fbpx

企業がカリフォルニア州消費者プライバシー法(CCPA)に準拠する必要がある理由

序章

過去10年間、組織は政府によって施行されているさまざまな新しいプライバシー法に精通しています。2018年にGDPRが施行され、この法律が人々の個人データを扱う際に組織に多大な影響を及ぼしていることがわかります。現在、発効したばかりの別の主要な規制があります。

2020年1月1日、カリフォルニア州の消費者プライバシー法(CCPA)が施行され、カリフォルニア州の消費者の個人情報に関する新しい要件と権利が設定されました。これは米国で最初の州レベルのプライバシー法です。

データ主導の企業は、GDPRへの準備と同様に、新しい規制をシステムに適切に調整しています。

この新しい規制が組織にどの程度の影響を与えるかはわかりませんが、準備して遵守することが常に最善です。このブログ投稿では、CCPAとは何か、それがビジネスにどのように影響するか、およびCCPAに関して残る可能性のあるその他の疑問について説明します。

CCPAとは何ですか?

CCPAは、カリフォルニア州内に居住する消費者のプライバシーと個人データを保護するために作成されました。CCPAは、企業が保存している情報を知る権利を人々に与えます。この法律はさらに、個人に個人情報を使用できないことを企業に伝える権利を人々に与えます。GDPRと同様に、企業は収集した個人情報の種類、その情報を収集する目的、および情報の販売先を企業に開示するよう要求する場合があります。規制によると、このデータレポートは1年に2回無料でリクエストできます。

カリフォルニアがなぜCCPAに合格したのですか?

2018年に有名なデータマイニングのCambridge Analyticaスキャンダル個人データのマイニングが明らかにされた後、カリフォルニア州議会はCCPA規制を承認し、議会の公聴会で脆弱な個人情報がいかに悪用されるかを証明しました。より良いデータのプライバシー制御と透明性を実装するより多くの法律を作成することを望んだ州です。

CNETによると、より多くの州が同様の法律を検討しており、同様の提案が連邦レベルで提示されています。

消費者にとってのCCPAの意味

CCPA規則は、カリフォルニアの居住者に個人情報を含む4つの基本的な権利を提供します

  • 特定の情報を含め、どのような個人情報が保存されているか、その情報を使用してビジネスが何をしているのかを知る権利。
  • 情報を保管している事業者に個人情報の削除を請求する権利。
  • 個人情報の売却をオプトアウトする権利。
  • 消費者がCCPAに基づく権利を利用する場合、価格やサービスの差別から解放されます。ただし、企業は、個人情報の収集、販売、または削除に対して、消費者への支払いを含む金銭的インセンティブを提供する場合があります。

組織がCCPAの影響を受けているかどうかはどのようにしてわかりますか?

CCPA規制は、カリフォルニアの居住者の個人データを収集、共有、または販売し、次の3つの基準のいずれかを満たす組織に影響します

  • 年間総収入が2,500万ドル以上。
  • 5万人以上の消費者・世帯・機器の個人情報を保有している。
  • 個人情報の販売により、年収の半分以上を稼ぐ。

私の組織はどのようにしてCCPAに準拠できますか?

組織はさまざまなプライバシー手順を実装して、消費者がCCPAに基づいて権利を行使できるようにすることができます

ここで取るべき重要な手順は次のとおりです。

  • 消費者が個人情報の請求を行う方法を複数提供すること。最低でも、これらの方法には、フリーダイヤルの電話番号と、指定された電子メールアドレスやオンラインフォームなどの追加の方法が少なくとも1つ含まれている必要があります。
  • 消費者の要望を受け取ってから45日以内に対応するプロトコルを確立します。
  • プライバシーポリシーを更新して、新しいCCPAプライバシー権を含めます。
  • データ収集と文書化のプロセスを分析します。データの収集方法、使用方法、データの場所を追跡できること、および消費者にこの情報を提供するシステムが整っていることを確認してください。
  • 個人情報が販売されていることを消費者に知らせる。適時にオプトアウト要求を尊重するプロセスを実装します。
  • データの盗難やその他のセキュリティ違反を回避するためにビジネスが必要な手順を確実に実行できるように、データセキュリティの実践を評価および文書化します。

法務チームがCCPAイニシアチブ全体をレビューして、CCPAに準拠し続けるためにビジネスが実装する必要があるすべての手順を特定してください。CCPAコンプライアンスの主な要素についてスタッフ全体を教育することを強くお勧めします。

CCPAコンプライアンスを加速

会社のデータと顧客のデータを保護することに全力で取り組む

  • CCPAをナビゲートし、クライアントのデータを保護するために、以下を提供します。
    • 完全な第三者監査を受けています
    • 利用規約とプライバシーポリシーを更新しました
    • プラットフォームがすべてのデータストレージ要件を満たしていることを確認します
  • CCPAをナビゲートし、クライアントのデータを保護するために、以下を提供します。
    • 安全でない公共Wi-Fiの自動保護
    • 256ビットのAES暗号化ネットワーク接続(オンサイトとリモートの両方で保護)
    • 安全なポリシーベースのアクセス管理
    • モニタリング、ロギング、監査、セキュリティ分析
    • 多要素認証(MFA)
    • クラウド環境へのきめ細かなアクセス

CCPAコンプライアンスのための自動Wi-Fiセキュリティ

CCPAが有効になると、企業がWi-Fiセキュリティを処理する方法が大きく変わります。CCPA用のセキュリティソリューションは、これを主要な優先事項の1つにしています。特許取得済みの自動Wi-Fiセキュリティ機能は、すべてのアプリケーションに組み込まれた特別な機能であり、デバイスがロックされていてポケットに入れている場合でも、ユーザーはVPN接続を自動的に展開できます。

CCPA用のセキュリティソリューションをクライアントアプリケーションをインストールすると、ネットワークを通過するデータは256ビットのバンクレベルの暗号化で保護されます。CCPA用のセキュリティソリューションの革新的な自動Wi-Fiセキュリティは、従業員が未知の信頼できないネットワークに接続したときにVPN保護を自動的にアクティブ化することにより、データを即座に保護します。

自動車環境向けのゼロトラストネットワーク

前書き

コネクテッドおよび自律型車両のセキュリティを確保するための競争において、サイバーセキュリテの専門家は企業のセキュリティ手法をこの新しいコンピューティング環境に適合させることに取り組んでいます。ただし、最新の車両には固有の一連の制約と技術要件があり、マルウェアの更新が頻繁に行われない、パッチが適用されていないゼロデイの脆弱性、誤検知、認証ギャップが生じるため、結果は最適ではありませんでした。集合的に、これらの危険は、自動車のパフォーマンスをほとんど無視して乗客の安全を確保するために、車両のサイバーセキュリティ保護の義務を提示します。

今日、主要なコネクティッドカー機能は、ますます自動化され、クラウドサービスと統合される特殊なソフトウェアおよびハードウェアデバイスにますます依存しています。現代のコネクテッドカーは、車載ナビゲーションやBluetoothオーディオなどのドライバーと情報を共有するだけでなく、インターネットやクラウドに接続されたサービスを介してドライビングデータや車両データで「コールホーム」も行います。

内蔵通信モジュールまたはモバイルデバイスを介してインターネットとデータ接続を備えた新車は、調査会社のガートナーによって2016年に1,240万台に達し、2020年には6100万台に増加し、全世界で出荷される自動車の70%近くを占めています。

ガートナーはまた、道路上には25億台の接続車両が存在すると予測しており、ドライバーが情報、コンテンツにアクセスし、車内で生産性を維持する機会を提供しています。その結果、ドライバーの安全性とデータを保護する方法は、モバイル、自動車、セキュリティ業界で重要な問題となっています。

Intelによると、将来の自動運転および半自動の自動車や車両は、8 時間の運転ごとに約40テラバイト(TB)のデータを消費および生成し、自動車データは技術データ、クラウドソースデータ、個人データの3つのタイプに分類されます。

エンジン管理、GPSシステム、ブレーキ、ステアリング、エンターテインメントシステムからセキュリティに至るまで、自動車のコンポーネントを制御するソフトウェアを備えた複数のオンボードクラウド接続デバイスを使用することは、ドライバーや自動車メーカーにとって重要な安全問題となっています。

自動車サイバー脅威の特定

セキュリティ慣行として、自動車メーカーは、コネクテッドカーの脅威と脆弱性を内部的および外部的に事前に特定できる必要があります。既存および新たなサイバー脅威の例には、次のものがあります。

安全運転の危険性-攻撃者は、車のオーディオシステムをオンにして音量を上げたり、人命や公共の安全を危険にさらすブレーキなどの車両安全機能を無効にしたりするなど、ドライバーの注意散漫を引き起こす可能性があります。

サイバーランサム ランサムウェアに感染した接続された車両は、身代金が支払われるまで、ユーザーを車からロックしたり、車の点火システムを無効にしたりできます。
データプライバシリスク ハッカーは、USB、Wi-Fi、Bluetooth 、モバイルデバイスなどのインターフェースを介して接続された車を危険にさらし、車や車に持ち込まれた個人用デバイスのファイルを削除または変更できます。
踏み台攻撃 侵害された車両は、他の車や自動車メーカーに偽のデータを送信したり、個人のモバイルデバイスやホームコンピューターにアクセスしたりするための踏み台として使用される可能性があります。

自動車環境向けのゼロトラストセキュリティ

ゼロトラストは、組織が境界の内側または外側を自動的に信頼するのではなく、ITシステムに接続しようとするすべてのものを確認してからアクセスを許可するという信念に基づくセキュリティコンセプトです。安全なネットワークアクセスサービスへのこのゼロトラストモデルのアプローチにより、コネクテッドカーにも使用できる高セキュリティの企業全体のネットワークサービスを提供できます。

インターネットに接続された車、デバイスデータ、ドライバーに新しい機能が追加されると、ゼロトラストセキュリティモデルを自動車環境に拡張できます。管理が簡単で粒度の細かいネットワークセグメンテーションは、自動車のサイバー攻撃の成功を防ぐための鍵です。ゼロトラストアプリケーションとユーザー中心のセキュリティモデルにより、セグメンテーションアーキテクチャ全体に対する特定の定義済みの例外が可能になります。

すべてのスマートな接続デバイスが自動車メーカーに新たな脅威を生み出しているため、ゼロトラストセキュリティは、インターネットからデバイスレベルで車両に至るまでのデータ侵害や攻撃の脅威を軽減する可能性を秘めています。

コネクテッドカーのサービスとしての安全なクラウドネットワーク

ゼロトラストなNaaS(Network as a Service)は、ゲートウェイのグローバルネットワークと、接続された自動車メーカーや自動車サービスプロバイダーが使用するために完全に保護、暗号化、監査、監視されるクローズドネットワークを提供します。

自動車の使用例には、安全な無線アップデートが含まれます。信頼できるネットワークから、仮想閉鎖ネットワーク内のフリート車両の役割ベースのアクセス制御(RBAC)、およびクラウドコントロールセンターへの暗号化された自動車通信により、転送中のデータと保管中のデータを保護します。

信頼できるネットワークを通過するすべての接続された車のデータは、256ビットの銀行レベルの暗号化で保護され、接続された車の実際のネットワーク署名を隠す専用のプライベートクローズドネットワークを介してルーティングされます。信頼できるグローバルネットワークは、高速、安全、低レイテンシのクラウドネットワークをサービスとして提供します。

そしてゼロトラストネットワークの中核に位置するものは、Software Defined Perimeter(SDP)です。これは、柔軟なクラウドベースのプラットフォーム、デバイスとアプリケーションの構成可能性、およびアクセシビリティ、強化されたセキュリティ、プライバシー、ユーザーアクセス制御の粒度と分析を提供しながら、従来のVPNの制限に対処するセキュリティモデルです。VPNからゼロトラストセキュリティへの移行方法については、別の記事にまとまっているので是非ご覧ください。

ユースケース:Remote over the Air ソフトウェアアップデート

SDPセキュリティモデル内では、ゼロトラストまたはマイクロセグメンテーションの概念は、ネットワーク境界の内側で終端するトランスポート層セキュリティ(TLS)トンネルを確立することにより、クライアントとのゲートウェイ間の信頼ブローカーとして機能し、それによってアプリケーションとサービスへアクセスします。

Software Defined Perimeter(SDP)アーキテクチャとアイデンティティアクセス管理サービスの構成、運用、統合は、サードパーティの管理プラットフォームなしでは複雑になる場合があります。ただし、マルチテナント管理機能を備えたクラウドベースの安全なネットワークアクセスソリューションであるゼロトラストを使用することで、サードパーティがすべてのネットワークサービスを処理して、クライアントのリモートアクセスとエンドポイントのセキュリティを簡単に監視できます。

コネクテッドカーがSDPを採択するメリット

費用対効果の高い配信

クラウドSDPプラットフォームでは、手頃な価格で効果的な自動車用サイバーセキュリティのための高価なハードウェアのインストールはありません。

セキュリティと暗号化

プライバシーとデータのセキュリティを確保するために、SDPはTLS暗号化でトラフィックを暗号化しながら、コネクテッドカーとエンドポイントの保護、IDとアクセスの管理、OSとアプリケーションレベルのセキュリティを提供します。

