Tenable ブログ
ブログ通知を受信する幅広いクラウドセキュリティに影響を与える 7 つの規制とコンプライアンスフレームワーク
スケーラブルかつ一貫性のある方法で規制要件とコンプライアンス要件を遵守する責任を負うセキュリティチームは、多くの場合、一般的な法令ガイドラインや法的統制を具体的なポリシー、ツール、プロセスに変換するという難題に挑むことになります。
サイバー攻撃は、企業に財務リスクやブランドリスクをもたらすだけではありません。 サイバー攻撃は重要なサプライチェーンを妨害し、重要インフラが攻撃された場合には人命の損失をもたらす可能性さえある、国家の安全保障にかかわる大問題でもあります。
ウクライナにおける戦争などの地政学的な要因は、この 1 年で国家支援攻撃を増長させてきました。 欧州連合サイバーセキュリティ機関 (ENISA) の脅威状況レポート (2022年) によると、ウクライナを支援する 42 か国の 128 の政府機関が、国家支援の攻撃者による攻撃の標的となりました。 標的となったのは、米国、ポーランド、デンマーク、ノルウェー、フィンランド、スウェーデン、トルコ、その他の NATO 加盟国などです。
世界中の政府や業界団体は、攻撃の阻止を目的とした法令や規制面での環境整備の強化に長年取り組んでいます。 18,000 を超える公的機関や民間団体に影響を与えた 2020 年の SolarWinds 社製ソフトウェアへのサプライチェーン攻撃や、コロニアルパイプラインのような重要インフラ事業者を標的とした攻撃などの最近の事例が、新たな規制の制定に拍車をかけています。
アタックサーフェスのあらゆる側面がリスクにさらされている中で、クラウドインフラやアプリケーションといった分野が、特に標的とされるようになりました。 欧州連合域内市場担当委員である Thierry Breton 氏は、LinkedIn ブログで「クラウドインフラに対する攻撃は、1 年で 5 倍に増えている」と述べています。
「クラウドインフラに対する攻撃は、1 年で 5 倍に増えています」
—欧州連合域内市場担当委員、Thierry Breton 氏
このブログでは、以下のトピックについて説明します。
- 法令の増加によるリスクの軽減
- 規制および罰則とクラウドセキュリティへの影響
- リスクのフレームワーク、コントロール、ベンチマークがどのようにコンプライアンスをサポートするか
- クラウドセキュリティ管理とコンプライアンスの自動化: Tenable がお手伝いできること
法令の増加によるリスクの軽減
サイバー脅威の増加を受け、政府は要件や法令の制定を進めています。 例えば、米国の大統領令 14028 は、ソフトウェアサプライチェーンのセキュリティの向上に焦点を当てています。 欧州連合では、2022 年 9 月に欧州委員会によって発表されたサイバーレジリエンス法によって、市場に出るハードウェア製品やソフトウェア製品の脆弱性を確実に減らすことを目指しています。 このような法令は、政府機関だけでなく、政府機関と取引のある企業にまで、新たな要件を幅広く課します。こうした企業には、クラウドサービスプロバイダ、ソフトウェア開発企業、サービスとしてのソフトウェア (SaaS) プロバイダ、ハードウェア製造業者、そしてデジタル製品の作成やデジタルサービスの提供を行う事実上すべての企業が含まれます。
米国における法令と規制の変更は、連邦政府にとどまらず、州政府や地方自治体にも波及しています。 同様に、EU 諸国が EU の規制に加え、独自の要件を設けている場合もあります。 例えば米国では、過去 2 年間で 36 の州が新たなサイバーセキュリティ法を制定しました。公共機関はサイバー脅威のリスク軽減を目指しており、さらに多くの州で制定に向けた取り組みが進行中です。
各業界では政府の規制に加え、セキュリティ態勢の強化や消費者や投資家に対するリスクの最小化に向けた、独自の義務の規定も開始しています。 その一例が、クレジットカード業界における PCI DSS です。
こうした義務を履行しなければならないセキュリティチームにとっての課題は、汎用的であることが多い法令ガイドラインや法的統制を、具体的なポリシー、ツール、プロセスに変換することです。 さらに、セキュリティチームはスケーラブルかつ一貫性のある方法で、これらのポリシーを企業全体に適用する責任も負います。 多国籍企業のセキュリティチームの場合、こうした課題は大幅に複雑化します。
