幅広いクラウドセキュリティに影響を与える 7 つの規制とコンプライアンスフレームワーク

スケーラブルかつ一貫性のある方法で規制要件とコンプライアンス要件を遵守する責任を負うセキュリティチームは、多くの場合、一般的な法令ガイドラインや法的統制を具体的なポリシー、ツール、プロセスに変換するという難題に挑むことになります。

サイバー攻撃は、企業に財務リスクやブランドリスクをもたらすだけではありません。 サイバー攻撃は重要なサプライチェーンを妨害し、重要インフラが攻撃された場合には人命の損失をもたらす可能性さえある、国家の安全保障にかかわる大問題でもあります。

ウクライナにおける戦争などの地政学的な要因は、この 1 年で国家支援攻撃を増長させてきました。 欧州連合サイバーセキュリティ機関 (ENISA) の脅威状況レポート (2022年) によると、ウクライナを支援する 42 か国の 128 の政府機関が、国家支援の攻撃者による攻撃の標的となりました。 標的となったのは、米国、ポーランド、デンマーク、ノルウェー、フィンランド、スウェーデン、トルコ、その他の NATO 加盟国などです。

世界中の政府や業界団体は、攻撃の阻止を目的とした法令や規制面での環境整備の強化に長年取り組んでいます。 18,000 を超える公的機関や民間団体に影響を与えた 2020 年の SolarWinds 社製ソフトウェアへのサプライチェーン攻撃や、コロニアルパイプラインのような重要インフラ事業者を標的とした攻撃などの最近の事例が、新たな規制の制定に拍車をかけています。

アタックサーフェスのあらゆる側面がリスクにさらされている中で、クラウドインフラやアプリケーションといった分野が、特に標的とされるようになりました。 欧州連合域内市場担当委員である Thierry Breton 氏は、LinkedIn ブログで「クラウドインフラに対する攻撃は、1 年で 5 倍に増えている」と述べています。

「クラウドインフラに対する攻撃は、1 年で 5 倍に増えています」

—欧州連合域内市場担当委員、Thierry Breton 氏

このブログでは、以下のトピックについて説明します。

• 法令の増加によるリスクの軽減
• 規制および罰則とクラウドセキュリティへの影響
• リスクのフレームワーク、コントロール、ベンチマークがどのようにコンプライアンスをサポートするか
• クラウドセキュリティ管理とコンプライアンスの自動化: Tenable がお手伝いできること

法令の増加によるリスクの軽減

サイバー脅威の増加を受け、政府は要件や法令の制定を進めています。 例えば、米国の大統領令 14028 は、ソフトウェアサプライチェーンのセキュリティの向上に焦点を当てています。 欧州連合では、2022 年 9 月に欧州委員会によって発表されたサイバーレジリエンス法によって、市場に出るハードウェア製品やソフトウェア製品の脆弱性を確実に減らすことを目指しています。 このような法令は、政府機関だけでなく、政府機関と取引のある企業にまで、新たな要件を幅広く課します。こうした企業には、クラウドサービスプロバイダ、ソフトウェア開発企業、サービスとしてのソフトウェア (SaaS) プロバイダ、ハードウェア製造業者、そしてデジタル製品の作成やデジタルサービスの提供を行う事実上すべての企業が含まれます。

米国における法令と規制の変更は、連邦政府にとどまらず、州政府や地方自治体にも波及しています。 同様に、EU 諸国が EU の規制に加え、独自の要件を設けている場合もあります。 例えば米国では、過去 2 年間で 36 の州が新たなサイバーセキュリティ法を制定しました。公共機関はサイバー脅威のリスク軽減を目指しており、さらに多くの州で制定に向けた取り組みが進行中です。

各業界では政府の規制に加え、セキュリティ態勢の強化や消費者や投資家に対するリスクの最小化に向けた、独自の義務の規定も開始しています。 その一例が、クレジットカード業界における PCI DSS です。