高い拡張性

スケーラブルなソフトウェアフレームワークと便利なクラウドまたはオンプレミス展開でネットワークを簡単に拡張します。

待ち時間の短縮

接続されている車を追跡し、最適なデータ転送速度を保証するために、物理的または仮想的な場所にエンドポイントを展開します。

無制限の帯域幅

従量制のネットワークと柔軟でグローバルなサーバー展開により、帯域幅の制限がなくなります。

SDPアーキテクチャでコネクテッドカーを保護する

従来のネットワークセキュリティモデルは、今日のクラウドおよびモバイルファーストテクノロジー環境にはもはや関係がないため、ペリメーター81のクラウドベースの安全なネットワークアクセスプラットフォームは、コネクテッドカー向けで、すべての主要なクラウドプロバイダーおよびサービスと統合するゼロトラストセキュリティモデルを組み合わせています。

コネクテッドカーへの不正なネットワークアクセスを防止するために、自動車メーカーは、脅威に対する保護を提供し、接続された車両との間の許可された通信を規制するモバイル侵入検知システム(IDS)として機能するソフトウェア定義境界(SDP)アーキテクチャを実装できます。

SDPにはネイティブの集中制御とID管理が備わっているため、安全なポリシーベースのリソースアクセスにより、自動車サービスプロバイダーネットワークとクラウド環境にコネクテッドカーを簡単に追加できます。詳細なアクティビティレポートは、リソースと帯域幅の使用状況に関する洞察を提供し、セキュリティ違反についてアクティブな接続とセッション情報を監視できます。

ゼロトラストセキュリティを備えたSDPにより、コネクテッドカーは技術データ、クラウドソーシングデータ、および個人データを維持および保護できます。コネクテッドカー向けソリューションにより、自動車サービスプロバイダーは、ネットワークトラフィックを暗号化し、ネットワークとフリートのアクティビティを管理し、ジオターゲティングを行い、品質保証を提供できます。

クラウド接続車両プラットフォームの統合

アマゾンウェブサービス、Microsoft Azure、Googleはすべて、自動車会社がクラウドプラットフォーム上で革新的な接続された製品とサービスを構築するのを支援しています。それらは、企業がITインフラストラクチャープロバイダーとしての機能を活用する安全でスケーラブルなクラウドサービスを構築するのを支援すると同時に、さまざまなコネクテッドカーアプリケーションおよびモビリティサービスに人工知能、分析、機械学習、およびデータ管理サービスを提供します。

これらのサービスはクラウド環境を安全に保つことができますが、USB、Wi-Fi、Bluetooth 、接続された車両のモバイルデバイスなどのインターフェイスを介して機密データへのアクセスを常に安全にするわけではありません。クラウド環境と車両の両方を保護することは、自動車メーカーまたはサービスプロバイダーの責任です。

安全なネットワークアクセスソリューションは、Amazon、Google、またはMicrosoftのクラウドプラットフォームと統合して、自動車メーカーやサービスプロバイダーにゼロトラストのセキュリティと制御を追加します。このソリューションは、接続された車両のデータがどこから来ても、個人データと自動車データを保護します。接続された車両向けのNaaSは、自動車のセキュリティ環境全体に対してシンプルで費用効果の高いアクセス制御と監視を提供します。

ブランチ変換の決定的なガイド

このドキュメントの目的は、ブランチオフィスの場所からローカルにトラフィックをルーティングして、インターネットおよびクラウドアプリケーションに直接アクセスできるようにするセキュリティガイダンスを提供することです。理想的なソリューションを設計するための5つの要件の概要を説明します。しかし、最初に、安全なローカルインターネットブレイクアウトが必要になった理由を説明しましょう。

状況

アプリケーションは、クラウドへの移行を加速し続けています。同時に、ますます多くの従業員が本社の外の支社やリモートオフィスで働いています。組織は、過去に機能していたレガシーネットワークとセキュリティ戦略がもはや意味をなさないことを発見しています。

データセンターにあるアプリケーションへのトラフィックのバックホールを中心としたハブアンドスポークアーキテクチャは、ますます重要ではなくなってきています。それでも、多くの組織は依然としてレガシーアーキテクチャを介してブランチトラフィックを強制的に戻し、クラウドアプリケーションとインターネットにアクセスしているため、そもそもアプリケーションをクラウドに移動する目的に大きく反しています。

クラウドアプリケーションは、優れたユーザーエクスペリエンスを提供するように設計されており、ユーザーの生産性を高めながら、ビジネスの柔軟性と俊敏性を高めます。そして、これらのメリットを実現するには、インターネットへの直接接続が必要です。しかし、そこに到達するには、ネットワークセキュリティへのアプローチ方法に根本的な変更が必要です。

従来のアーキテクチャーの課題

ユーザーエクスペリエンスが悪い

ユーザーがブランチオフィスに移動してリモートで作業する場合、インターネットやクラウドアプリケーションにすばやくアクセスする必要があります。これらの場所からハブアンドスポークネットワークを介して本社のデータセンターにトラフィックをバックホールすると、トラフィックのボトルネックと遅延が発生し、ユーザーが待たされて生産性を低下させます。

高コスト

従来のハブアンドスポークアーキテクチャにより、組織はMPLSの支出を抑えるのに苦労しています。ブランチロケーションからデータセンターへのトラフィックをバックホールすると、ヘアピン効果が生じ、基本的には、インターネットに向かうトラフィックに対して2度支払う必要があります。ブランチからデータセンターにトラフィックを伝送し、再びそのトラフィックをユーザーに戻す必要があります。 これらのコストは、広く分散している多国籍企業では指数関数的に増加し、ITチームは常にMPLS支出を削減する方法を模索しています。

可視性の低下

多くの組織は、集中型ゲートウェイを介してトラフィックをルーティングすることで、可視性と制御性が向上すると考えています。しかし、実際には、アプリケーションがクラウドに移行すると、それらのアプリケーションやそれらが存在するネットワークを可視化できなくなります。

複雑さ

RightScale によると、現在、ワークロードの79%がクラウドで実行されています1。あなたの最もとして支店の従業員であっても、企業ネットワークへのアクセスを必要としないことがあり、アプリケーションのクラウドへの移行します。これらのユーザーをネットワーク上に維持することで、MPLSとアプライアンスの料金を支払い、管理するために不必要なコストと複雑さを追加するだけです。ブランチユーザーは、インターネットやクラウドアプリケーションへの高速で安全なアクセスを必要とするだけです。これは、バックホールでは実現できないことです。

スケーラビリティ

Office 365のようなアプリケーションは、インターネット経由で直接アクセスできるように設計されています。ハブアンドスポークアーキテクチャは長寿命の接続向けに設計されておらず、ユーザーごとのSaaS接続の大幅な増加は、必要な接続をサポートするように拡張できないため、従来のアーキテクチャとファイアウォールをすぐに圧倒します。

クラウドへの道

これらの課題を解決するには、新しい考え方が必要です。クラウドに移行するには、支社にローカルインターネットブレイクアウトを確立し、トラフィックをインターネットに安全にルーティングする必要があります。組織は、ローカルブレイクアウトを確立し、ブランチでのトラフィックルーティングを簡素化するための論理的で費用効果の高い方法として、SD-WAN(Software-defined Wide Area Network)にますます注目しています。SD-WAN の利点には、低コスト、集中型のクラウドベースのポリシー管理、簡素化されたIT、高速で信頼性の高いインターネットアクセスが含まれます。ただし、SD-WANソリューションはネイティブのセキュリティを提供しないため、これらのローカルのブレイクアウトは引き続き保護する必要があります。

ブランチオフィスでのSD-WAN展開を保護するには、複雑さを増すことなく、すべての場所で一貫して安全なインターネット接続を提供するという課題に取り組む必要があります。主なオプションは2つあります。すべてのブランチにセキュリティアプライアンスを導入するか、セキュリティをクラウドに移行します。ブランチトランスフォーメーションを成功させるための5つの​​主要な要件を検討するにつれ、クラウドへの最善の道が明らかになるはずです。

インターネットへの直接接続の保護

クラウドの世界で分散型組織が直面している課題について説明したので、それらにうまく対処する方法を見てみましょう。 安全なローカルインターネットブレイクアウトを確立する必要があることは明らかです。これらの接続を有効にする適切なソリューションは、包括的な保護を提供し、コストを削減し、ITを簡素化し、すべてのブランチユーザーに高速なユーザーエクスペリエンスを提供するための5つの主要要件を満たす必要があると考えています。

包括的なセキュリティプラットフォーム

包括的なセキュリティとは、すべての場所で同一の保護が必要であることを意味します。これは、真のクラウドソリューションでのみ可能です。ソリューションでは、すべてのポートとプロトコルを検査し、クラウドサンドボックス、クラウドファイアウォール、高度な脅威防止などの統合セキュリティおよびアクセスサービスの完全なスタックを含める必要があります。また、セキュリティはユーザーがどこに接続しても、ユーザーを追跡する必要があります。それについて考えてください。ローカルブランチは、インターネットアプリとクラウドアプリへの新しい出口ポイントです。ブランチの従業員数に関係なく、データセンターにあるのと同じレベルのセキュリティを各ブランチで提供する必要があります。

包括的なセキュリティソリューションでは、WebEx、Box、Dropbox などのアプリが通常の80と443を超えるポートを使用するため、DNSとビデオトラフィックを含むすべてのポートとプロトコルのトラフィックを分割する必要もあります。

レガシーテクノロジーが不十分な理由

従来のファイアウォールは、彼らがない意味ないプロキシHTTPまたはFTPトラフィック、缶タイプの完全なコンテキストはありませRであるセキュリティのequiredを。彼らは既知のシグネチャに基づいてトラフィックを検査することしかできません。これはすべての脆弱性のわずか3〜8 %をキャッチするため、組織はDNSトンネリングなどの攻撃にさらされます。さらに、DNSトラフィックを分割しないと、通常、ユーザーが最も近いインスタンスに接続されなくなり、アプリケーションのパフォーマンスとユーザーエクスペリエンスに悪影響を及ぼします。

角を切ることはオプションではありません

ローカルブレイクアウトを保護するために、一部の組織はセキュリティアプライアンスを各場所に展開しますが、このような複雑なブランチ展開の購入、構成、管理、および維持のコストのために、すべての場所でインターネットゲートウェイセキュリティスタックを複製する組織はほとんどありません。

手を抜くために、組織はブランチの場所に最適なセキュリティ制御を備えていない、より小さなファイアウォールとUTMアプライアンスを展開することにより、セキュリティに妥協します。このアプローチでは、組織全体のさまざまな容量と機能を管理する必要があり、ポリシー制御が複雑になり、ポリシーの一貫性が失われ、監査証跡が断片化することがよくあります。これらのセキュリティの侵害により、ブランチ、つまりネットワーク全体が脆弱になります。

または、アプライアンスベンダーは、ハブを確立し、これらの地域のデータセンターへのトラフィックをバックホールすることを推奨します。このアプローチは、各ブランチロケーションにアプライアンスを展開するコストと複雑さを軽減する可能性がありますが、修正されたハブアンドスポークネットワークを作成するだけで、対処するために設定した課題を解決せず、必要な直接的インターネット接続を確立しません。トラフィックをインターネットに効率的かつ安全にルーティングするには、クラウドセキュリティプラットフォームが必要です。

すべてのcloudが平等に作成されるわけではありません

自家発電機を使って発電所を建設するのは非効率的で規模を欠いていて、意味がありません。また、シングルテナントアプライアンスでセキュリティクラウドを構築することも意味がありません。次世代ファイアウォールやUTM などのレガシーテクノロジーは、クラウドソリューションに必要なアーキテクチャを欠いており、クラウドに転用することはできません。

仮想化ファイアウォールの使用は、ゼロからクラウド用に設計されたマルチテナントクラウドセキュリティプラットフォームと同じではありません。仮想化されたファイアウォールには依然として容量の問題があり、SSLトラフィックを検査したり、新しいセキュリティ機能を追加したりすると、パフォーマンスが影響を受けます。それはまだ箱であり、単なる物理的な箱ではありません。進化する要求を満たすために拡張することはできません。

マルチテナントプラットフォームでは、アプライアンスや仮想化アプライアンスで発生するサービスチェーンとは異なり、遅延を増加させる追加のホップを必要とせずに、すべてのセキュリティサービスを1つのパスで提供できます。また、プラットフォームはクラウドベースであるため、ブランチにいても本社にいても、セキュリティスタックが役立ちます。クラウドアプリケーションを安全に有効にするには、ニーズに合わせて柔軟に拡張できるマルチテナントプラットフォームが必要です。

プロキシベースのアーキテクチャ

SSL暗号化トラフィックが増加しているため、そのトラフィック内に隠れている脅威も増加しています。Googleの報告によると、プロパティを通過するトラフィックの90%以上が暗号化されているため2、SSLインスペクションはオプションではなくなりました。ただし、SSLインスペクションにはプロキシが必要です。最高のセキュリティを実現するには、パフォーマンスを低下させることなく、SSL暗号化トラフィックを大規模にネイティブに検査するプロキシが必要です。