規制環境は、従来の IT インフラやオペレーショナルテクノロジーを含む、サイバーセキュリティのあらゆる側面に影響を与えます。 規制環境がクラウドセキュリティにどのような影響を与えるのかを理解するには、まず、どの規制が自社の固有のビジネスに適用されるのかを理解する必要があります。 次の表は、いくつかの規制と広範にわたるクラウドセキュリティへの影響、さらにコンプライアンス違反に伴うリスクを示しています。 規制および罰則とクラウドセキュリティへの影響
規制 |
出典 |
要件 |
罰則 |
事例 |
一般データ保護規則 (GDPR) |
2016 年に欧州委員会によって承認された GDPR は、欧州連合に居住するすべての住民の個人情報の収集と処理にデータ保護ガイドラインを適用することを目指している。 |
EU 居住者に積極的にマーケティングを行っているかどうかに関わらず、欧州からの訪問者を呼び込むウェブサイトを持つすべての事業体に適用される。 データ漏洩は 72 時間以内に報告しなければならない。 |
最大 2,000 万ユーロ、または企業の総売上高の 4% (いずれか大きい方) の罰金が科される。 |
2020 年には British Airways が不十分なセキュリティ管理により、2,600 万ドルの罰金を科された。この侵害により、429,000 件に及ぶ顧客の記録が漏洩した。 |
ニューヨーク州のサイバーセキュリティ規制、第 500 項 (23 NY CRR 500) |
2017 年、ニューヨーク州金融サービス局は、消費者の保護を目的として規制対象機関に対する最低限のサイバーセキュリティ基準を定めたサイバーセキュリティ規制 第 500 項 (23 NYCRR 500) の施行を開始した。 |
この規制は 3,000 近くの金融機関に適用され、NIST サイバーセキュリティフレームワークに沿ったサイバーセキュリティ対策の導入を義務付ける。 |
サイバーセキュリティ事案は 72 時間以内に報告しなければならない。 コンプライアンスに違反した場合は、業界に応じてコンプライアンス違反行為 1 件につき最低 500 ドル/日から 2,500 ドルまでの範囲で罰金やその他の罰則が科される可能性がある。 意図的な違反や期間に基づき罰則が重くなる可能性がある。 |
2022 年には Carnival Companies が 4 件の別個の侵害の結果として 500 万ドルの罰金を科され、複数の州での和解に 125 万ドルを支払わねばならなかった。さらには、保険販売のライセンスも失った。 この侵害は 2019 年から 2022 年の間に発生し、仕掛けられたランサムウェア攻撃とフィッシング攻撃により消費者と従業員の非公開の個人情報 (NPI) が漏洩した。 |
HIPAA (医療保険の携行性と責任に関する法律) |
米国議会を通過した HIPAA プライバシー規則の目的は、医療記録などの電子的に保護された医療情報 (ePHI) の、患者の明示的な同意を得ていない使用および開示を制限することである。 |
この規制は、医療機関、医療保険、ヘルスケアに関する電子的な記録を行うヘルスケア関連の情報センターに適用される。 |
侵害に対する罰則は、民事と刑事の両面から科される可能性がある。 民事では、年間 190 万ドルを上限として、違反 1 件につき 63,000 ドルまでの範囲で科される可能性がある。 刑事では、金銭的利益を目的として情報を販売した場合、最大 10 万ドルの罰金と 10 年間の禁固刑に処せられる可能性がある。 |
2021 年には Excellus Health Plan が必要なセキュリティ管理を実施せず、ハッカーが 1 年以上にわたり 930 万人の個人記録にアクセスできていたため、510 万ドルの罰金を科された。 |
PCI DSS (クレジットカード業界のデータセキュリティ基準) |
2004 年 12 月に制定された PCI DSS は、カード会員データをより効果的に管理してクレジットカードの不正使用を減らすことを目的に創設された業界主導の取り組みである。 PCI DSS は、American Express、Visa、Mastercard、Discover などを含む PCI SSC (PCI セキュリティ基準協議会) によって制定された。 |
連邦規制ではないが、この業界基準はカード会員データの保存、処理、または転送 (あるいはそのすべて) を行うすべての事業体に強制される。 この基準には、クラウド環境におけるクラウドテクノロジーの使用とコントロールの維持に関するガイダンスを提供する、具体的なクラウドコンピューティングのガイドラインが含まれている。 |
