fbpx

消費者データの保護を目的とした、NY DFSのサイバーセキュリティ規制

効果的で構造化されたサイバーセキュリティは、ニューヨーク州(世界有数の金融センターがある)で事業を行う金融サービス会社にとって、ビジネスを行う上でのコストとして、現在ではオフィシャルに求められるものとなっています。

ニューヨーク州金融サービス局 (NYDFS) のサイバースセキュリティ要件は、最初に必要性だけでなく、金融業者の最も貴重な資産である顧客データを保護するためにリスクベースのアプローチを取る義務を確立しました。

その中心となるNYDFSの規制は、金融サービス業者が顧客の個人データとプライベートデータがどこにあるのか、データが誰のもので、誰がそれにアクセスできるのかを理解し、最善の保護を行うことを義務付けています。

序章

ニューヨーク州金融サービス局 (NYDFS) の金融サービスのためのサイバースセキュリティ要件は、顧客データと情報の保護のための米国における今日までの最も厳格なフレームワークを表しています。包括的な枠組みの動機は明らかです。サイバー犯罪者による攻撃は、金融サービス業(ニューヨーク州の経済に占める割合が非常に大きい)の完全性に対するシステミックなリスクを表しています。この規制は米国では初めてのものかもしれませんが、リスクの告知に焦点を当てています。未公開情報の定義を拡大することで、NY DFSは、プライバシー侵害だけでなく、公開された場合に重大な損害をもたらす可能性のあるデータにも適用範囲を拡大しています。

経験豊富な CISO が定期的な侵入テストや成熟したアプリケーション・セキュリティ・プロセスを組み込んだ高度なサイバーセキュリティ・プログラムを管理している対象事業体であっても、規制に準拠したサイバーセキュリティ・プログラムを実施するための基本的なステップは、リスク評価の実施であることに変わりはない。 対象事業体は、自社のサイバーセキュリティリスクを正式に評価し、リスク評価の結果に基づいて、アクセス制御やデータ暗号化などのメカニズムを通じて「堅牢な」方法で自社データへのリスクに対処するためのサイバーセキュリティプログラムを策定し、維持することが求められている。

さらに、同規則は、保護すべき顧客情報や個人情報の定義を拡大し、初めて「非公開情報」の概念を導入した。 個人を特定できる金融情報に限定されたグラム・リーチ・ブライリー法(GLBA)のような金融サービス会社を対象とした既存の規制とは対照的に、対象となる事業体は、医療情報や通常の業務の過程で収集された「業務関連情報」にまで保護と監視の範囲を拡大しなければならなくなる。すべての関連する個人情報の保存場所(オンプレミスシステムでもクラウドサービスでも)を最新かつ包括的にマップし、リスクの高いデータセットとそれらが保存されているシステムを特定し、違反リスクを示すデータのフローやアクセスパターンを確認して警告する能力は、現在、あらゆるコンプライアンスプログラムの基礎を構成しています。

概要:NY DFSのサイバーセキュリティ規制

2017年3月1日より、NY DFS規則は、銀行、保険会社、その他NY DFSの規制を受ける金融サービス機関に対して、消費者の個人情報を保護し、サイバーリスクを管理するためのサイバーセキュリティプログラムを確立し、維持することを求めている。

NY DFS の要件を検討すると、この規制の根本的な意図は、顧客情報を保護するためにリスクベースのアプロー チを取るように金融サービス会社を動機付け、不正な目的のためにプライベート(または「非公開」)情報が暴露されたり盗まれたりする可能性を制限することであることがすぐに明らかになります。 未公開情報へのリスクを詳細に把握し、情報を提供しなければ、プロセスの後続のステップは監査人を遠ざけることになるかもしれません。