レガシーテクノロジーが不十分な理由

従来のアプライアンスベースのファイアウォールとUTMは、SSL 暗号化トラフィックをネイティブに検査できないため、ソフトウェアベースのボルトオンソリューションが必要です。ただし、SSL インスペクションを有効にすると、アプライアンスのパフォーマンスに大きな影響があります。仕様を確認してください。アプライアンスのライフサイクルは状況を悪化させます。通常、組織は3〜5年のアプライアンス更新サイクルを計画しているため、SSL検査とパフォーマンスのニーズが5年後にどのようになるかを推測する必要があります。

将来のSSLインスペクション要件を予測することはせいぜい困難であり、通常は3つの潜在的な結果の1つになります。パフォーマンスが問題になると、計画外の高額なセキュリティアプライアンスのアップグレードが必要になる場合があります。または、SSLインスペクションをバイパスするように強制される場合があります。SSLトラフィックの将来の増加を見越して、今日購入するアプライアンスとそれに関連する脅威の量を過大に支出し、過剰にプロビジョニングする可能性が高くなります。

また、証明書の管理についても忘れないでください。アプライアンスまたはVNFソリューションでは、証明書をすべてのデバイスに手動でインストールする必要があります。ブランチやリモートロケーションが多数ある場合に、このプロセスを管理して証明書を最新の状態に保つことができると期待するのは現実的ではありません。SSL暗号化トラフィックを効果的に処理するには、ソリューションでネイティブSSLインスペクションを大規模に有効にし、証明書の集中管理を提供する必要があります。

グローバルクラウド

ネットワーク境界の概念は劇的に変化しました。あらゆる場所で作業し接続するユーザーにセキュリティとアクセス制御を提供する必要があります。また、どこにいても一貫したセキュリティレベル(セキュリティスタック全体のレベル)が必要です。マルチテナントアーキテクチャのグローバルクラウドは、ユーザーの移動先に関係なく、一貫したセキュリティを提供します。複数の支店や場所を持つ組織が必要とする信頼性と可用性を提供します。

レガシーテクノロジーが不十分な理由

MPLSを介してリージョナルハブにトラフィックをバックホールするか、トラフィックを少数のデータセンターにルーティングすることにより、出力ポイントを制限すると、地理的なギャップ、遅延、およびユーザーエクスペリエンスの低下を引き起こします。また、規制は地域によって異なるため、データプライバシーのコンプライアンスも複雑になります。ユーザーエクスペリエンスを向上させ、コンプライアンスを簡素化するには、グローバルフットプリントを真に提供するベンダーを選択してください。データセンターと出力ポイントは、すべての地域のブランチユーザーの近くにある、キャリアに中立な交換である必要があります。重要なアプリケーション4 とのピアリングと組み合わせることにより、近接性は最速の接続、優れたアプリケーションパフォーマンスを提供し、データプライバシー要件へのコンプライアンスを容易にします。私たちの言葉を信じないでください。 2017年、マイクロソフトは、Office 365などのより多くのアプリケーションがクラウド5に移行するにつれ、ローカル出力と直接インターネット接続の重要性を強調しました。

エンタープライズグレードの可視性と管理

ユーザー、アプリケーション、および場所によるリアルタイムの可視性は、特に広く分散している組織にとって、セキュリティの展開に不可欠です。ログの欠落を心配したり、断片化したログをつなぎ合わせたり、複数の管理プラットフォームを使用してインターネットログを表示したりする必要はありません。

レガシーテクノロジーが不十分な理由

さまざまなアプライアンス間でアクティビティを関連付け、タイムリーな方法で可視性とレポートを提供することは、アプライアンスがすべてのブランチに分散しているため、ほとんど不可能です。1日に何百万ものトランザクションが存在する場合、そのようなタスクを実行することは非現実的です。従来のセキュリティアプライアンスを使用してネットワーク全体にネットワークとポリシーの変更を実装するには、通常、個別の管理インターフェイスを使用するか、専門のITスタッフが各サイトで構成を手動で展開する必要があるため、どこでも一貫したポリシーを維持することが困難です。場所が20か、それとも200以上あるかにかかわらず、場所固有の構成を作成してプッシュする時間やリソースがない可能性があります。ポリシー管理を簡素化する必要があります。

さらに悪いことに、NGFWおよびUTMソリューションでは、アプライアンスのサイジング時にログのサイズとボリュームを見積もる必要があります。ログスペースがいっぱいになると、アプライアンスはログを上書きします。一部のアプライアンスは7日間のログしか記録せず、それらのメーカーは、独自のログリポジトリを構築するために(追加のコストとサイズで)中央マネージャーを購入することを提案しています。これは、ビジネスの成長にうまく対応できないソリューションです。

ソリューションはIT運用を簡素化する必要があり、複雑にする必要はありません。理想的なソリューションでは、ライセンスを追加したり、スクリプトを追加したりせずに、ポリシーを一元的に作成して複数のブランチにプッシュすることができます。ポリシーを作成し、場所を選択し、ボタンを押してポリシーを適用および適用するだけの簡単なものでなければなりません。

柔軟なスケーラビリティ

クラウドアプリケーション機能の最適化は、トラフィック量に関係なく、パフォーマンスとセキュリティ機能の一貫した配信に依存しています。 また、機能、機能、またはユーザーが追加されてもユーザーに影響が及ばないことを意味します。 簡単に言えば、弾力的に拡張してリソース集約型アプリケーションをサポートし、新しいセキュリティ機能を有効にし、コストや複雑さを増すことなくネットワークトラフィックの増加に対応できるマルチテナントセキュリティプラットフォームが必要です。

レガシーテクノロジーが不十分な理由

Office 365のようなクラウドアプリケーションはリソースを大量に消費するため、ユーザーごとに長期間の接続が生成されます。このような接続の変更は、アプライアンスが必要な接続をサポートできないため、アプライアンスがローカルに展開されている場合でも、アプライアンスを圧倒し、パフォーマンスを著しく低下させる可能性があります。これを補うために、組織はセキュリティハードウェアを頻繁に交換し、高価なアプライアンスのアップグレードを実装する必要があります。

トラフィックを効果的に管理するには、ビジネスに不可欠なアプリケーションに優先順位を付け、アプリケーションが消費する帯域幅を制限する機能が必要です。アプライアンスは、他のトラフィックよりもビジネスアプリケーションを優先するようには設計されていません。NGFWアプライアンスとUTMアプライアンスで使用される帯域幅ポリシングでは、パケットドロップと追加の遅延が発生します。複雑で高価なアプライアンスの無秩序な増加、貧弱なユーザーエクスペリエンス、ボトルネックや帯域幅の競合に対して脆弱な企業になってしまいます。これらの課題に対処するには、ソリューションに帯域幅制御を含めて、YouTube、ストリーミングスポーツイベント、または重要ではないビジネストラフィックを介して、最も重要なアプリケーションのトラフィックに優先順位を付けることができるようにする必要があります。

帯域幅の割り当てと追加サービスの有効化に焦点を移しましょう。あなたが数十の場所からトラフィックを送信しているグローバル企業であると想像してください。シングルテナントテクノロジーを選択すると、組織のセキュリティスキャンを実行するために必要なリソースが制限されます。トラフィックが急増した場合、その急増に対応するのに十分な帯域幅が割り当てられていない可能性があり、コストが高くなる可能性があります。結局のところ、トラフィックのスパイクをシームレスに処理するためにリアルタイムでスケーリングするソリューションが必要です。マルチテナントのセキュリティプラットフォームの利点の1つはスケーラビリティです。どのテナントもクラウドの任意の割合を消費できます。ニーズが拡大すると、それに応じてスケーリングできます。

セキュリティプラットフォームで追加のサービスを有効にすることも、パフォーマンスに影響を与えることなく、リアルタイムで行われる必要があります。アプライアンスでは、新しいサービスを有効にするために、新しい機能を展開する各サイトで専用ユニットまたはアプライアンスの更新が必要になることがよくあります。実装にはコストと時間がかかり、組織全体でアプライアンスの無秩序な増加と一貫性のない保護につながります。仮想化されたファイアウォールも例外ではありません。それらは容量に制限があり、SSLトラフィックを検査したり、新しいセキュリティ機能を追加したりすると、パフォーマンスが影響を受けます。けれども、それはあなたのデータセンター内の物理ボックスではなく、仮想マシンはまだボックスで数年ごとにアップグレードする必要があります。増大する需要を満たすために拡張することはできません。

ブランチ変革の実現

トラフィックをインターネットに直接ルーティングすることにより、ユーザーの近くにセキュリティを配置し、高速で安全なユーザーエクスペリエンスを実現します。クラウドサービスとして配信することで、ユーザーが本社にいるか、支店に移動しているかに関係なく、セキュリティがユーザーに追随してすべての場所に同一の保護を提供できます。すべてのユーザーが、ネットワーク上でもネットワーク外でも、同じように一貫した継続的な保護を利用できます。

100%クラウド対応アーキテクチャ上に構築されたソリューションは、市場の他のセキュリティソリューションとの関係で独自に位置付けられる5つの主要要件を具体化します。

完全なセキュリティプラットフォーム

セキュリティスタック全体をクラウドサービスとして提供します。これには、クラウドファイアウォール、クラウドサンドボックス、帯域幅制御、脅威防止、データ損失防止が含まれ、すべてのブランチでセキュリティアプライアンスをバックホールまたは展開する必要はありません。このサービスは、HTTP、HTTPS、DNS、SSL暗号化トラフィックを含むすべてのポートとプロトコルを検査し、一貫した永続的なセキュリティを確保します。セキュリティの妥協はもうありません。

プロキシベースのアーキテクチャ

大規模なネイティブSSLインスペクションは、SSL暗号化トラフィックを、アプライアンスやボルトオンソリューションなしで、パフォーマンスに影響を与えることなく処理できることを意味します。また、証明書の集中管理により、ブランチからのSSLトラフィックを簡単に検査できます。ブランチトラフィックのSSLインスペクションをバイパスする必要はありません。

グローバルクラウド

ゼロからクラウド用に設計されたマルチテナントセキュリティアーキテクチャ上に構築されています。本社、支社、または外出先など、どこに接続するかに関係なく、ユーザーに同じ保護を提供します。5つの大陸にある100を超えるデータセンター、および重要なアプリケーションとの直接ピアリングにより、インターネットをユーザーに近づけ、高速接続、アプリケーションパフォーマンスの向上を実現し、ビジネスニーズに生産的なユーザーエクスペリエンスを提供します。

可視性と管理

すべての場所のアプリケーション、ユーザー、脅威をリアルタイムで可視化します。Nanolog ™ストリーミングサービス(NSS)を使用して、カスタマイズされたトランザクションログをSIEMにストリーミングし、脅威を検出して対応し、ネットワークをさらに可視化するのに役立つ洞察を提供できます。ITチームは、単一の集中型クラウドベースコンソールから、新しいサービスをアクティブ化し、ポリシーを定義してすぐに適用し、すべてのブランチロケーションを管理できます。

柔軟なスケーラビリティ

マルチテナントセキュリティプラットフォームを使用すると、トラフィックをローカルにインターネットにルーティングし、トラフィック量に関係なく一貫したセキュリティとパフォーマンスを提供し、帯域幅管理ポリシーを適用して、重要なビジネスアプリケーションを他のトラフィックよりも優先させることができます。クラウドアプリケーション、ネットワークトラフィックの増加、予期しないトラフィックスパイクをサポートするために、柔軟にスケーリングします。

ブランチを変換し、安全なローカルブレイクアウトを確立する準備ができていますか?

