Jaa


GDPR が CISO の計画を促進

2017 年 5 月 9 日 - Microsoft Secure Blog スタッフ - マイクロソフト

このポストは「 How the GDPR is driving CISOs’ agendas 」の翻訳です。

執筆者: Daniel Grabski - エンタープライズ サイバーセキュリティ グループ、エグゼクティブ セキュリティ アドバイザー

 

 

私は、中欧/東欧地域を担当するエグゼクティブ セキュリティ アドバイザーとして、各社の最高情報セキュリティ責任者 (CISO) と日々関わり、その考えや懸念事項を学んでいます。

私が出席するミーティングやカンファレンス、セミナーでは毎回挙がる非常にホットな話題として、EU の一般データ保護規則 (GDPR) に関するものです。基本的に、GDPR は個人のプライバシー権の保護と有効化に関する規則です。送信先、処理される場所、保存先に関係なく、個人データの管理方法や保護方法を統制するための厳格な世界的プライバシー要件を確立する一方で、個別の選択を尊重しています。

GDPR が欧州連合のプライバシー法に適用される近年最大の変更の 1 つであることは間違いありません。

GDPR は、次のようなすべての企業に大きな変更を求める可能性のある複雑な規制です。

  1. EU で設立された企業
  2. EU で製品またはサービスを販売する企業
  3. EU 内にあるそれらのデータを監視/処理する企業 (その処理と監視がどこで行われるかは関係ない)

GDPR の要件には、組織内で使われるテクノロジのほか、すべての段階を管理するために配置する必要のある関係者や関連プロセスが含まれる可能性もあります。

2018 年 5 月 25 日付で GDPR が施行されてからも、この規則への準拠は継続的なプロセスとなります。

本稿では、CISO から最も頻繁に寄せられる質問に答える際の参考となるように、次の質問に簡単に答えます。

  • GDPR への準拠に向けたマイクロソフトの取り組みとはどのようなものですか。
  • 企業が今すぐできることは何ですか。
  • クラウド プロバイダーはどのような役割を果たしますか。
  • 準拠の際にテクノロジがどのように役立ちますか。

 

GDPR への準拠に向けたマイクロソフトの取り組みとはどのようなものですか。

GDPR において、マイクロソフトは多くの役割を果たします。例えば、消費者向けサービスを提供する場合はデータ管理者の役割を果たし、企業向けオンライン サービスを提供する場合はデータ処理者の役割を果たします。また、当社は、テクノロジ企業としての役割とは別に、グローバルな従業員基盤を擁する国際企業でもあります。つまり、マイクロソフトは、皆様の組織と同様の取り組みを進めると同時に、2018 年 5 月までにお客様による GDPR への準拠を容易にするためのイノベーションも進めています。マイクロソフトの最高プライバシー責任者である Brendon Lynch による最近のブログ記事で述べられているとおり、「お客様による準拠を容易にすることを目的として、マイクロソフトは、2018 年 5 月 25 日の発効時に当社のクラウド サービス全体が GDPR に準拠できているようにするための取り組みを進めています。また、複雑な規制への準拠における当社の経験を共有することで、皆様の組織が GDPR のプライバシー要件への対応に向けた最善の手順を決めるお手伝いをさせていただきます」。

 

GDPR への準拠に向けたマイクロソフトの取り組みと推奨事項については、当社の Web サイトとブログ記事「Get GDPR compliant with the Microsoft Cloud」を参照してください。Web サイトでは、マイクロソフトの企業向け製品とクラウド サービスが皆様の GDPR への準備に役立つ理由を説明するホワイトペーパーも提供しています。

お客様やパートナー様との議論から、多くの企業が GDPR の要件を強く認識されているのを承知していますが、現在のところ、認識度合いと準備状況は企業によってさまざまです。約 3 分の 1 がまだ取り組みを始めておらず、3 分の 1 はプロセスを始めたばかりで、残りの 3 分の 1 は GDPR の要件を積極的に社内の現行プロセスやテクノロジ スタックに対応付ける作業を進めています。

GDPR は、最高情報セキュリティ責任者やデータ プライバシー責任者だけでなく、すべての経営幹部の責任です。テクノロジの適用に関することだけでなく、関係するさまざまなプロセスを考慮し、それらを最新の規制内容と整合させることが重要になります。もう 1 つ大切なのは、これがエグゼクティブ レベルから業務担当者まですべての従業員が認識しておくべきトピックであるということです。全社規模での正しい認識とトレーニングを提供すること、GDPR の重要性、会社の運営への影響を強調すること、GDPR 要件に準拠できなかったらどのような事態になるかを説明することが非常に重要です。したがって、GDPR への準拠には、人、プロセス、テクノロジの整合に関する全範囲が含まれます。