データ侵害に遭ったコンプライアンス違反の企業は、最大 50 万ドルの罰金を科され、加盟店契約が取り消され、被害を受ける可能性がある。 |
2017 年には Target が 47 の州での和解に 1,850 万ドルの支払いを要求され、その弁護士費用として 2 億 200 万ドルを費やした。 4,000 万件のクレジットカードの記録が流出したこの侵害は、最もよく知られた PCI DSS 侵害の 1 つである。 |
出典:Tenable、2023 年 4 月
リスクのフレームワーク、コントロール、ベンチマークがどのように役立つか
幸いなことに、 政府や業界が出資する機関が数多く創設され、企業や政府機関によるサイバーセキュリティ態勢の強化を支援しています。 そうした機関はベストプラクティスを集め、リスクのフレームワークを定義するほか、サイバーセキュリティコントロールやサイバーセキュリティベンチマークをサポートします。
フレームワークは、リスクの評価と管理に役立つ一連のプロセス、ベストプラクティス、仕様を提供します。 そして、効果的なサイバーセキュリティ対策の基盤を構築します。
コントロールは、個別のカテゴリのリスクを軽減するために「行われるべきこと」を明示します。 コントロールカテゴリの例としては、ソフトウェア資産のインベントリ、データ保護、安全な設定などが挙げられます。 それぞれのコントロールカテゴリには、どのような措置が講じられるべきかを概説した一連の保護対策が含まれています。
ベンチマークはコントロールの概念をもう一つ上のレベルに引き上げて、クラウドのインスタンス、アプリケーション、アイデンティティといった特定のテクノロジーを安全に導入して設定する方法を示す規範的なガイダンスを提供します。
一部の基準は特定の政府機関によって策定されることもありますが、ほとんどの基準は策定した国や機関を問わず広範に適用できます。また、その多くはコントロールと直接連携しているか、重複しています。 以下に、注目すべき点を 5 つ示します。
米国国立標準技術研究所サイバーセキュリティフレームワーク
米国商務省の一部である 米国国立標準技術研究所 (NIST) は、数多くのサイバーセキュリティ基準やベストプラクティスを策定しています。これには、40 ページの資料である NIST サイバーセキュリティフレームワークも含まれます。このフレームワークは、サイバーセキュリティリスクの優先順位付け、管理、削減を行う方法の概要を示すガイダンスを提供します。 このフレームワークは、規範的なコントロールに関する多くの詳細な資料を参照しています。 そのうちの最も包括的な資料の 1 つが、NIST 特別刊行物 800-53 (第 5 版) です。 この 460 ページの刊行物は、クラウドベースのシステムやその他のコンピューティングプラットフォーム (汎用のコンピューティングシステム、サイバー物理システム、モバイルデバイス、IoT デバイスなど) のきめ細かいコントロールについて説明しています。 NIST は HIPAA (医療保険の携行性と責任に関する法律) のセキュリティ規則の施行など、特定の規制への準拠に役立つサイバーセキュリティのリソースガイドも発行しています。
CIS Benchmarks
CIS (Center for Internet Security) は IT システムとデータを保護するための、クラウドソースの世界的に認められたベストプラクティスを策定する非営利団体です。 NIST サイバーセキュリティフレームワークと同様に、CIS クリティカルセキュリティコントロール (CIS Controls) は、サイバー攻撃を軽減するよう作られている、優先順位に基づいた一連の保護対策です。 コントロールは、NYDFS 500 のようなさまざまな規制の要件や業界が定める要件にマップされています。 さらに、CIS ベンチマークは Amazon Web Services (AWS)、Microsoft Azure クラウド、Google Cloud Platform (GCP) などの、25 を超えるさまざまなベンダー製品群に関する個別の設定ガイドラインを提供します。 ベンチマークは、特定のベンダー製品の推奨設定を実現するために実行しなければならない規範的な手順を示すという点で、非常に優れています。