アプリケーションがクラウドにあり、ユーザーが世界中のブランチにいる場合、従来のハブアンドスポークネットワークを介してブランチトラフィックを強制することは効果的ではありません。トラフィックをインターネットに直接ルーティングすることで、ネットワークとセキュリティを変革する時が来ました。次のステップを検討するときは、5つの重要な要件に留意してください。クラウドファーストエンタープライズをサポートするように設計および構築されたソリューション、つまり、コストを削減し、より優れたユーザーエクスペリエンスを実現し、本社またはブランチオフィスですべての場所に同じエンタープライズ保護を提供するソリューションから、ブランチの変革の旅を始めます。

アプリをOffice 365に移行する際の主な課題

Office 365の移行の最中のほとんどのITおよびネットワークリーダーのようであれば、完全に準備されたさまざまな変更や状況に遭遇した可能性があります。移行を始めたばかりか、順調に進んでいるかに関係なく、Office 365はその機能の点で、そしてネットワークへの影響の点で大きな問題です。

続きを読む

セキュリティを損なうことなくSD-WANを使用したブレイクアウト

アプリケーションがクラウドに移行し、インターネットを宛先とするトラフィックが増えるにつれて、企業はSD-WANを使用してトラフィックをローカルに効率的にルーティングするようになっています。

本記事では、SD-WAN(Software Defined – WAN)の俊敏性を組み合わせて、高速で安全なローカルインターネットのブレイクアウトを作成する方法について説明します。

  • 組織がSD-WANを採用している理由
  • ローカルインターネットのブレイクアウトがSD-WANのメリットを最大化する方法
  • ローカルインターネットのブレイクアウトに関連するセキュリティの影響

続きを読む

高速なOffice365ユーザーエクスペリエンスを取得する

スムーズな移行、迅速な結果のための推奨事項

Microsoft Office 365への移行は困難な場合があります。高速なユーザーエクスペリエンスからコスト削減の生産性プラットフォームに至るまで、ユーザーとCIOはOffice 365のすばらしい機能を期待しています。Skypeなどの遅延の影響を受けやすいアプリケーションを含む複数のアプリとサービスを使用する場合、最速のOffice 365エクスペリエンスを実現するためにネットワークを最適化することが重要です。

本論文では、我々はよ、あなたが改善することができる方法のいくつかの議論にOffice 365の展開のパフォーマンスを。次の内容を取り上げます。

  • Microsoftの接続ガイダンスと、回避すべき一般的なネットワークの問題
  • ネットワークをOffice 365にクラウド対応にするために必要なこと
  • ユーザーが愛するOffice 365アプリケーションエクスペリエンスを提供する方法

Office 365に関するMicrosoftのガイダンスおよび回避すべき一般的なネットワークの問題

Microsoftは、Office 365の公式の接続ガイダンスで、接続とルーティングに関する非常に明確な推奨事項を提供しています。このガイダンスを支える3つの原則を次に示します。

1. Office 365のトラフィックを識別して区別する

マイクロソフトは、Office 365トラフィックを他のトラフィックから分離することをお勧めします。パフォーマンスとコストの両面で、適切に構成された直接インターネット接続がOffice 365 への接続に最適な方法です。

トラフィック識別の推奨事項

Microsoftのガイダンスで不足しているように見えるのは、帯域幅管理です。これは、Office 365のユーザーエクスペリエンスを損なう可能性があることを何度も繰り返してきたためです。私たちの経験では、インターネットの帯域幅が40%以上増加する可能性があると想定しても安全です。洗練された帯域幅管理コントロールを実装して、特に競合時におけるOffice 365トラフィックの優先順位付けを保証します。

2. ローカルでエグレスネットワーク接続

最高のパフォーマンスを得るためのMicrosoftの中核的な推奨事項は、中央ゲートウェイへのトラフィックのバックホールではなく、「ローカル下り」の使用に基づいています。

ExpressRouteでのOffice 365の使用について

ExpressRouteはOffice 365の良い選択のように思えるかもしれませんが、Microsoft はその使用に関して特定のガイダンスを提供しています。ExpressRouteとOffice 365に必要な慎重な計画と展開の要件により、大規模で成熟したIT組織のみがこのオプションを検討する必要があります。これは、トラフィックルーティングとITリソースの両方の観点から実装する重要なプロジェクトです。ほとんどの組織では、ローカルの下り(直接インターネットへのアクセスとも呼ばれます)接続-Office 365への最適なルートになります。

Office365の推奨事項

DNS戦略を検討する:ローカル下りはOffice 365のパフォーマンスの鍵ですが、DNS戦略を検討することもできます。直接インターネットを採用している支社の場合、ユーザーに最も近いDNS に解決する必要があります。microsoft Office 365接続に対して常にローカルであるDNSインフラストラクチャを活用することで、トラフィックが不必要なホップをとらないようにすることができます。

3.バイパスプロキシの評価

遅延を増加させる可能性がある集中型ゲートウェイおよびプロキシアプライアンスを回避することをお勧めします。OutlookやSharePointなどのOffice 365アプリは、VPNなどを使っているとファイアウォールをすぐに使い果たす長時間のセッションを多数作成する可能性があり、ユーザーエクスペリエンスに影響を与えます。Office 365のエンタープライズユーザーがインターネットに直接アクセスできない場合、ランダムなハングや接続の問題が発生する可能性が高くなります。

アプライアンスを使用したローカルの下り/直接インターネット接続について

直接インターネットのローカル下り接続を使用している各ブランチでアプライアンスを購入、展開、および維持するには、コストがかかります。継続的なファイアウォールの更新が必要です。単一のIPまたはURLの更新がないと、接続の問題が発生します。

インターネット接続の推奨事項

ローカル出力接続の保護:すべてのローカル出力にセキュリティアプライアンスをインストールしてOffice 365の移行に複雑さとコストを追加する代わりに、これらの接続を保護するクラウドセキュリティプラットフォームを検討する必要があります。MicrosoftはOffice 365トラフィックの検査を推奨していませんが、ローカルの残りのオープンインターネットトラフィックは引き続き保護する必要があります。クラウドセキュリティプラットフォームを採用することで、ブランチでの帯域幅の消費の問題に悩まされることがなくなり、最初にOffice 365に移行することで、目標とする節約を維持できます。

Office 365とダイレクトなインターネットへの接続

700以上の企業がOffice365の移行に使用しています。世界最大のセキュリティプラットフォームは、Office 365の導入を容易にします。オープンなインターネットトラフィックに対して最高レベルのセキュリティを維持しながら、ローカルのインターネットブレイクアウトを介して高速なOffice 365およびインターネットエクスペリエンスをユーザーに提供します。

前例のないOffice 365の可視性

管理ポータル、簡単にOffice 365のが使用されているかを理解することができ、組織全体で。ユーザーがOffice 365 アプリケーションをどの程度適切に採用しているかを理解し、ブランチオフィス全体の潜在的な移行の課題を特定できます。

個人および機密データの発見、分類、保護

本記事の概要

世界的なプライバシー規制、個人データの爆発的な増加、データ損失の増大、顧客の期待の高まりに伴い、組織は個人データや機密データのインテリジェンスと保護を自動化し、最適化する必要があります。厳格な規制と執行の強化により、企業はプライバシー規制の違反や違反行為に伴う莫大なコストに直面する可能性があります。企業は、データプライバシーとセキュリティのガバナンスポリシーを策定し、これらのポリシーの実施と伝達を包括的な保護ソリューションと戦略的に統合しなければなりません。拡大するデータ環境を保護するためには、次世代ツールを使用してデータの移動とアクセスを発見、分類、監視し、データ対象者とアイデンティティをマッピングし、センシティブデータのリスクを継続的に分析して追跡し、セキュリティ管理の動的な適用を自動化してオーケストレーションし、データプライバシー対策のステータスを効果的に伝達するデータセキュリティが必要となります。センシティブデータリスクのモニタリング、投資の優先順位付け、および保護をより積極的かつインテリジェントに行うためには、これらのツールには以下の機能が含まれていなければなりません。

  • 規制要件を満たすためにビジネスとテクノロジーのプロセスをリンクさせたプライバシーポリシー
  • 自動化された統合されたセンシティブなデータ発見、拡散分析、AIによる異常なユーザー活動の検出、多因子データリスク分析
  • データ対象者のアクセス要求をサポートし、同意管理システムとの統合をサポートするための機密データへのアイデンティティのマッピング
  • データ中心のセキュリティを活用したアクショナブルなインテリジェンスにより、単一のプラットフォームで修復のオーケストレーションをサポートし、データ対象者の権利と同意の要求に対応します。
  • 今日の複雑なハイブリッド環境を幅広くカバー

この記事では、GDPRHIPAACCPA、FINRA などのデータ・プライバシー規制へのコンプライアンスを向上させながら、これらの機能がデータ損失や誤用のリスクをどのように低減するか、特に総所有コストを低減する包括的な単一プラットフォームで提供されている場合には、どのようにするかを検討します。さらに、この記事では、以下の6つの重要な分野における機能性を評価する際に、組織が考慮すべき点について説明しています。

  1. データガバナンスポリシーの管理
  2. 個人データやセンシティブデータの発見と分類
  3. 個人のアイデンティティのマッピング
  4. リスクの分析と追跡
  5. 個人データやセンシティブデータの保護と被験者の要求と同意の管理
  6. 個人情報保護に関する措置と状況の伝達

最後に、この記事では、データプライバシーソリューションを実装するために必要なことを取り上げ、データ中心のセキュリティソリューションを適切に展開することのメリットを強調しています。

増え続けるデータ量とプライバシー規制

2025年までに、世界のデータ量は2017年に生成されたデータの10倍になると予測されています。
この指数関数的なデータの増加は、多くの課題を提示しています。

  • 構造化データ、半構造化データ、非構造化データの多様性
  • Hadoopノード、クラウドインスタンス、ファイルサーバー、リレーショナルデータベースなどのデータストアから、データが世界中に移動する際の増殖
  • より多くの場所、機能、地域からより多くのユーザーを獲得
  • このようなデータの増加は、コンプライアンスに対する要件が異なる国や地域のプライバシー規制の出現によって、さらに複雑になっています。このようなプライバシー法制の波は、個人データや機密性の高いデータを正確かつ継続的に理解し、管理することを企業に求めています。 オンサイト、リモート、モバイルアクセスポイントの急激な成長。変化する世界的なプライバシー規制に対応するために必要なエンタープライズ、データ、インテリジェンスを実現するためには、機密データの発見、分析、監視、保護のための従来のアプローチに頼ることはもはやできません。多額の罰金の脅威と顧客の信頼を維持する必要があるため、企業は早急に全体的なアプローチを取る新しいデータセキュリティのパラダイムに移行する必要があります。
  • ポリシーの変更やコンプライアンスレポートを効率的に処理するデータガバナンスの一元管理
  • 機密データの継続的な監視とリスク分析により、セキュリティプログラムと投資の優先順位付けを容易にします。
  • データ対象者へのアクセス要求や同意管理との統合をサポートするために、アイデンティティに基づいてセンシティブなデータのグローバルかつ粒度の高い分析を提供するアイデンティティベースのインテリジェンス – 企業内外やパートナー組織とクライアント組織間のデータの動きを完全に理解できる豊富でインタラクティブなビジュアライゼーション
  • 発見、リスク、監視を自動化されたリメディエーションにつなげる統合されたプロテクション

データプライバシーに関する重要な要件

最高情報セキュリティ責任者(CISO)、エンタープライズ・アーキテクト、およびプライバシー担当者は、新たな脅威が発生したときにそれを検知するために、企業のデータ資産を継続的に、文脈に沿って、そして迅速に保護する必要があることを知っています。しかし、企業規模でこの目標を達成するためには、いくつかの課題に取り組まなければなりません。

標準化、一貫性、および監査

何千ものデータストアを保護するために、組織はデータ定義とそれに関連する保護およびガバナンスポリシーを標準化する必要があります。一元化されたポリシー管理がなければ、セキュリティ担当者やアーキテクトは、ポリシーの変更を一貫して管理したり、コンプライアンスを監査して追跡したりすることができません。

精度と効果

絶えず変化する環境の中で高い信頼性の高い精度を維持するためには、データ・プライバシー・ソリューションには、データ・コンテキスト、対象者のアイデンティティ・マッピング、ユーザー行動分析、およびリスク分析が必要です。これらがなければ、ソリューションは多くの誤検知を発生させ、継続的なプライベートデータ保護に効果がありません。

スケーラビリティとタイム・トゥ・バリュー

厳しい期限内にリスク低減を実現するには、各データストアを個別に保護するよりもはるかに短い時間で多くのデータストアを保護できるように拡張できる自動化されたデータ・プライバシー・ソリューションが必要です。これは、潜在的なデータセキュリティリスクに即座に対応しなければならないセキュリティおよびコンプライアンス担当者にとって、喫緊の課題となっています。実際、ガートナーは、「(金銭的な影響を防止または最小化することを目標に)過度のリスクを検知して対応するためにセキュリティチームがかかる時間は、今後10年間で最も重要なセキュリティ指標の1つになるだろう」と予測しています。直感的な操作性、アクション、ワークフロー、人工知能(AI)、自動化のオーケストレーションがなければ、データ・プライバシー・ソリューションは拡張もできず、価値を生み出すまでの時間を短縮することもできません。

中断のない継続的な保護

データ・プライバシー・ソリューションは、データ、使用状況、ユーザー、および規制が常に変化する環境において、データ保護とコンプライアンスの洞察を維持するために十分な柔軟性を備えていなければなりません。ポリシーのカスタマイズやリスクの定期的な再評価をサポートできないソリューションは、真の意味での継続的なプライベートデータの保護を提供することはできません。

すぐに使える導入の準備

今日の CISO やプライバシー担当者は、自動化や AI を活用した新しい機能を備えたセキュリティへのデータ中心のアプローチを必要としているだけでなく、可能な限り現行のセキュリティ対策からより多くの価値を引き出す能力も必要としています。セキュリティエコシステムに追加する場合は、SSO、パスワード管理、Ranger™、Sentry™、業務管理SaaS、シールド、暗号化、トークン化ソリューションなど、既存の企業のセキュリティ対策と簡単に統合できるように、APIを活用する必要があります。

ハイブリッド環境のサポート

金融サービスやヘルスケアから交通機関やエンターテイメントまで、あらゆる業界の組織がデジタルトランスフォーメーションの何らかの段階に入っている。この段階では、彼らの世界はハイブリッドなものとなっています。データ保護ソリューションを選択する際には、従来のオンプレミスシステムで管理されているか、マルチクラウド環境で管理されているか、構造化されたデータ形式と構造化されていないデータ形式のいずれかで構成されているビッグデータで管理されているかに関わらず、すべてのデータソースをカバーする必要があります。

データプライバシーソリューションの評価

個人データを保護するためには、以下の基本的なことから始めなければなりません。

  1. 機微なデータを適切に取り扱うためのポリシーの設定
  2. 機密データがどこにあるかを理解し、一貫して分類する
  3. 個人のアイデンティティと機密データのマッピング
  4. データリスクの分析と追跡
  5. 機密データの保護とリスクの是正
  6. 測定、伝達、監査対応