NY DFSのセキュリティ要件

  • 文書化されたリスクアセスメントを実施する。対象事業体の情報システムに保存されている非公開情報のセキュリティまたは完全性を脅かす可能性のあるサイバーセキュリティリスクを特定し、評価する。
  • 識別されたリスクとの関連で、既存のコントロールの妥当性を評価する。
  • 識別されたリスクが、リスクアセスメントに基づいてどのように緩和されるか、または受け入れられるか、また、サイバーセキュリティプログラムがどのようにリスクに対処するかを記述する。
  • リスクに応じたサイバーセキュリティプログラムの構築。対象事業体の情報システムに保存されている非公開情報のセキュリティまたは完全性を脅かす可能性のあるサイ バーセキュリティリスクを特定し、評価する。
  • 不正アクセス、混乱、悪用の試みを検出します。
  • 情報システムおよび非公開情報を不正アクセス、混乱、および誤用から保護するために、防御的なインフラストラクチャを使用し、ポリシーと手順を実装する。 情報システムおよび非公開データを不正アクセスから保護するために、防御的なインフラストラクチャを使用し、ポリシーと手順を実装する。
  • サイバーセキュリティイベントの検出
  • 特定されたサイバーセキュリティインシデントに対応し、悪影響を軽減する。
  • 攻撃を受けた後、通常の操作とサービスを回復し、復旧する
  • 適用される規制上の報告義務を果たす
  • 書面化されたサイバーセキュリティポリシーを採用する。情報システムおよびそれらの情報システムに保存されている非公開情報の保護のためのポリシーと手順をカバーし、データガバナンスと分類、アクセスインベントリとアイデンティティ管理、ネットワーク、情報、デバイスのセキュリティに対応しています。
  • 有資格のCISOを指定する。組織のサイバーセキュリティプログラムを監督し、実施し、そのサイバーセキュリティポリシーを実施する責任があります。
  • 書面化されたサードパーティのサイバーリスクポリシーの実施。組織のリスク評価に基づいて、第三者が提示するリスクとサイバープラクティスの継続的な妥当性に基づいて、定期的に第三者を評価します。
  • 書面によるインシデント対応計画の策定。サイバーイベントに対応するための社内外のプロセスを概説したもの
  • サイバーセキュリティイベントが発生した場合は、DFSの管理者に通知します。(1)監督機関への通知を必要とする場合、または(2)経営に重大な支障をきたす可能性があると合理的に判断される場合には、決定後72時間以内に、監督機関への通知を必要とする場合には、決定後72時間以内に、監督機関への通知を必要とします。
  • 年に一度のコンプライアンス証明書の提出。毎年2月15日までに、理事会議長または上級Officerが署名し、管理者に提出すること。規制の技術的・組織的な意味合いが注目されてきたが、NY DFSのコンプライアンスプログラムの基礎となるのは、対象となる事業体が保存・管理する非公開情報への不正アクセスや悪意のあるアクセスのリスクを理解し、測定する能力であることに変わりはない。
  • データを知り、リスクを知る。規制の要件を検討する際の第一の結論が、リスクアセスメントがコンプライアンスプログラムの基礎であるとするならば、防御策やプライバシー保護がどのように実施されるかは、アセスメントによって発見される非公開情報の量、構成、場所に依存するということを意味している。現実的には、リスクアセスメントの結果によって、サイバーセキュリティプログラムの範囲、技術的な構成要素、およびその最適な適用が決まることを意味する。例えば、同規則では、侵入テストや脆弱性評価の範囲、監査証跡システム、システムへのユーザアクセス権限の制限、非公開情報の暗号化の決定、多要素認証やサードパーティのアクセスポリシーの実装などは、リスクアセスメントで特定されたリスクや脆弱性に合わせて調整されるべきであると規定しています。

何が非公開情報を構成しているのか、どの顧客とデータが関連しているのかをどのようにして知ることができるのでしょうか?これは、GLBAのようなコンプライアンス義務や、ヘルスケアデータのHIPAA規制を遵守しなければならない組織では、個人を特定できる財務情報の発見やインベントリ作成に苦労している多くの組織では、すでにお馴染みの課題です。