こうした義務を履行しなければならないセキュリティチームにとっての課題は、汎用的であることが多い法令ガイドラインや法的統制を、具体的なポリシー、ツール、プロセスに変換することです。 さらに、セキュリティチームはスケーラブルかつ一貫性のある方法で、これらのポリシーを企業全体に適用する責任も負います。 多国籍企業のセキュリティチームの場合、こうした課題は大幅に複雑化します。

規制環境は、従来の IT インフラやオペレーショナルテクノロジーを含む、サイバーセキュリティのあらゆる側面に影響を与えます。 規制環境がクラウドセキュリティにどのような影響を与えるのかを理解するには、まず、どの規制が自社の固有のビジネスに適用されるのかを理解する必要があります。 次の表は、いくつかの規制と広範にわたるクラウドセキュリティへの影響、さらにコンプライアンス違反に伴うリスクを示しています。 規制および罰則とクラウドセキュリティへの影響

出典:Tenable、2023 年 4 月

リスクのフレームワーク、コントロール、ベンチマークがどのように役立つか

幸いなことに、 政府や業界が出資する機関が数多く創設され、企業や政府機関によるサイバーセキュリティ態勢の強化を支援しています。 そうした機関はベストプラクティスを集め、リスクのフレームワークを定義するほか、サイバーセキュリティコントロールやサイバーセキュリティベンチマークをサポートします。

フレームワークは、リスクの評価と管理に役立つ一連のプロセス、ベストプラクティス、仕様を提供します。 そして、効果的なサイバーセキュリティ対策の基盤を構築します。

コントロールは、個別のカテゴリのリスクを軽減するために「行われるべきこと」を明示します。 コントロールカテゴリの例としては、ソフトウェア資産のインベントリ、データ保護、安全な設定などが挙げられます。 それぞれのコントロールカテゴリには、どのような措置が講じられるべきかを概説した一連の保護対策が含まれています。

ベンチマークはコントロールの概念をもう一つ上のレベルに引き上げて、クラウドのインスタンス、アプリケーション、アイデンティティといった特定のテクノロジーを安全に導入して設定する方法を示す規範的なガイダンスを提供します。

一部の基準は特定の政府機関によって策定されることもありますが、ほとんどの基準は策定した国や機関を問わず広範に適用できます。また、その多くはコントロールと直接連携しているか、重複しています。 以下に、注目すべき点を 5 つ示します。

米国国立標準技術研究所サイバーセキュリティフレームワーク

米国商務省の一部である 米国国立標準技術研究所 (NIST) は、数多くのサイバーセキュリティ基準やベストプラクティスを策定しています。これには、40 ページの資料である NIST サイバーセキュリティフレームワークも含まれます。このフレームワークは、サイバーセキュリティリスクの優先順位付け、管理、削減を行う方法の概要を示すガイダンスを提供します。 このフレームワークは、規範的なコントロールに関する多くの詳細な資料を参照しています。 そのうちの最も包括的な資料の 1 つが、NIST 特別刊行物 800-53 (第 5 版) です。 この 460 ページの刊行物は、クラウドベースのシステムやその他のコンピューティングプラットフォーム (汎用のコンピューティングシステム、サイバー物理システム、モバイルデバイス、IoT デバイスなど) のきめ細かいコントロールについて説明しています。 NIST は HIPAA (医療保険の携行性と責任に関する法律) のセキュリティ規則の施行など、特定の規制への準拠に役立つサイバーセキュリティのリソースガイドも発行しています。

CIS Benchmarks

CIS (Center for Internet Security) は IT システムとデータを保護するための、クラウドソースの世界的に認められたベストプラクティスを策定する非営利団体です。 NIST サイバーセキュリティフレームワークと同様に、CIS クリティカルセキュリティコントロール (CIS Controls) は、サイバー攻撃を軽減するよう作られている、優先順位に基づいた一連の保護対策です。 コントロールは、NYDFS 500 のようなさまざまな規制の要件や業界が定める要件にマップされています。 さらに、CIS ベンチマークは Amazon Web Services (AWS)、Microsoft Azure クラウド、Google Cloud Platform (GCP) などの、25 を超えるさまざまなベンダー製品群に関する個別の設定ガイドラインを提供します。 ベンチマークは、特定のベンダー製品の推奨設定を実現するために実行しなければならない規範的な手順を示すという点で、非常に優れています。