これらの基本的な要件をサポートするために、機密データを管理するプラットフォームには、以下の機能領域が含まれていなければなりません。

ガバナンス ポリシーの定義と管理

この能力は、機微なデータ要素と、適用されるすべての規制や法律に準拠してそれらを保護するためのプロセスを定義します。多くのデータガバナンスプログラムは、規制遵守の世界から生まれました。組織にとって、規制はプログラムに必要な目的を提供すると同時に、プログラムを成長させるための経営陣のサポートと資金を提供します。多くの場合、新しいデータガバナンスプログラムは、新しいプログラムのためのポリシー、プロセス、および手順に取り組むために、一度に1つのプロジェクトに取り組むという小規模なものから始める必要があります。コンプライアンスのためには、プログラムがプライバシー規制に関連して必要とされる基礎的な作業に集中する一方で、プログラムの成長に合わせて、価値の高い企業資産としてデータを全体的に管理するという将来を見据えていることを意味します。新しいプログラムを立ち上げたり、新しいプライバシー規制のガイドラインに沿って作業を進めたりする中で、データガバナンスプログラムのリーダーは、いくつかの重要な項目を確認することになるでしょう。誰がデータに安全にアクセスできるのか、チームメンバーが組織の境界を越えてデータをどのように扱うのかなど、高レベルの内部ポリシーを構築する必要があります。また、同じプログラムのオーナーは、ビジネス用語集やデータ辞書も作成します。この用語集は、データ要素の単一の真実のポイントとなります(例えば、すべてのチーム・メンバーが正確に「顧客」とは何かを定義するなど)。実際には、これは組織がビジネス機能を超えて協力して、ポリシーの定義と要件を把握して調整し、被験者登録要求に対応するプロセスを文書化し、同意管理フレームワークを決定して文書化する権限を与えられることを意味します。そして、各データガバナンスおよびプライバシーポリシーの実施、管理、対応、および是正のための所有権と説明責任を割り当てる。さらに、以下の機能を備えたソリューションを探すことも検討してください。

  • 個別のアプリケーションではなく、統合されたプラットフォームの一部としてポリシーを管理します。
  • 機密データのためのシステムとプロセスの流れをマップ化
  • プライバシーと保護の結果を文脈の中で可視化する
  • 影響を受けるすべてのステークホルダーに結果を報告する
  • 管理されているすべての成果物に対して監査証跡を提供する。
  • 相互作用の時点でデータ対象者の要求への応答を自動化する

個人データと機密性の高いデータの発見、分類、理解

この機能は、センシティブなデータを自動的に特定し、リスクをランク付けし、分類することで、センシティブなデータがどこに存在し、組織全体でどのように増殖しているかを広く深く理解することができます。従来のデータ発見および分類ツールでは、機密データを含むデータベースを特定するために、そのデータが存在するテーブルや列の名前をリストアップしていました。このアプローチでは、保護が必要な場所をある程度把握することができますが、どこから手を付ければよいのか、機密データが他のデータストアを介して増殖している場所はどこなのか、あるいはデータがすでに保護されているかどうかを示すガイダンスは提供されていません。

データストアをスキャンして機密データを発見する

このソリューションは、スケーラビリティに関する組織固有のニーズを満たす必要があり、複数のベンダープラットフォームや、以下のような異なるデータリポジトリをスキャンできる必要があります。

  • メインフレームを含む従来のリレーショナル・データベースにまたがる構造化データ
  • クラウドアプリケーション
  • HDFSやAmazon S3上の半構造化データ(CSV、XML、JSONなど
  • CIFS NFS上の構造化されていないデータ
  • SharePoint
  • 従来の構造化データストア

また、すでに保護されているデータストアからデータ保護方法やステータスをインポートできるようにする必要があります。さらに、管理とスケーリングを容易にするために、以下の機能を検討してください。

  • エージェントレススキャン
  • スキャンジョブをスケジュールする能力
  • 誤検出と処理
  • メタデータ、データ、またはその両方を使用するようにスキャンを設定する能力

機密データの分類

この機能には、クレジットカード番号、住所、氏名、その他の個人情報などの機密データ領域の検索定義を作成したり、変更したりすることが含まれます。機微なデータの分類には、プライバシー規制に準拠するために必要に応じてカスタムの分類ポリシーを作成する機能も含まれています。理想的には、GDPR、HIPAA、PII、PCIPHIなどの主要な規制に準拠するために、すぐに使えるデータドメインを備え、さらに追加の要件をカバーするためにカスタムドメインと分類ポリシーを作成する機能を備えていることが必要です。また、以下のような機能も提供する必要があります。

  • 分類ポリシーテンプレートを活用して、プライベートデータの定義を迅速に作成し、データの感度レベルを指定する。
  • すべてのデータドメインをインポートすることなくアクセス可能
  • パターンマッチング(正規表現を含む)、参照テーブル、複雑な組み合わせルール(例:名前+住所+SSNがある場合のみ一致)を使用して、メタデータとデータの両方の検索定義を作成します。
  • データに対する論理的なチェック(合計のチェックなど)や、検索結果が競合した場合の優先順位付けルールなど、正規表現以外のルールなど、高度な検索ルールを作成することができます。
  • 適合性スコアリング(例:選択された行のxx%以上が一致した場合のみ受け入れる)、ブラックリスト、ホワイトリストにより、誤検出を最小限に抑えます。
  • 分類ポリシーに一致する各行のデータ損失のコストを見積もる

機密データが増殖する場所を理解する

データの拡散には、各機密データレコードが組織内の他のデータストアにも存在する場所を特定して追跡し、そのレコードが拡散している場所を理解し、監視し、保護するためのドリルダウン機能を提供することが含まれます。理想的には、このソリューションには、次のようなすぐに使えるツールが付属していることが必要です。

  • サードパーティのメタデータプロバイダ(Microsoft、Cloudera、Hortonworks など)からのデータストアを介したセンシティブデータの移動を追跡する。
  • 組織のグローバルな機密データと、その拡散パターンを地域や部門間でリッチに可視化します。
  • 機密性の高い記録のアクティビティが最も多い ID、データストア、データドメイン、および部門のランク付けリストを継続的に更新します。
  • 選択した 2 つのシステム間で増殖している機密ドメインとカラムを表示するためのドリルダウン機能を提供します。

マップアイデンティティ

この機能は、組織のデータストアに個人データが保持されているデータ対象者、または個人のインデックスを作成することで、データプライバシーのGDPR準拠をサポートします。また、このソリューションには以下の機能が含まれている必要があります。

  • 識別された各対象者の個人データがどのデータストアに保存されているかのマッピング
  • 対象者の地理的位置および個人データを保有するデータストア
  • 個人の包括的なデータフットプリントとリスクを見るためのデータ対象ごとの検索性
  • データ侵害の通知、対象者の忘れられる権利(RTBF)、データのポータビリティとアクセスを求める対象者の要求をサポートします。
  • 同意管理との統合:多くの組織は、データの使用方法を管理するためにマスターデータ管理に依存しています。

データリスクの分析と追跡

この能力は、データストアを相互に比較して保護努力を促進するリスクスコアを生成する共通のリスクフレームワークにおいて、定義されたポリシーに基づいてセンシティブデータのリスクコストを計算します。ソリューションは、各データストアのリスクを計算するために、リスクフレームワークに複数の調整可能な要因を含める必要があります。以下のような要因を探します。

  • データの分類/感度レベル
  • 機密データの量
  • データの保護状況
  • センシティブなフィールドの数
  • データの違反コスト
  • 機密性の高いデータの他のデータ対象への移動
  • データにアクセスできるユーザー数
  • 機密データに対するユーザー活動のカウント
  • リスクモデルを運用環境に合わせて調整するためにユーザーが定義したカスタムフィールド

組織は、組織の運用環境に基づいて、これらの要因のそれぞれの重み付けを微調整できるようにすべきである。理想的には、プラットフォームには、保護対策を実施する前に、個々のデータストアごとのリスクスコア計算をシミュレートする機能が含まれていることが望ましい。

ユーザーのアクセスとユーザーの活動を監視する

この能力は、機密データへのアクセス権者とその使用方法を把握することで、プラットフォームをより動的なものにし、リスクスコアリングを向上させます。ユーザーの活動を機密データと相関させるためには、この能力は、生のユーザー活動ログファイルをリアルタイムでインジェストし、以下を統合することができなければなりません。このようなユーザー、ユーザーグループのメンバーシップ、ユーザーエイリアス、データストア、テーブル、およびカラムへのユーザーアクセスなどのLDAPおよびActive Directoryデータを使用して、これらのデータストアにアクセスします。機密データにアクセスしたユーザーやグループについて、ユーザー、データストア、発生時刻、その他の基準でレポートし、各データストアの全体的なリスクスコアリングにこのユーザーの活動を組み込むことができるようにする必要があります。

また、AIを活用して異常なユーザー行動を捕捉し、異常が検出された場合にアラートを生成し、適切なセキュリティチームの関係者に通知を送信する自動化を行う必要があります。さらに、ユーザーのアクティビティや行動のビューを充実させることができるソリューションを探すことも検討してください。

  • サポートされているすべてのデータストア・タイプのユーザー・アクティビティを分析します。
  • 個人の活動を迅速に表示し、レポートするための詳細なユーザープロファイルページを提供します。
  • システムログサーバーを活用して、業界標準のアクティビティログをインジェストする
  • ユーザーのアクセス権をインポート
  • ユーザー行動分析のためのリッチなビジュアライゼーションの提供

データの保護、被験者の権利と同意の管理

この機能は、定義された保護ポリシーを自動的に適用して、データを暗号化、マスク、またはその他の方法で保護します。ターゲットデータストア内で直接、または保護ワークフローを開始することで起動できます。

データ保護のために

永続的データマスキング、動的データマスキング、暗号化、アクセス制御、チケットシステム(業務管理SaaS など)、およびその他のデータ保護方法について、手動および自動化されたワークフローをサポートする必要があります。保護ポリシーの作成は双方向であるべきです。保護ルールはプラットフォーム内で構築され、保護ツールにプッシュされるべきです。リメディエーションには、注意を要する例外やその他の定義された条件をユーザーに通知するための通知やアラートを自動化する機能も含まれるべきです。また、アラートに応答して自動的にアクションを起こすスクリプトを作成する機能(例:ユーザーをある LDAP グループから別のグループに移動させる)も含まれている必要があります。包括的なデータ保護を提供する。ソリューションの中にこれらの機能を探すことを検討してください。

  • サポートされているすべてのデータストアタイプで動作する保護ツール
  • 暗号化、マスキング、アクセス制御などのデータ中心の保護
  • Ranger、Sentry、業務管理SaaSなどのサードパーティ製ツールとの統合
  • 発見と保護のための共通のポリシーフレームワーク

データ主体の権利のために。組織は、保有する顧客、従業員、および第三者のアイデンティティに関連するすべての個人情報および機密情報について明確な情報を必要としています。また、データ主体の権利の要求に対応するためには、データを実行可能なものにしなければなりません。自動化されたワークフローでは、情報を削除またはマスクする機能を提供する必要があります。さらに、組織は、個人のデータがどこで使用されているか、プライバシーリスクはどの程度かなど、個人に関する情報を瞬時に把握できるようにしなければなりません。データのプライバシーとコンプライアンスは、個人(すなわち、個人のデータが保護されているかどうか、個人が自分のデータをコントロールできるかどうか)を中心に据えています。このプライバシーの基盤を支えるためには、組織には以下のような ID 中心の機能が必要である。

  • 組織の機密データに含まれる個人を識別する。
  • 個人ごとにどのような機密データを保持しているかを理解する
  • 様々な属性(例:所在地、データストア、リスク、保護状況、各個人のセンシティブデータの利用)に関する情報を用いて、個人のアイデンティティによるセンシティブデータを理解する。
  • 個人の機密データを素早く見つけて、プライバシーの要求をサポートします。”どのようなデータを持っているのですか?”や “私のデータをすべて削除してください!”などのプライバシー要求をサポートするために、個人のセンシティブなデータを素早く見つけ出すことができます。

同意管理のため。組織は、システムと情報を結びつける接着剤として機能するマスターデータ管理(MDM)ソリューションを必要としています。MDMは、データ駆動型のデジタルトランスフォーメーションのための真実の単一ソースであり、顧客体験プログラム、マーケティングおよび販売業務、オムニチャネル小売、サプライチェーンの最適化、ガバナンスの取り組み、コンプライアンスの取り組みなどのために、信頼性の高い正確で完全なデータを提供します。必要な機能は以下の通りです。

  • データを単一のビューで表示し、異なる、重複する、または競合する複数の情報ソースを統合します。
  • 重要なデータと他のデータとのビジネス関係を360度見渡せる
  • すべてのインタラクションを完全に表示し、すべてのトランザクションをリンクして顧客行動を完全に表示します。

測定、伝達、監査対応

この機能は、機能横断的なコラボレーションをサポートし、監査人を満足させるための可視化とレポートを提供します。さらに、組織は継続的にリスクを測定し、ポリシーやプロセスがデータリスクにどの程度影響を与えているかを評価することができます。ビジネス機能の利害関係者のデータプライバシーの関心と要件を満たすために、プラットフォームは、以下のようなデータプライバシーKPIを追跡するダッシュボードと可視化を提供する必要があります。