国際標準化機構 27001 (ISO 27001)
CIS と同様に、国際標準化機構 (ISO) は合意に基づいたベストプラクティスと規格を策定する独立した国際機構です。 最もよく知られている規格の 1 つに、ISO 27001 があります。これは、情報セキュリティマネジメントシステム (ISMS) に関する規格として広く認知されています。 ISO によって直接提供されるものではありませんが、企業は ISO 27001 に準拠しているという第三者認証を取得できます。 ISO 27001 のような規格と NIST コントロールフレームワークには多くの重複がありますが、違いもあります。 一般的に、NIST はより細かいコントロールを提供しますが、それ自体では ISO 27001 認証に必要なあらゆる種類の要件に対応することはできません。 その意味では、これら 2 つのフレームワークは互いに補完し合うものです。
クラウドセキュリティ管理とコンプライアンスの自動化: Tenable がお手伝いできること
ここで取り上げている規制、コントロール、ベンチマークは、企業や政府機関が対応しなければならない多くの事項のほんの一部に過ぎません。 このことが、専門知識の拡充を難しくしています。
20 年以上にわたって、Tenable Research は規制や基準に関する専門知識を活用し、企業が固有のセキュリティ要件を満たすことができるようにお手伝いをしてきました。 これと同じ専門知識が、事前定義済みの監査、ポリシー、コンプライアンスレポートといった形で多数の Tenable ソリューションに組み込まれています。 たとえば、Tenable One のクラウドセキュリティは、NIST 800-53、AWS CIS ベンチマーク、GDPR といった主要なコントロール、ベンチマーク、規制にそれぞれ直接マップされる標準装備のポリシーを提供し、企業におけるマルチクラウド環境全体のクラウドセキュリティ態勢の強化を支援します。
これにより、ありとあらゆる基準や規制に関する専門知識の必要性を大幅に減らすことができます。 セキュリティスタッフは、ドロップダウンメニューからポリシーを選択して、それに準拠していない設定をスキャンすることで、特定の基準や規制に対するポリシーを適用できます。 さらに、準拠していない設定が導入されないようにする事前対応型のガードレールを構築することもできます。 Tenable One のクラウドセキュリティで利用できる、各種のコンプライアンスレポート機能の例を以下に示します。
コンプライアンスレポート: AWS CIS 1.2
出典:Tenable、2023 年 4 月
継続的なコンプライアンス要件を満たすために、メニューベースのアプローチを用いて、特定の基準や規制に関するコンプライアンスレポートを選択して実行し、それらのレポートを修正対象となった資産の所有者、GRC (ガバナンス、リスク、コンプライアンス) チーム、外部監査員と共有することができます。
コンプライアンスレポート: GDPR
出典:Tenable、2023 年 4 月
Tenable One のクラウドセキュリティは、マルチクラウドに加えてハイブリッド環境もサポートするため、IT やプライベートクラウドを含むオンプレミス環境に対してポリシーの監査を実行し、コンプライアンスのレポートを作成することで、コンプライアンスをエンドツーエンドで把握できます。
Tenable がお手伝いできることについて詳しくは、Tenable Cloud Security のコーヒーブレイクシリーズのエピソード 3 マルチクラウドコンプライアンスの課題をご覧ください。このエピソードでは、Tenable の情報セキュリティディレクターである Phillip Hayes より、Tenable が当社の SaaS ベースのソリューションのマルチクラウドコンプライアンスにどのように対応しているかについて説明しています。さらに、実際のポリシーとコンプライアンスのレポートのライブデモもご覧いただけます。
もっと詳しく
- クラウドセキュリティ態勢管理に関する Tenable ソリューションのページを見る: tenable.com/cspm
- ソリューションのインフォグラフィックを見る: 今日のハイブリッド型マルチクラウドの世界に対応した拡張性の高いクラウドセキュリティ
関連記事
- Cloud
- Compliance
- Cloud
- Exposure Management
- Government