対象事業体のセキュリティに組み込まれた非公開情報のより広範な定義はまた、金融商品の申請プロセスの過程で収集されたデータも対象としており、意味合い的には既存の顧客のデータを超えて範囲を拡大しています。規制のリスクベースのアプローチに準拠し、貴重な個人データの潜在的な危険性をよりよく理解するためには、データの発見とインベントリ作成の新しいアプローチが必要です。その代わりに、新しい機械学習技術と相関法を使用して、個人データとプライベートデータを発見し、インベントリを作成し、明示的な個人識別情報と推測される属性の両方を特定のユーザーに関連付けることで、はるかに持続可能で効率的なアプローチが可能になります。

特に、広く定義されている非公開情報のカテゴリーの場合、対象となるエンティティは、どのようなデータセットを探しているのかを事前に確認することができません。そうではなく、類似した身元情報の相関関係と比較に基づいて何が非公開情報として分類されるかを学習し、攻撃者が顧客を再識別することを可能にするデータセットの「リンク性」の程度を決定できる能力が必要です。構造化されたデータ・ソースだけでなく、ビッグデータ・リポジトリ、光ファイバー・シェアやクラウド・データ・サービスのような非構造化データ・ソースをスキャンし、何が非公開情報を構成するかを識別可能性スコアに基づいて推論することで、対象事業体は潜在的なエクスポージャーのより広範な視野を構築することができます。インフラストラクチャ全体でこのレベルのデータ駆動型の洞察力と、機械学習によって固有の属性を識別して特徴付ける能力がなければ、対象事業体は必然的に、エクスポージャー・リスクの不完全なビューに基づいてサイバーセキュリティ・プログラムを削除することになります。

データマッピングでアクセスの執行をよりスマートに

どのようなデータを保存しているか(誰のデータか)、保存されている場所でデータが適切に保護されているか、保存されているシステムへのアクセス制御が適切であるか、という3つの側面からリスクを評価することを対象事業者に義務づけています。

リスクアセスメントに基づいてサイバーセキュリティプログラムを構築するには、データが存在する特定のシステムやサービスをピンポイントで特定し、暗号化すべきかどうか、誰がアクセスを許可すべきか(内部ユーザと第三者の両方を含む)を決定し、アクセス活動を継続的に監視する必要があります。未公開情報の全体を明確に把握することを出発点として、対象となる企業は、データ保護とアクセス制御のレベルが適切であるかどうかを判断するために、対象となるデータが存在する特定のシステムを特定することができます。追加の決定ポイントとして、企業はまた、どの仕様のシステムを多要素認証の形でアクセス制御の追加レイヤーで保護する必要があるかを決定することができます。

しかし、これらのステップは、静止状態のデータに対してどのような管理を行うべきかを決定する上で重要ですが、次のステップは、システム全体のデータフローを理解してマッピングし、データの実績、データの系統、データの所有権などのメタデータ属性を統合することで、コンテキストの追加レイヤーを提供することです。データの所在、所有権、使用状況を決定するためにテンプレートを作成したり調査を行ったりすることに頼るのではなく、データ駆動型のアプローチは、施行ロードマップの基盤として、またモニタリングや違反検知プログラムのための豊富なインプットの源として機能します。対象事業体が発見プロセスを繰り返し、非公開情報とみなされる可能性のあるデータをより多く発見すると、データセットを比較し、データの暗号化やアクセス制御が行われているかどうか、または実施すべきかどうかを評価することができます。

結論

サイバーセキュリティへの投資が運用上の要件の一部となっていること、そして、それらの投資は、保管、管理、処理する個人データや個人データにもたらされるリスクを最小化することに向けられていなければならないことです。 EUのGDPRの場合と同様に、同規則では、データ保護の対象となる事業体がリスクに基づいたプロアクティブなアプローチをとることを求めています。

しかし、より広範囲な非公開情報の定義が導入されたことで、プライバシーの問題を超えて、公開された場合に重大な危害(またはシステムの完全性における信頼性の喪失)を引き起こす可能性のあるデータにまで範囲が拡大されました。対象事業体が規制の要件を遵守するためには、データサイエンスと機械学習技術に基づいた非公開情報の発見とインベントリ作成のための新たなアプローチを採用し、最大のリスクがどこにあるかに基づいてアクセス制御やターゲットを絞ったデータ保護などの実施体制を構築する必要があります。

 

 

SNSでもご購読できます。

コメントを残す

*