  • IT: 監査/コンプライアンスサポート、資産価値とリスク、DevOpsプライバシー
  • セキュリティ:コンプライアンス、セキュリティ上の決定、データ保護 – プライバシー。GDPR、DPIA、データ対象者リスク、対象者へのアクセス要求、プライバシー準備測定/追跡
  • ビジネス/リスク:リスク低減、データガバナンス、規制遵守

この能力には、典型的な監査人の要求と予期せぬ監査人の要求の両方を満たすために、必要に応じてレポートを生成するためのサポートも含まれているべきです。

ソリューションの実装

組織は、センシティブデータに関連するリスクを包括的に把握することができるようにならないと、センシティブデータに関す るリスクを包括的に把握することはできません。

  • ガバナンスポリシーの定義と管理
  • データの場所、量、および拡散を特定する(すなわち、センシティブなデータが作成された場所と、それが組織内をどのように流れるか)。
  • 被験者のアイデンティティをマップする
  • 個人情報保護法の遵守と監査依頼
  • データ保護の状況を理解する(すなわち、現在データがデータセキュリティ管理によってどのように保護されているか)。

セキュリティチームは、すでに知っていることを確認するだけでなく、見落としている可能性のあることを理解する必要があります。定期的にリスクスコアリングを集計することで、セキュリティチームの盲点を定量的に把握することができ、優先順位を設定し、最もリスクの高い20%のデータに80%の労力を集中させることができます。

ユーザーの行動、行動、異常を理解する

データはそれ自体を危険にさらすものではなく、ユーザーは常に何らかの形で関与しています。その理由と方法を特定するために、セキュリティチームは分析、インテリジェンス、自動化を活用して、ユーザーの異常な行動を簡単かつ迅速に特定する必要があります。これにより、疑わしいイベントがより簡単に検出され、より正確に報告されるようになるため、IT 部門は潜在的な脅威からの防御や修正を迅速に行うことができます。

ポリシーや行動の例外に対するトリガーアラート

ポリシー、コンプライアンス違反、または疑わしい活動の種類ごとに、特定の保護技術とツールを割り当てることで、セキュリティチームの効率性と効果を高めることができます。場合によっては、センシティブなデータ保護に対して、完全に統合された自動化されたアプローチを取ることが最善の方法である場合もあります。例えば、インテリジェントなソリューションがユーザーが通常よりも多くの SSN レコードにアクセスしていることを検出した場合、スクリプトを自動的に起動してデータを動的にマスクしたり、LDAP でリスクの高いユーザーグループにユーザーを移動させたりすることができます。その他のケースでは、セキュリティチームは、データ所有者やアプリケーション所有者に手動での介入を要求したり、それを必要とするアラートを単純に生成したい場合があります。セキュリティチームがデータ保護ソリューションを構成し、展開する際には、以下の手順を実行する必要があります。

  • 資産の種類とユーザごとに、どのような保護方法またはアクションを使用するかを定義する。
  • 対象者の個人データが、適用される個人情報保護規則に準拠して保護されていることを確認します。
  • 保護方法との適切なレベルでの統合を確立する
  • ソリューションの有効性を継続的に監視し、必要に応じて適応させます。
  • より多くのユーザーとより多くの情報資産の種類に範囲を拡大する

データに焦点を当てる

個人データや機密データがどこにあるのか、どのように使用されているのか、誰が使用しているのかを知ることは、そのデータをどのように保護するかを決定する上で非常に重要です。安全な場所にあるデータサーバーでは、ディスクやファイルレベルでの暗号化は必要ないかもしれませんが、別の場所や別の国にあるパートナーがホストしているデータベースでは、制御の喪失を防ぐために、より強力な保護が必要になります。複数のユーザーやアプリケーションからアクセスされるデータレイクは、アクセスルールを設定する際に、場所、時間、必要なアクセスレベルを考慮する必要があります。GDPRによって管理されるデータには、ユーザーの時間と場所に適応した動的なアクセス権、個人データを格納しているデータストアへの対象者のアイデンティティのマップ、同意を管理し、対象者の要求に対応するための自動化を活用したワークフローが必要になります。テスト環境には独自の課題があります。機能テスト環境では、スムーズな運用を継続するために現実的なデータが必要です。機密データの列に適用される保護は、テーブル間の関係が損なわれないようにする必要があります。クロスシステムのビジネスプロセスでは、機密性の高い列を保護することでプロセスを中断させてはなりません。永続的なマスキングは、保護されたデータを元の値に復元する必要性がほとんどないレポート、分析、およびテスト環境に展開することができます。本番システムでは、静止時のデータ保護はデータ保護よりも重要性が低いかもしれません。異なったグループのユーザーに適切に対応できるようにする必要があります。このような場合、データは一部のユーザからは完全に保護され、他のユーザからは部分的にしか保護されていないか、または完全に利用可能な状態になっている必要があります。銀行のコールセンターでは、データベース管理者(DBA)は通話相手のSSNを全く見る必要がなく、カスタマーサービス担当者は下4桁の数字を見る必要があり、通話相手のクレジットヒストリーを確認するバックオフィスのユーザーはSSNのフルバージョンを見る必要があります。このようなきめ細かなアクセス制御を動的に行う必要があります。

保護はチームスポーツ

アプリケーションオーナーとセキュリティアナリストは、データを運用管理する DBA と密接に協力しなければなりません。ビジネスプロセスオーケストレーションツールを使用することで、これら 3 つのグループ間のハンドオフプロセスを自動化して測定することができます。

インテリジェンス、アナリティクス、および自動化を推進

分析、AI、自動化を活用したポリシーベースのインテリジェントなソリューションにより、コンプライアンスレポート、リスク分析、ユーザーの行動監視、プロテクションのオーケストレーションと修復を行うことで、変化の激しい環境でもデータを最新かつ安全な状態に保つことができます。セキュリティチームは、新しいデータやメタデータの変更を継続的にスキャンするルールを実装することができます。データの異常が発生した場合、データ保護ソリューションは自動的にポリシー違反のアラートを作成し、適切な関係者に通知を送信して是正措置を提案することができます。例えば、自動化を活用したソリューションでは、メタデータの変更により既存のシステムにアカウント番号を含む新しい列が出現した場合、アプリケーションの所有者に警告を発し、データを保護するための是正措置を取るように促すことができます。さらに、このソリューションは、人工知能と自動化を組み合わせて、セキュリティの脅威を示す可能性のあるユーザーの行動に迅速に対応することができます。ユーザーのアクセス、役割、およびプロファイルが明確に定義され、ユーザー行動分析(UBA)が活用されている場合、インテリジェントなソリューションは、通常の行動パターンから乖離したユーザー行動や、機密レコードへの不正アクセスを示すユーザー行動を効率的に検出し、自動化された是正措置を提供することができます。例えば、DBA のユーザーが機密データを含むレポートをダウンロードしたが、そのユーザーはその情報をダウンロードするためのアクセス権を持っていないとします。このソリューションでは、そのユーザーを自動的にレポートにアクセスできないグループに移動させ、セキュリティアラートを作成し、適切なチームに電子メール通知を送信して、潜在的なデータリスクを調査し、修復が完了して効果的であることを確認することができます。AI による異常検知と自動修復は、セキュリティアナリストにとって大きな助けとなりますが、最初に試したときに正しい状態にするのは難しいかもしれません。一般的には、最初に少人数のユーザーやアプリケーションでテストを行い、エラーから学習し、徐々に展開していくのがベストです。

ビジネス上のメリット

適切に導入されたデータプライバシーソリューションは、単にリスクを軽減するだけではなく、ビジネス価値を提供します。 すべてのデータ資産、対象者、ユーザーに対してリスクを包括的かつ継続的に把握できるようにすることで、セキュリティポリシーと管理のガバナンスが容易になります。これにより、データ所有者がコンプライアンスのために柔軟性を犠牲にすることなく、システムやデータセット間でデータセキュリティポリシーの一貫性を保ち、データ侵害や監査の課題に対応するための正当な法的立場を確立することができます。適切な種類のデータに適切な方法を適切なタイミングで適用することに焦点を当てたデータプライバシーへのアプローチをサポートすることで、このソリューションはまた、データ所有者とアプリケーション所有者の間のコラボレーションを促進し、セキュリティ対策に対するデータ所有者のバイインを向上させます。最後に、このソリューションは、価値を生み出すまでの時間を短縮し、運用コストを削減する必要があります。ユーザー、対象者、データストアに関連するリスクに基づいてデータ保護を自動化することで、ITスタッフと予算をより戦略的なタスクに充てることができます。

結論

ガートナーによれば、「リスクは回避されるものではなく、監視し、評価し、信頼とのバランスをとり、継続的に伝達し、許容できるレベルに適応させるものである」としています。最終的には、すべてのデータソースで機密データを継続的に保護し、企業全体で個人データが増加する中で進化するプライバシー規制に対応することで、顧客の信頼を維持し、向上させることを目標としています。

 

 

 

消費者データの保護を目的とした、NY DFSのサイバーセキュリティ規制

効果的で構造化されたサイバーセキュリティは、ニューヨーク州(世界有数の金融センターがある)で事業を行う金融サービス会社にとって、ビジネスを行う上でのコストとして、現在ではオフィシャルに求められるものとなっています。

ニューヨーク州金融サービス局 (NYDFS) のサイバースセキュリティ要件は、最初に必要性だけでなく、金融業者の最も貴重な資産である顧客データを保護するためにリスクベースのアプローチを取る義務を確立しました。

その中心となるNYDFSの規制は、金融サービス業者が顧客の個人データとプライベートデータがどこにあるのか、データが誰のもので、誰がそれにアクセスできるのかを理解し、最善の保護を行うことを義務付けています。

序章

ニューヨーク州金融サービス局 (NYDFS) の金融サービスのためのサイバースセキュリティ要件は、顧客データと情報の保護のための米国における今日までの最も厳格なフレームワークを表しています。包括的な枠組みの動機は明らかです。サイバー犯罪者による攻撃は、金融サービス業(ニューヨーク州の経済に占める割合が非常に大きい)の完全性に対するシステミックなリスクを表しています。この規制は米国では初めてのものかもしれませんが、リスクの告知に焦点を当てています。未公開情報の定義を拡大することで、NY DFSは、プライバシー侵害だけでなく、公開された場合に重大な損害をもたらす可能性のあるデータにも適用範囲を拡大しています。

経験豊富な CISO が定期的な侵入テストや成熟したアプリケーション・セキュリティ・プロセスを組み込んだ高度なサイバーセキュリティ・プログラムを管理している対象事業体であっても、規制に準拠したサイバーセキュリティ・プログラムを実施するための基本的なステップは、リスク評価の実施であることに変わりはない。 対象事業体は、自社のサイバーセキュリティリスクを正式に評価し、リスク評価の結果に基づいて、アクセス制御やデータ暗号化などのメカニズムを通じて「堅牢な」方法で自社データへのリスクに対処するためのサイバーセキュリティプログラムを策定し、維持することが求められている。

さらに、同規則は、保護すべき顧客情報や個人情報の定義を拡大し、初めて「非公開情報」の概念を導入した。 個人を特定できる金融情報に限定されたグラム・リーチ・ブライリー法(GLBA)のような金融サービス会社を対象とした既存の規制とは対照的に、対象となる事業体は、医療情報や通常の業務の過程で収集された「業務関連情報」にまで保護と監視の範囲を拡大しなければならなくなる。すべての関連する個人情報の保存場所(オンプレミスシステムでもクラウドサービスでも)を最新かつ包括的にマップし、リスクの高いデータセットとそれらが保存されているシステムを特定し、違反リスクを示すデータのフローやアクセスパターンを確認して警告する能力は、現在、あらゆるコンプライアンスプログラムの基礎を構成しています。

概要:NY DFSのサイバーセキュリティ規制

2017年3月1日より、NY DFS規則は、銀行、保険会社、その他NY DFSの規制を受ける金融サービス機関に対して、消費者の個人情報を保護し、サイバーリスクを管理するためのサイバーセキュリティプログラムを確立し、維持することを求めている。

NY DFS の要件を検討すると、この規制の根本的な意図は、顧客情報を保護するためにリスクベースのアプロー チを取るように金融サービス会社を動機付け、不正な目的のためにプライベート(または「非公開」)情報が暴露されたり盗まれたりする可能性を制限することであることがすぐに明らかになります。 未公開情報へのリスクを詳細に把握し、情報を提供しなければ、プロセスの後続のステップは監査人を遠ざけることになるかもしれません。

