のデータ保持管理にはより包括的な推奨事項が必要です。

組織には構造化された戦略が必要です。データは重要なビジネス資産であり、セキュリティ、プライバシー、有用性、コンプライアンスに関する責任と結びついています。各ファイル、レコード、データセットは、誤った扱い方、紛失、または必要な保存期間を超えて保管された場合にリスクを伴います。

意図的なデータ保持には複数の要素を考慮する必要があります

• 安全：機密データをサイバー脅威、偶発的な漏洩、不正アクセスから守ること
• プライバシー：GDPR、CCPA、その他のデータ保護規則などの法律に基づく義務の履行
• 有用性：オペレーション、分析、報告にデータが依然として必要かどうかを判断すること
• コンプライアンス要件：法的、財務的、または業界の義務を満たすために、特定の種類の記録をどのくらいの期間保持しなければならないかを理解すること

「データに関する特定の方針とガバナンスを適用することで、組織に託された貴重なデータは必要な期間保護されつつ、不必要に保管されることもない」と、Fortra MFTのリードソリューションエンジニア、ヒース・キャス氏は述べています。「このリテンション審査はリスクを減らすだけでなく、時に不吉な監査やコンプライアンスプロセスの簡素化にも役立ちます。このプロセスを経ることで、データ保持の周りにガードレールを設けることで、運用効率化にも役立ちます」とキャスは付け加えました。

以下は、全体的なデータ管理プロセスに関する幅広い推奨事項です：

1. セキュリティ戦略にデータ保持を組み込む

これらのデータ保持のベストプラクティスを全体的なデータ管理プロセスの一部として取り入れ、ライフサイクル全体を通じてデータを保護しましょう。どのデータを保持・アーカイブ・削除するかを定義することで、セキュリティ体制を向上させるだけでなく、誤った取り扱いやサイバー犯罪に関連するリスクを最小限に抑える助けにもなります。

2. データ保護の基準としてマネージドファイル転送を活用する

マネージドファイル転送(MFT)プラットフォームは、暗号化、監視、すべてのファイル移動の監査などのデータ保護機能を組み込みで提供できます。MFTはまた、組織内のファイル転送を一元管理し、データ管理ポリシーを適用して、管理外でファイルが共有されるリスクを軽減します。

3. データの保持量を管理すること

データはしばしば組織にとって最も価値のある資産です。そのため、サイバー盗賊にとっても非常に高く評価されています。Statisticaによると、毎日驚異的な402.74テラバイトのデータが作成されており、2010年以降毎年生成されるデータ量は年々増加しています。

データは避けられず、広範囲に存在しますが、自社の組織内でこの魅力的なデータをあまりにも多く保持しすぎると、露出が増えてしまいます。どうやってカットダウンを始めればいいのでしょうか?

• このデータは今でも有効でしょうか?
• 機密情報が含まれているのでしょうか?
• 本当にどのくらいの期間、私たちのシステムに残るべきなのでしょうか?

4. データアーカイブを負債にしないよう

多くの組織はデータを無期限にアーカイブしています。しかし「永遠に」というのは現実的でも安定した定着戦略でもありません。ファイルが目的を果たした後、保持することはシステムが侵害された場合のリスクを増やすだけです。「良いもの」がもっとたくさんあります。

結局のところ、すべてのデータはリスクがあり、もう必要でなければ削除すべきです。手元のデータが少なければ少ないほど、セキュリティリスクは低くなります。適切なプロトコルを支援するために、NISTは機密データに基づくデータ削除と破棄の対処方法に関する推奨事項を提供しています。また、データライフサイクルの詳細を確認することも賢明です。

この戦略の一環として、古いファイルの削除のリズム設定も含まれます。「ラストアクセス」から30日以内にルールを設け、以前にアクセスしたすべてのデータはアーカイブまたは暗号化される――さらに良いのはオフサイトに保存される。そして、データカテゴリ(機密、機密、公開など)を積極的に作成・遵守することで、何が残るかを明確に決める助けとなります。

5. 保持する前に分類すること

保持ポリシーを意味のある適用にする前に、組織はどのような種類のデータを持っているのかを正確に理解しなければなりません。分類とは、以下のような属性に基づいてデータをタグ付けまたは分類するプロセスです：

• 機密性(例:個人特定情報、財務記録)
• コンプライアンス義務(例:HIPAA、GDPR、PCI DSS)
• ビジネスバリュー(例:戦略的計画、顧客インサイト)

データを分類することで、保持方針が的確かつ適切に行われ、不完全保持(準拠違反のリスク)や過剰保持(ストレージコストやセキュリティリスクの増加)を回避できます。

6. 追加の防御のためのセキュリティ層

MFTはすでに暗号化と監査ログを提供していますが、層を増やすことで保持の安全性が向上します：

• インジェクションやDoS(サービス拒否)攻撃をブロックするためのウェブアプリケーションファイアウォール(WAF)
• 受信コンテンツをフィルタリングするためのアンチウイルスエンジン
• GoAnywhereに内蔵されたThreat Brainという機能による先手的なセキュリティは、IP評判を継続的にチェックし、悪評を持つ者を環境に入る前にブロックします。
• データ流出を保護するためのSecure ICAPゲートウェイを備えたDLP(データ損失防止)ツール
• 超機密ファイルの細かい制御のためのデジタル著作権管理(DRM)

7. データ保持ポリシーの正式化

実用的で強制力のある方針は、組織全体の一貫性を確保するのに役立ちます。
始め方：

• コンプライアンスおよびビジネス関係者との会議
• 保持すべきデータの種類、保存期間、廃棄手続きの概要
• 最小権限原則を用いた役割ベースのアクセス制御の設定

8. MFTワークフローを活用して定着を自動化する

GoAnywhere MFTのようなMFT自動化は、スケジュールやファイル・フォルダのモニターを作成し、トリガーに応答してデータ保持スケジュールの定期的なチェックを支援します。分類ツールを適用すれば、従業員は例えばフォルダ内のデータが1年以上前のものかどうかを確認し、データの所有者に保持ポリシーについて通知してから削除することができます。

GoAnywhere MFTを使えば、複雑で多段階の高度なワークフローを事前に構築することも可能です。

• コンプライアンスが求める限り、ファイルは保持してください
• ファイルが保存制限を超えた場合、データ所有者に通知してください
• トリガー削除または自動セキュアアーカイブ
• 削除やアーカイブスケジュールを自動化し、人為的ミスを排除しましょう

9. 安全にアーカイブし、徹底的に削除する

すべてのアーカイブが同じように作られているわけではありません。ベストプラクティスには以下が含まれます：

• 不正な読み込みを防ぐ一方通行ストレージ
• アーカイブ前の暗号化(PGP/GPG)、鍵はMFTプラットフォーム外に保存されます
• 鍵の保管と高度なワークフロー統合による最高セキュリティ

そして削除の時には、OSレベルでの完全な削除方法と「通常の」削除の違いなど、安全な削除方法を検討してください。これらは努力すれば回復可能です。

最高レベルのデータ除去では、データが書き込まれたディスクの物理的な破壊も選択肢の一つです。

これらの提言を踏まえ、データが喜びをもたらすかどうかを単に尋ねるのではなく(データはめったに喜びを感じません)。代わりに、それがまだ意味があるのか、それとも保持することが組織の危険にさらすのかを問いかけてください。