サイバーセキュリティのフレームワークとコントロール
2018 年 6 月 21 日 Emil Hozan 著
データは貴重な資産であり、多くの市場で、生産や販売を支える大きな要素となっています。また、さまざまなデータが相関付けることで、市場の動向を判断したり、新興市場を分析したりできるようになります。このようなデータの重要性を考慮すれば、特に個人データや機密性の高いデータの取り扱いにあたっては、正しい方法での管理が極めて重要です。さらには、国家安全保障が関係する場合には、当然ながら、順守が義務付けられているさまざまな標準規格に従って、安全な方法でデータを取り扱う必要があります。
数多くの標準規格やフレームワークが存在し、それぞれの目的や詳細に相違はあるものの、データの適切かつ安全な取り扱いを目的とするものであるという点は共通しています。そこで今回は、特定のデータの処理にあたって順守しなければならない、いくつかの現行のセキュリティコントロールの概要を簡単にご紹介することにします。
このフレームワークは、米国の医療業界で広く採用されており、セキュリティ、個人情報保護、および組織が直面する法規制の課題のさまざまな側面に対応する目的で策定されたものです。組織によって複雑さが異なることを考慮して策定されたこのフレームワークには、他の標準規格(ISO、NIST、PCI、HIPAA など)の基本部分が取り入れられています。
詐欺や個人情報の盗難が深刻な脅威になっていることから、支払い情報の適切な処理は、極めて重要な課題となっています。PCI DSS は、小売業や金融機関によるセキュリティ標準やポリシーの実装を推進し、ベンダによるセキュアなペイメントソリューションの標準の理解と実装を支援することを目的としています。新たなテクノロジの導入を検討する場合であっても、一部の組織にとって最も重要なのは、選択するオプションにかかわらず、取引の安全性が引き続き保証されるようにすることでしょう。
- ISO(International Standards Organization)27000 シリーズ
この一連の標準規格は、組織の財務情報、知的財産、従業員の詳細情報、およびサードパーティに委託された情報の管理を支援することを目的としています。ISO 27001 は、情報セキュリティ管理システムの要件に関する最も有名な標準規格です。 - NIST(National Institute of Standards and Technology)
2013 年 2 月、米国大統領が、国家安全保障と経済は重要インフラストラクチャなくして成立しないことを認め、これに基づいて、EO(Executive Order、大統領令)13636 号が策定され、NIST と関係団体によって共同でフレームワークが作成されました。Special Publication 800-53 には、連邦政府機関のシステムや連邦政府機関のプログラムに参加する団体のセキュリティコントロールと個人情報の取り扱いの要件が明確に規定されています。 - COBIT(Control Objectives for Information and related Technologies)
COBIT は、最先端のビジネスの最適化と成長を目的とする、IT のガバナンスと管理のためのフレームワークとして、多くの大企業に採用されています。COBIT 5 は、企業 IT のガバナンスと管理のための唯一のビジネスフレームワークであり、情報システムの構築と信頼性の向上を支援するため、グローバルで受け入れられるさまざまな原則、慣例、分析ツール、およびモデルが採用されています。
非常に多くの標準規格が存在するため、採用すべき規格を判断するだけでも容易なことではありません。そこで、標準規格は、ガイドラインとして利用できるものであり、自社のニーズに合わせて採用できるものであることを覚えておくことを覚えておくと良いでしょう。ガイドラインの順守にあたっては、従業員の数、ビジネスの種類、使用するデータのタイプなどのさまざまな要素の影響を大きく受けることになります。そこで、ガイドラインの採用にあたって覚えておくべき重要な点として、自分にとって望ましくない状況(社会保障番号がインターネットに公開されてしまったり、自分の健康状態のデータや財務情報などがあちこちにばらまかれたりしてしまったりすること)を想像してみることをお勧めします。政府機関とのビジネスであれば、当然ながら、重大な結果を招く状況を回避する必要があります。最近採択された GDPR では、EU の市民や居住者から個人データを収集するすべての組織に対し、データを適切に処理するよう義務付けられています。– Emil Hozan
参考資料
hitrustalliance.net の寄稿者による参考資料:「Understanding and Leveraging the CSF(CSF の理解と活用)」、出典:https://hitrustalliance.net/understanding-leveraging-csf/
isaca.org の寄稿者による参考資料:「COBIT 5 Framework(COBIT 5 フレームワーク)」、出典:http://www.isaca.org/COBIT/Pages/COBIT-5-Framework-product-page.aspx
iso.org の寄稿者による参考資料:「ISO/IEC 27000 family – Information security management systems(ISO/IEC 27000 ファミリー – 情報セキュリティ管理システム)」、出典:https://www.iso.org/isoiec-27001-information-security.html合同タスクフォース トランスフォーメーションイニシアチブ ワーキンググループの寄稿者による参考資料(2013 年 4 月):「Security and Privacy Controls for Federal Information Systems and Organizations(連邦関連の情報システム/組織のセキュリティおよびプライバシーのコントロール)」、出典:https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-53r4.pdf
NIST.gov の寄稿者による参考資料:「New to Framework(新たなフレームワーク)」、出典:https://www.nist.gov/cyberframework/new-framework
pcisecuritystandards.org 関連の参考資料:「PCI SECURITY(PCI セキュリティ)」、出典:https://www.pcisecuritystandards.org/pci_security/
Stephenson, T. 著(2017 年 1 月 9 日):「Information Security Assurance:
Which framework is right for you?(情報セキュリティアシュアランス:最適なフレームワークの選び方)」出典:https://www.controlscan.com/blog/right-information-security-assurance-framework/