NY DFSのセキュリティ要件

  • 文書化されたリスクアセスメントを実施する。対象事業体の情報システムに保存されている非公開情報のセキュリティまたは完全性を脅かす可能性のあるサイバーセキュリティリスクを特定し、評価する。
  • 識別されたリスクとの関連で、既存のコントロールの妥当性を評価する。
  • 識別されたリスクが、リスクアセスメントに基づいてどのように緩和されるか、または受け入れられるか、また、サイバーセキュリティプログラムがどのようにリスクに対処するかを記述する。
  • リスクに応じたサイバーセキュリティプログラムの構築。対象事業体の情報システムに保存されている非公開情報のセキュリティまたは完全性を脅かす可能性のあるサイ バーセキュリティリスクを特定し、評価する。
  • 不正アクセス、混乱、悪用の試みを検出します。
  • 情報システムおよび非公開情報を不正アクセス、混乱、および誤用から保護するために、防御的なインフラストラクチャを使用し、ポリシーと手順を実装する。 情報システムおよび非公開データを不正アクセスから保護するために、防御的なインフラストラクチャを使用し、ポリシーと手順を実装する。
  • サイバーセキュリティイベントの検出
  • 特定されたサイバーセキュリティインシデントに対応し、悪影響を軽減する。
  • 攻撃を受けた後、通常の操作とサービスを回復し、復旧する
  • 適用される規制上の報告義務を果たす
  • 書面化されたサイバーセキュリティポリシーを採用する。情報システムおよびそれらの情報システムに保存されている非公開情報の保護のためのポリシーと手順をカバーし、データガバナンスと分類、アクセスインベントリとアイデンティティ管理、ネットワーク、情報、デバイスのセキュリティに対応しています。
  • 有資格のCISOを指定する。組織のサイバーセキュリティプログラムを監督し、実施し、そのサイバーセキュリティポリシーを実施する責任があります。
  • 書面化されたサードパーティのサイバーリスクポリシーの実施。組織のリスク評価に基づいて、第三者が提示するリスクとサイバープラクティスの継続的な妥当性に基づいて、定期的に第三者を評価します。
  • 書面によるインシデント対応計画の策定。サイバーイベントに対応するための社内外のプロセスを概説したもの
  • サイバーセキュリティイベントが発生した場合は、DFSの管理者に通知します。(1)監督機関への通知を必要とする場合、または(2)経営に重大な支障をきたす可能性があると合理的に判断される場合には、決定後72時間以内に、監督機関への通知を必要とする場合には、決定後72時間以内に、監督機関への通知を必要とします。
  • 年に一度のコンプライアンス証明書の提出。毎年2月15日までに、理事会議長または上級Officerが署名し、管理者に提出すること。規制の技術的・組織的な意味合いが注目されてきたが、NY DFSのコンプライアンスプログラムの基礎となるのは、対象となる事業体が保存・管理する非公開情報への不正アクセスや悪意のあるアクセスのリスクを理解し、測定する能力であることに変わりはない。
  • データを知り、リスクを知る。規制の要件を検討する際の第一の結論が、リスクアセスメントがコンプライアンスプログラムの基礎であるとするならば、防御策やプライバシー保護がどのように実施されるかは、アセスメントによって発見される非公開情報の量、構成、場所に依存するということを意味している。現実的には、リスクアセスメントの結果によって、サイバーセキュリティプログラムの範囲、技術的な構成要素、およびその最適な適用が決まることを意味する。例えば、同規則では、侵入テストや脆弱性評価の範囲、監査証跡システム、システムへのユーザアクセス権限の制限、非公開情報の暗号化の決定、多要素認証やサードパーティのアクセスポリシーの実装などは、リスクアセスメントで特定されたリスクや脆弱性に合わせて調整されるべきであると規定しています。

何が非公開情報を構成しているのか、どの顧客とデータが関連しているのかをどのようにして知ることができるのでしょうか?これは、GLBAのようなコンプライアンス義務や、ヘルスケアデータのHIPAA規制を遵守しなければならない組織では、個人を特定できる財務情報の発見やインベントリ作成に苦労している多くの組織では、すでにお馴染みの課題です。

対象事業体のセキュリティに組み込まれた非公開情報のより広範な定義はまた、金融商品の申請プロセスの過程で収集されたデータも対象としており、意味合い的には既存の顧客のデータを超えて範囲を拡大しています。規制のリスクベースのアプローチに準拠し、貴重な個人データの潜在的な危険性をよりよく理解するためには、データの発見とインベントリ作成の新しいアプローチが必要です。その代わりに、新しい機械学習技術と相関法を使用して、個人データとプライベートデータを発見し、インベントリを作成し、明示的な個人識別情報と推測される属性の両方を特定のユーザーに関連付けることで、はるかに持続可能で効率的なアプローチが可能になります。

特に、広く定義されている非公開情報のカテゴリーの場合、対象となるエンティティは、どのようなデータセットを探しているのかを事前に確認することができません。そうではなく、類似した身元情報の相関関係と比較に基づいて何が非公開情報として分類されるかを学習し、攻撃者が顧客を再識別することを可能にするデータセットの「リンク性」の程度を決定できる能力が必要です。構造化されたデータ・ソースだけでなく、ビッグデータ・リポジトリ、光ファイバー・シェアやクラウド・データ・サービスのような非構造化データ・ソースをスキャンし、何が非公開情報を構成するかを識別可能性スコアに基づいて推論することで、対象事業体は潜在的なエクスポージャーのより広範な視野を構築することができます。インフラストラクチャ全体でこのレベルのデータ駆動型の洞察力と、機械学習によって固有の属性を識別して特徴付ける能力がなければ、対象事業体は必然的に、エクスポージャー・リスクの不完全なビューに基づいてサイバーセキュリティ・プログラムを削除することになります。

データマッピングでアクセスの執行をよりスマートに

どのようなデータを保存しているか(誰のデータか)、保存されている場所でデータが適切に保護されているか、保存されているシステムへのアクセス制御が適切であるか、という3つの側面からリスクを評価することを対象事業者に義務づけています。

リスクアセスメントに基づいてサイバーセキュリティプログラムを構築するには、データが存在する特定のシステムやサービスをピンポイントで特定し、暗号化すべきかどうか、誰がアクセスを許可すべきか(内部ユーザと第三者の両方を含む)を決定し、アクセス活動を継続的に監視する必要があります。未公開情報の全体を明確に把握することを出発点として、対象となる企業は、データ保護とアクセス制御のレベルが適切であるかどうかを判断するために、対象となるデータが存在する特定のシステムを特定することができます。追加の決定ポイントとして、企業はまた、どの仕様のシステムを多要素認証の形でアクセス制御の追加レイヤーで保護する必要があるかを決定することができます。

しかし、これらのステップは、静止状態のデータに対してどのような管理を行うべきかを決定する上で重要ですが、次のステップは、システム全体のデータフローを理解してマッピングし、データの実績、データの系統、データの所有権などのメタデータ属性を統合することで、コンテキストの追加レイヤーを提供することです。データの所在、所有権、使用状況を決定するためにテンプレートを作成したり調査を行ったりすることに頼るのではなく、データ駆動型のアプローチは、施行ロードマップの基盤として、またモニタリングや違反検知プログラムのための豊富なインプットの源として機能します。対象事業体が発見プロセスを繰り返し、非公開情報とみなされる可能性のあるデータをより多く発見すると、データセットを比較し、データの暗号化やアクセス制御が行われているかどうか、または実施すべきかどうかを評価することができます。

結論

サイバーセキュリティへの投資が運用上の要件の一部となっていること、そして、それらの投資は、保管、管理、処理する個人データや個人データにもたらされるリスクを最小化することに向けられていなければならないことです。 EUのGDPRの場合と同様に、同規則では、データ保護の対象となる事業体がリスクに基づいたプロアクティブなアプローチをとることを求めています。

しかし、より広範囲な非公開情報の定義が導入されたことで、プライバシーの問題を超えて、公開された場合に重大な危害(またはシステムの完全性における信頼性の喪失)を引き起こす可能性のあるデータにまで範囲が拡大されました。対象事業体が規制の要件を遵守するためには、データサイエンスと機械学習技術に基づいた非公開情報の発見とインベントリ作成のための新たなアプローチを採用し、最大のリスクがどこにあるかに基づいてアクセス制御やターゲットを絞ったデータ保護などの実施体制を構築する必要があります。

 

 

IT管理でビジネスの成長を実現する

真のバリューセンターとなるためには、現代の IT 組織は、企業全体の変化とイノベーションを推進するために、より効果的になる必要があり、同時に、支出とリソースの管理と透明性を高めなければなりません。

本記事を読むべき理由

この記事では、単一のソリューション・プラットフォームでサポートされている変更とガバナンスのフレームワークを採用することで、IT が変化を提供する能力を真に変革し、企業全体のイノベーションを加速させ、ビジネスの成長を推進する真のエンジンとなる方法について説明しています。具体的には、以下のような内容です。

  • 変化を成功させるためにITが直面している主な課題を検証し、克服すべき最も一般的な問題とその典型的な根本原因をピンポイントで指摘しています。
  • 成長を促進するためには、ITが「明るさを保つ」と同時に、ビジネス活動の変化に向けてより多くの投資を行う必要があることを明らかにしています。
  • ITリーダーがいかにして変更ポートフォリオの完全な可視性を得ることができるか、また、それによっていかに戦略的な整合性を高め、無駄のない実行によって提供の速度を向上させることができるかを論じています。
  • このタイプのアプローチを採用する最善の方法について、実践的な提言を提供しています。

重要なキーポイント

  • すべての組織が何らかの形で変化とガバナンスのプロセスモデルを持っている一方で、多くの組織では、効果的に変化を推進し、統治するためのエンドツーエンドのソリューションフレームワークがまだ不足しています。
  • 細分化された「変化の島」のソリューション・ランドスケープは、プロセスの不完全性、戦略的な不整合、ビジネスの変化への投資に対するリターンの低下につながります。
  • 投資バランスを「チェンジ・ザ・ビジネス」にシフトさせるには、IT がどのように運用し、支出を配分しているかについて、より高い透明性と洞察力を持つ必要があります。
  • 単一のプラットフォームを使用して、エンドツーエンドの変更とガバナンスのフレームワークを管理することで、コスト削減、リソースの生産性、市場投入までの時間短縮という点で、大きな利益がもたらされます。
  • 需要、流動的な作業、リソース、支出を含む全体的な変更ポートフォリオの真の360度ビューを達成するためには、プロジェクトおよびポートフォリオ管理(PPM)が単一プラットフォームの不可欠なコンポーネントであることが必要であり、それ自体が切り離された “変更の島 “として継続することは必要ありません。
  • 変化とガバナンスのフレームワークに移行する際には、ビッグバンではなく、反復的なロールアウトアプローチを採用することで、より早く結果を出すことができます。

現状維持は選択肢に入らない

簡単に言えば、組織は単に業務を遂行するだけではなく、進化して成長しなければなりません。組織は、ますます不安定になるビジネス環境の課題に対応するために進化し、成長しなければなりません。
ITはますます現代企業のバックボーンになりつつあり、ITに対するビジネスの期待はかつてないほど高まっています。 成長のための真の触媒とみなされるためには、IT は戦略に沿って企業全体で真の変革を継続的に推進し、イノベーションを加速させるエンジンとなることが求められていますが、その一方で、支出、人材、資産、ベンダーの管理と透明性を高める必要があります。

変化を効果的に実現することは容易ではありません。 必要な投資収益率(ROI)を生み出すITの能力は、変更ポートフォリオに含まれる複雑なイニシアチブの組み合わせ、規制や法律の改正に伴う強制的な変更、トップダウンによるリソースや予算の制約、BREXITの不確実性などの外部事象に対応したビジネス専門家のシフト、計画外の作業の出現、そして、これらすべての「変更の作業」を完了させると同時に、通常の業務(BAU)である「ライトを点灯させたまま」活動を行う必要があるという事実など、多くの要因によって阻害される可能性があります。IT リーダーは、適切な変更の機会に投資していること、リソース(人と資金)が組織の優先順位に正しく配置されていること、変更が必要なレベルの品質で成功裏に提供されていること、そして学ぶべき教訓があればそれを把握し、変更プロセスを継続的に最適化することを確認しなければなりません。

主な課題

組織は、その規模や業種を問わず、変更の提供の複雑さに苦労し続けています。 ビジネスの専門家に対する変更ポートフォリオの整合性の欠如、変更関連のコスト管理の不備、市場投入までのスピードの遅さは、このことを示しています。 以下では、IT が変更ポートフォリオからより大きな利益を得るためには、3 つの共通の課題に対処しなければならないことを明らかにしています。

1. ビジネスの変更にかかる費用と照明の点灯を維持する費用のバランスを改善すること

変更はどこにでもあり、多くの形およびサイズでそれ自身を現わす。 構成の変更の有価証券の内容を調べ、変更の4つの柱で普通構成される。

  • 戦略的変化と変革活動は、ビジネスを前進させ、述べられた戦略的目標を達成することを目的とした主要なイニシアチブとプログラムである。 例としては、デジタルトランスフォーメーション、新しいターゲット・オペレーティング・モデルの展開、M&A活動、新製品や新サービスの導入などが挙げられる。 これらはすべて、人と資金の面で多額の投資を必要とする可能性があり、長期的な期間をかけて実施される可能性があります。
  • エンハンスメントに焦点を当てた変更は、ビジネスがどのように実行されるかを改善することに焦点を当てた、より戦術的な増分型の活動です。ほとんどの組織は、ビジネス・アプリケーション・ポートフォリオの合理化、従業員の日々の生産性の向上、顧客サービス・エクスペリエンスの向上など、これらのタイプのイニシアチブの「ショッピングリスト」を持っています。
  • Business-As-Usual (BAU) 変更活動は、組織内での仕事の進め方を構成するものです。リリースのデプロイ、アップグレード、インシデントの解決など、小規模な運用タイプの変更は、「ライトを点灯させたまま」にするために必要です。