 

企業が今すぐできることは何ですか。

次の 4 つの重要なステップに焦点を合わせて、GDPR への準拠の取り組みを開始することをお勧めします (下の図 1 を参照)。

  • 【検出】 保有する個人データとその保存場所を特定します。これは、適切なリスク管理業務の基盤となり、GDPR において非常に重要です。データを特定して初めて、GDPR 要件に従ってデータを保護し、管理することができます。
  • 【管理】  データ主体の要求を実行し、個人データの使用方法とアクセス方法を管理します。また、データが意図された目的にのみ使用され、データにアクセスする必要がある人物だけがアクセスできるようにします。
  • 【保護】 脆弱性とデータ侵害の防止、検出、対応を行うためのセキュリティ制御を確立します。データをそのライフサイクル全体で適切に保護することで、侵害が発生するリスクを低減できます。侵害発生の有無とタイミングを知ることで、常にデータ保護機関に情報を提供できるようになります。
  • 【 レポート】  データの侵害を報告し、必要な書類を保管します。データを正しい方法で管理していて、データ主体の要求を適切に処理していることを証明することが、準拠の中心となります。

図 1: GDPR への準拠に向けた 4 つのステップ

ホワイトペーパー「Beginning your GDPR Journey」では、現在入手可能な役立つ手順とテクノロジについてより詳細に説明しています。

 

クラウド プロバイダーはどのような役割を果たしますか。

この質問は、CISO が自社の複雑な環境を踏まえ、GDPR 要件に対処する際にクラウド プロバイダーが果たす役割を理解しようとするときによく寄せられる質問です。GDPR では、データ管理者が使用するデータ処理者は、GDPR 準拠に取り組むと同時に、データ管理者による準拠の取り組みを支援してくれる人でなければならないと規定しています。マイクロソフトは、この規定を初めて実現した主要クラウド サービス プロバイダーです。つまり、マイクロソフトは、GDPR の厳しいセキュリティ要件への対応を目指しています。

基本的に、GDPR は共同責任と信頼に関する規則でもあります。クラウド サービス プロバイダーは、マイクロソフトのようなプライバシー、セキュリティ、準拠性、透明性への原則に基づいたアプローチをとる必要があります。「信頼」はさまざまな角度から確認されることが考えられます。たとえば、プロバイダーがサイバーセキュリティのリスクを管理するために、自社のインフラストラクチャと顧客のインフラストラクチャをどのように保護しているか、データをどのように保護しているか、この非常に機微な領域で、どのようなメカニズムや原則によってアプローチと業           務を促進しているか、などです。

マイクロソフトは、社内で、そしてお客様と世界中の数百万人に上るサイバー犯罪被害者に代わってセキュリティ インシデントの保護、検出、対応を行うために、年間 10 億ドルを投資しています。2015 年 11 月、マイクロソフトは、Microsoft Cyber Defense Operations Center (CDOC) を発表しました。この施設では、全社からセキュリティの専門家を集め、サイバー脅威に対する保護、検出、対応をリアルタイムで支援しています。CDOC の専任チームは、24 時間年中無休で対応しており、センターは、マイクロソフトのグローバル ネットワーク全体の何千人ものセキュリティ担当者、データ アナリスト、データ サイエンティスト、エンジニア、開発者、プログラム マネージャー、および運用スペシャリストに直接アクセスできます。これにより、セキュリティ脅威を迅速に検出して対応し、解決できるようにしています。

図 2: Cyber Defense Operations Center (CDOC)

マイクロソフトは、自社およびお客様のインフラストラクチャの保護方法を公開しています。Cyber Defense Operations Center で採用されているベスト プラクティスについて、ぜひ詳細をご確認ください。また、CDOC では、マイクロソフト インテリジェント セキュリティ グラフ (ISG) を通じてクラウドの力を利用しています。

マイクロソフトは、毎日、1 秒ごとに数百ギガバイト相当の利用統計情報をセキュリティ グラフに追加しています。以下は、匿名化されたデータは、以下のソースから収集されています。

  • 何百ものグローバル クラウド サービス (消費者および一般企業の両方)
  • 当社が Windows Update を通じて毎月更新する 10 億台以上の PC で直面しているサイバー脅威に関するデータ
  • マイクロソフトのデジタル犯罪対策部門による大規模な調査や業界および法執行機関とのパートナーシップを通じて収集した外部データ ポイント

わかりやすく視覚化するために、当社の消費者向けおよび企業向けサービスで処理される毎月 3,000 億件を超える認証のデータと、マルウェアや悪意のある Web サイトが含まれていないか毎月分析される 2,000 億件の電子メールのデータを、セキュリティ グラフに追加しています。

