情報セキュリティの最高責任者(CISO))はデータを中心として全てのセキュリティをカバーするポリシーを策定すべき――IT調査会社のGartnerは、複雑化するセキュリティ環境を単純化するためにビッグデータのセキュリティと従来のセキュリティを分けるべきではないとの見解を発表した。2016年までに企業・組織の80%以上がポリシーの策定に失敗し、法令を順守できずセキュリティ違反や社会的責任の追及につながる恐れがあると予想している。
その理由は、これまで企業のデータ管理がリレーショナルデータベース管理システムやファイルストレージシステムなどで行われきたものの、ビッグデータとクラウドストレージの登場で、データの格納やアクセス、処理の方法が大きく変わりつつあるためだという。CISOにはデータ中心型のセキュリティを考えていく必要性が生じているが、まだ一般的ではなく、ポリシーとその管理構造も確立されてはいないという。
Gartnerでは、CISOが信頼できるチームメンバーと連携して企業全体を網羅するデータセキュリティポリシーを策定し、データレジデンシーの要件や関係者の責任範囲、ビジネスニーズ、データプロセスニーズ、セキュリティコントロールを定義する必要があると解説する。
また、CISOがデータ中心型の監査や保護を実現しようにもそのためのソリューションが存在せず、バラバラのツールを使わざるを得ない状況にある。ベンダーはオンプレミス環境とクラウド環境の双方に適用できる製品開発に取り組んでいるが、まだユーザー側がこのレベルに到達していない。
主席リサーチ・アナリストのブライアン・ローワンス氏は、CISOが企業の部門責任者と信頼関係を構築し、データセキュリティの管理構造を確立して、部門を横断した教育・研修の必要性を明確にすべきだと解説している。