国際標準化機構 27001 (ISO 27001)

CIS と同様に、国際標準化機構 (ISO) は合意に基づいたベストプラクティスと規格を策定する独立した国際機構です。 最もよく知られている規格の 1 つに、ISO 27001 があります。これは、情報セキュリティマネジメントシステム (ISMS) に関する規格として広く認知されています。 ISO によって直接提供されるものではありませんが、企業は ISO 27001 に準拠しているという第三者認証を取得できます。 ISO 27001 のような規格と NIST コントロールフレームワークには多くの重複がありますが、違いもあります。 一般的に、NIST はより細かいコントロールを提供しますが、それ自体では ISO 27001 認証に必要なあらゆる種類の要件に対応することはできません。 その意味では、これら 2 つのフレームワークは互いに補完し合うものです。

クラウドセキュリティ管理とコンプライアンスの自動化: Tenable がお手伝いできること

ここで取り上げている規制、コントロール、ベンチマークは、企業や政府機関が対応しなければならない多くの事項のほんの一部に過ぎません。 このことが、専門知識の拡充を難しくしています。

20 年以上にわたって、Tenable Research は規制や基準に関する専門知識を活用し、企業が固有のセキュリティ要件を満たすことができるようにお手伝いをしてきました。 これと同じ専門知識が、事前定義済みの監査、ポリシー、コンプライアンスレポートといった形で多数の Tenable ソリューションに組み込まれています。 たとえば、Tenable One のクラウドセキュリティは、NIST 800-53、AWS CIS ベンチマーク、GDPR といった主要なコントロール、ベンチマーク、規制にそれぞれ直接マップされる標準装備のポリシーを提供し、企業におけるマルチクラウド環境全体のクラウドセキュリティ態勢の強化を支援します。

これにより、ありとあらゆる基準や規制に関する専門知識の必要性を大幅に減らすことができます。 セキュリティスタッフは、ドロップダウンメニューからポリシーを選択して、それに準拠していない設定をスキャンすることで、特定の基準や規制に対するポリシーを適用できます。 さらに、準拠していない設定が導入されないようにする事前対応型のガードレールを構築することもできます。 Tenable One のクラウドセキュリティで利用できる、各種のコンプライアンスレポート機能の例を以下に示します。

コンプライアンスレポート: AWS CIS 1.2

出典:Tenable、2023 年 4 月

継続的なコンプライアンス要件を満たすために、メニューベースのアプローチを用いて、特定の基準や規制に関するコンプライアンスレポートを選択して実行し、それらのレポートを修正対象となった資産の所有者、GRC (ガバナンス、リスク、コンプライアンス) チーム、外部監査員と共有することができます。

コンプライアンスレポート: GDPR

出典:Tenable、2023 年 4 月

Tenable One のクラウドセキュリティは、マルチクラウドに加えてハイブリッド環境もサポートするため、IT やプライベートクラウドを含むオンプレミス環境に対してポリシーの監査を実行し、コンプライアンスのレポートを作成することで、コンプライアンスをエンドツーエンドで把握できます。

Tenable がお手伝いできることについて詳しくは、Tenable Cloud Security のコーヒーブレイクシリーズのエピソード 3 マルチクラウドコンプライアンスの課題をご覧ください。このエピソードでは、Tenable の情報セキュリティディレクターである Phillip Hayes より、Tenable が当社の SaaS ベースのソリューションのマルチクラウドコンプライアンスにどのように対応しているかについて説明しています。さらに、実際のポリシーとコンプライアンスのレポートのライブデモもご覧いただけます。

もっと詳しく

• クラウドセキュリティ態勢管理に関する Tenable ソリューションのページを見る: tenable.com/cspm
• ソリューションのインフォグラフィックを見る: 今日のハイブリッド型マルチクラウドの世界に対応した拡張性の高いクラウドセキュリティ