図3

このようなデータがすべて一元化されることを想像してみてください。そこから得られる洞察が、攻撃を予測して阻止し、組織を保護する際にいかに役立つか考えてみてください。図 3 に示すとおり、マイクロソフトでは、フィードバック、マルウェア、スパム、認証、および攻撃を分析しています。たとえば、数百万台の Xbox Live デバイスのデータから、デバイスがどのように攻撃を受けているかがわかります。この情報を適用することでお客様の保護の強化に役立てることができます。多くの情報は、機械学習やデータ サイエンティストの分析から取り込まれ、サイバー攻撃の最新の手口をより深く理解するために活用します。

CDOC、デジタル犯罪対策部門、インテリジェント セキュリティ グラフのほかにも、マイクロソフトは、お客様による安全なクラウドへの移行とデータの保護を支援することを目的とした、エンタープライズ サイバーセキュリティ担当者による専任チームを設置しました。上記は、マイクロソフトがサイバーセキュリティに対して行っている継続的な投資のほんの数例であり、お客様による GDPR への準拠をサポートする製品やサービスを開発するうえで非常に重要なものです。

 

準拠の際にテクノロジがどのように役立ちますか。

幸い、GDPR への準拠に役立つテクノロジ ソリューションは数多くあります。私のお気に入りのうち 2 つは、Microsoft Azure Information Protection (AIP) と Exchange Online の Advanced Threat Protection (ATP) です。AIP を使用すると、GDPR の主要要件であるデータの識別可能性とセキュリティを、その保存場所や共有方法に関わらず確保できます。AIP によって、前述のステップ 1 と 2 に即座に取り掛かり、新規および既存のデータの分類/ラベル付け/保護や、組織内外の人との安全なデータ共有、使用状況の追跡、さらにはリモートからのアクセスの取り消しができるようになります。この直感的で使いやすい、強力なソリューションには、データの配信を監視するための充実したログ機能やレポート機能、暗号化キーを管理して制御するためのオプションも用意されています。

GDPR への準拠の取り組みでステップ 3 に進む用意ができたら、Advanced Threat Protection (ATP) によって、各ユーザーの個人データをセキュリティの脅威から保護するための GDPR の主要要件に取り掛かります。Office 365 には、データを保護し、データの侵害が発生したタイミングを特定するための機能が用意されています。それらの機能の 1 つが Exchange Online Protection の Advanced Threat Protection (ATP) であり、リアルタイムで新しい高度なマルウェアから電子メールを保護するのに役立ちます。また、悪意のある電子メールの添付ファイルや、電子メールからリンクされた悪意のある Web サイトにユーザーがアクセスしないようにするために、ポリシーを作成する方法も提供されています。例えば、[安全な添付ファイル] 機能を使用すると、その署名が未知の場合でも、悪意のある添付ファイルがメッセージング環境に影響を与えるのを阻止できます。すべての疑わしいコンテンツが、リアルタイムのマルウェア行動分析の対象となり、疑わしいアクティビティがないか機械学習技術によってコンテンツが評価されます。安全でない添付ファイルについては、受信者に送信される前にデトネーション チャンバーでサンドボックス化されます。

 

結論

Economist の最新記事で、コンピューター セキュリティの脅威を管理する方法が取り上げられました。その最も重要な推奨事項は、政府規制と製品規制の両方が取り組みをリードしていく必要があるというものです。GDPR については、すべての CISO の計画における最優先事項の 1 つとして、現在および 2018 年 5 月以降も本格的対応が必要になるのは間違いありません。これは、セキュリティとプライバシーの確保を目的とした継続的な取り組みだからです。GDPR によって規制が厳格化されることで、個人データの保護を強化できるフレームワークが実現し、脅威の保護、検出、対応に役立つセキュリティ制御を導入するためのツールが提供されるため、私たちはサイバー犯罪に効果的に対抗できるようになるでしょう。マイクロソフトでは、いつでも CISO と連携して認識を高め、現在および将来に利用できるリソースへのアクセスを可能にし、保証できる体制が整っています。

マイクロソフトの GDPR とセキュリティ全般への取り組みの詳細については、次の役立つリソースを参照してください。

 

執筆者について Daniel Grabski は、IT 業界で 20 年の経験を持つベテランであり、現在、マイクロソフトのエンタープライズ サイバーセキュリティ グループで、欧州、中東、アフリカのタイムゾーンを担当するエグゼクティブ セキュリティ アドバイザーを務めています。この役職では、企業のお客様、パートナー様、公共部門のお客様、および重要なセキュリティ関係者様を担当しています。Daniel は、セキュアで回復力のある ICT インフラストラクチャを構築し、維持するために必要なサイバーセキュリティに関するソリューションとサービスについて、戦略的なセキュリティの専門知識とアドバイスを提供しています。