エンドツーエンドの変更を管理するための基本的な考え方

  • ROIの向上。明確な戦略目標に沿って、適切な変更イニシアチブに優先順位をつけます。
  • コストの削減。単一のエンゲージメントシステムを導入することで、誤った情報や不都合を排除し、サイロ化されたツールや十分に活用されていない資産の廃棄を可能にすることで、コスト削減を実現します。
  • リソースの利用率の向上。通常通りの業務、プロジェクト、開発チームを含む、企業全体のすべてのリソースを360度可視化することで、より良いリソース活用の決定が可能になります。
  • より速く、より高品質で、より一貫したデリバリーを実現します。複数の方法論のサポート、ベストプラクティス・テンプレートの使用、変更チームの日々の生産性の向上により、市場投入までの時間短縮を一貫して実現します。
  • 継続的な改善。変更管理プロセスの有効性を最適化するために、収集した知識や教訓を再利用します。
  • コンプライアンスとガバナンスによって推進される規制上の「必須」の変更。 規制管理を遵守するために必要な変更を実施できないことは、ビジネスに重大なリスクをもたらします。

IT はより良い投資バランスを取る必要があります。事業の変更と事業の実行の間で適切なポートフォリオバランスを実現することは、IT 部門にとって大きな難問です。 どんな組織でも、やりたいことをすべてやるのに十分な資金やリソースを持つことはできません。 そのため、計画を立てる際には、戦略的/変革的イニシアティブのための変更ポートフォリオのミックスに余裕を持たせることが不可欠です。より良いバランスを実現するためには、IT運用に対するより高いレベルの洞察力が必要です。現在の「実行」と「変更」の投資比率が 70:30 であろうと 60:40 であろうと、IT 部門はどうすればより良いバランス、つまり 50:50 の比率を達成できるかを検討する必要があります。 IT リーダーは、これには「実行」活動からできるだけ多くの効率性を引き出し、変化を提供するための全体的なアプローチを最適化することが必要であることを認識しています。

IT のコストを削減し、より多くのリソース(人とお金)をイノベーションとビジネス変革活動に振り向ける前に、IT がどのように運営されているのか、つまり、どこに投資が費やされているのか、提供されているビジネスサービスの本当のコストは何なのかを明らかにするために、より大きな透明性を確立する必要があります。

指標となるのは 組織のビジネスアプリケーションのポートフォリオは、透明性を高める必要があることを示しています。 大規模な組織では、数千とは言わないまでも何百、何百ものビジネスアプリケーションがあり、その中には IT 部門の直接の管轄下にないものもあります。
適切な可視性と管理がなければ、アプリケーションの数が増加する傾向があります。

これは、アプリケーション自体の重複、利用率の低下、ライセンスのコンプライアンスの問題を通して貴重なリソースが頻繁に浪費されるだけでなく、ますます細分化していくアプリケーションの状況をサポートするために必要とされる手動のリソース集約的なプロセスを通しても発生します。 このような無駄を避けることは、これらのリソースを自由にして、ビジネス活動の変化により良い展開ができることを意味します。

一般的に、IT リーダーの問題は、レガシー IT システムから、どのようなアプリケーションを持っていて、誰が使用していて、どのようなコストがかかっていて、どのようなパフォーマンスをしているのかなど、アプリケーション資産の正確な情報を得ることにあります。 このレベルの洞察力がなければ、投資を最適化し、リスクを軽減することは非常に困難になります。

2.エンドツーエンドの変更プロセスのガバナンスと一貫性の強化

変化にはリスクがつきものです。 納品された変更が時間通りに実施されず、予算を超えて入ってきたり、記載されている必要性を満たしていなかったり、必要な品質ではなかったり、約束した利益を提供できなかったりするリスクです。

すべての組織には、何らかの形の変更プロセスがあります。

これらのリスクを軽減するために、組織は何らかの形の変更管理プロセスモデルを導入することになりますが、これは通常、ゲート型プロセス構造に沿ったもので、新しい変更のアイデアや機会の獲得から、計画、実行、そして本番環境への引き渡しまで、企業全体でどのように変更を実現するかのエンドツーエンドのライフサイクルを記述しています。

発見し、実行し、レビューする

変更プロセスモデルは、通常、ゲート付きプロセス構造を持っています。変更プロセスモデルがどの程度まで定義され、文書化され、最終的に遵守されるかは、特定の組織のプロセスの成熟度に大きく依存します。

より成熟した組織では、各主要な成果物のためのベストプラクティスのテンプレートや、プロセスの各段階で何を行う必要があるかを示すチェックリストのライブラリによってサポートされている詳細な手順の変更管理ハンドブックを持っている可能性があります。

成熟していない組織では、プロセスがどのように守られるべきかという点で、あまり具体的ではありませんが、例えば、プロセスの段階、品質ゲート、主要な成果物を単純に記述した高レベルの回路図しか持っていないかもしれません。重要なことに、専門用語、数および段階およびゲートの名前が異なった組織の変更プロセスモデルの間で変わるかもしれないが、根本的な原則は同じである、技術の使用によって高められるプロセスの傾向があまりにもあるように。

よりよい統治はより遅いより官僚的なプロセスを意味するべきではない

高品質でタイムリーな変更を一貫して提供するためには、適切なレベルのガバナンスが常に適用されていることが不可欠です。 どんな変更でも、どんなに大きくても小さくても、定義された変更プロセスモデルに従うべきである。

変更プロセスモデルが一貫して守られていることは重要ですが、仕事が時間通りに、予算内で、必要な品質レベルで提供されることを確実にするためには、プロセスが遅くなったり、煩雑になったり、重く官僚的になったりしないようにすることが不可欠です。

従って、新しいターゲットの運営モデルの展開のような大きい戦略的な変更が完全なガバナンスモデルに従うべきであるのに対し、同じレベルの精査を必要としない小さい運営スタイルの変更は「ライトタッチ」のガバナンスアプローチによって速く追跡することができるべきである。

3. プロセスの速度と効率性を向上させる

変更ポートフォリオを計画する際には、しばしば「同じことをより多く行う必要がある」、あるいは「より少ないことでより多くのことを行う必要がある」ということが背景にあります。 IT部門は、変化を提供するための運用モデルを拡張するのに苦労することがよくあります。

ビジネスへの期待が高まり続ける中で、変更ポートフォリオを提供するために利用可能なリソースについても同じことが言えないことがよくあります。 そのため、IT 部門は、より高い速度とプロセスの効率性を達成するための継続的な取り組みが求められています。

変更プロセスは文書化されているかもしれませんが、一般的に IT には、それを効果的に推進し、管理するための首尾一貫したエンドツーエンドのソリューションフレームワークが欠けています。 その結果、プロセスが投資のサイロや複数の記録システムにまたがって管理されてしまうため、変更を提供する上で効果的かつ効率的なITの能力が損なわれてしまいます。

業務改善SaaSでは、プロジェクト、開発、運用チームがますますサイロ化され、切り離された活動の別個の「島」として機能している環境に遭遇することが増えています。 ポイントを説明するために、ITが新入社員のオンボーディングプロセスの効率性と全体的な経験を改善するために新しいサービスを導入しようとしているシナリオを考えてみましょう。

PPMはソフトウェアとして確立されているにもかかわらず、世界の大企業の中には、数百万ドル規模のIT変更ポートフォリオを手作業で追跡、管理、報告しているところもありますが、それはスプレッドシートとMicrosoft Project以外にはありません。

プロジェクトとプランニングチーム

他のビジネス変革イニシアティブと同様に、この新サービスは何らかの形のプロジェクトやプログラムによって提供され、より広い変革ポートフォリオの文脈の中で計画され承認される必要があります。私たちの新サービスは、最初はリクエストとして始まったものです。 新しいサービスのリクエストは、サービスチケット、廊下での会話、電子メールに添付された文書など、さまざまな方法で発生する可能性があります。新しいアイデアやリクエストを収集するための非公式なアプローチがあることが多く、IT 部門が変更要求のパイプラインを追跡して優先順位をつけることは困難です。さらに複雑さを増すために、新しいランザビジネスとチェンジザビジネスの要求を捕捉するためのメカニズムが別々に存在し、これらの異なるタイプの要求は別々の承認プロセスを経ることになります。

IT組織の成熟度に応じて、変更ポートフォリオは、プロジェクト・ポートフォリオ管理(PPM)ツール、スタンドアロンのデータベース、または複数のスプレッドシートのいずれかで計画・管理することができます。需要パイプラインや作業ポートフォリオを管理するために大規模なスプレッドシートを構築している組織は珍しくありませんが、ステータスの追跡やレポートやロードマップの作成はすべて手作業で行われています。実際にプロジェクトを実行する際には、組織内に存在するプロジェクトマネジメントの成熟度に応じてアプローチが決まることが多い。確立されたプロジェクト管理組織(PMO)を持つ組織は、プロジェクトを実施するための標準化されたアプローチを展開し、使用すべき方法論、ツール、コントロールを規定します。あまり規定されていない環境では、これはすべてプロジェクトマネージャーの裁量に委ねられることもあります。

PPMツールがあるかどうかにかかわらず、プロジェクトマネージャは、プロジェクトの主要な管理(リスク、課題など)にスプレッドシートを使用し、Microsoft Projectでプロジェクト計画を作成し、PowerPointでステータスレポートを作成し、ゲートチェックリストや成果物などのプロジェクト文書をfileサーバーやSharePointなどのツールで管理するという方法に戻ってしまう可能性があります。これは、変更がどのように配信されるかの一貫性の欠如につながる可能性があります。予算超過、遅延、品質問題はすべてこのことの現れです。

開発チーム

変化の速度が速くなるにつれ、新しいサービスの市場投入までのスピードが重要なパフォーマンス指標となってきました。従来のPPMツールは、もともと「ウォーターフォール」アプローチをサポートするために考案されたもので、アジャイルのニュアンスに簡単に適応できないことが多い。そのため、一度「ビルドフェーズ」に入ると、新サービスの開発作業は、スタンドアロンの開発ツールで管理するか、物理的なカンバンボードで管理することになります。- 運用チーム 島 実際には、変更ポートフォリオの計画、新サービスを提供するためのプロジェクトの管理、および新サービスを構築するために必要な開発作業は、通常、組織内の他の場所でBAUや小変更活動を実施するIT運用チームとは完全に分離して行われます。

運用チーム

実際には、変更ポートフォリオの計画、新サービスを提供するためのプロジェクトの管理、および新サービスを構築するために必要な開発作業は、通常、組織内の他の場所でBAUや小変更活動を実施しているIT運用チームとは完全に分離して行われます。一度開発された新サービスは、比喩的には「壁に投げつけて」テストを行い、その後、サービス受け入れチームに手動で渡され、サービスの本番環境への移行を管理することになります。 これらの重要な活動をサポートする重要な成果物、すなわち、テスト計画、テストケース、不具合ログ、移行チェックリストは、多くの場合、すべてが切り離された文書やスプレッドシートとして管理されてしまうことがあります。

業務改善SaaSでは、この「変更の島」の断片化された状況が、組織が変更プロセスを管理する際に直面する最も一般的な問題の根本原因となっています。
それぞれの「島」がそれぞれの作業、リソース、支出を効果的に管理しているため、ITはより高いコストで運用され、アプリケーション・ポートフォリオは増殖し続け、行われている作業の全体的な理解を達成することはますます困難になり、投資がどこに費やされているのかを理解することは困難になります。

例えば、プロジェクトの提供に100%の時間を集中しているリソースの専門グループを持っている組織はほとんどありません。 実際には、日々の BAU 活動を行っている人たちと同じ人たちが、変更プロジェクトに時間の一部を割いていることになります。プロジェクト作業や BAU 活動など、リソースが従事しているすべての異なるタイプの活動を完全に可視化できなければ、IT 部門は、適切な変更に取り組むための適切なリソースを確保し、コストのかかるリソースのボトルネックを回避することは、不可能ではないにしても、信じられないほど困難です。その結果、変更ポートフォリオの全体的なビューを経営陣に提供するためには、通常、非常に大きな管理オーバーヘッドが必要となります。多くのステータスの追跡、手動でのデータ照合、そして多くの場合、複数の記録システム間の高価な統合に頼ることになります。

業務改善SaaSのアプローチ

業務改善SaaSは、変更とガバナンスのフレームワークを導入することで、企業全体の変化を促進し、イノベーションを加速させる能力を変革することで、ITがビジネス成長のための真の触媒になると信じています。

業務改善SaaSのアプローチは、組織の変更プロセスモデルを単一の関与システムと組み合わせて、「変更の作業」のすべての側面を管理するための共通のエンドツーエンドのフレームワークを作成することを目的としています。

ITビジネス管理(ITBM)プラットフォーム機能を活用することで、業務改善SaaSは変更プロセスのガバナンスを強化し、サポートするソリューション・ランドスケープを合理化し、関係するすべての異なるチームの日々の生産性を向上させ、より速く、よりスマートに、より効果的にコラボレーションできるようにします。

サポートするソリューション・ランドスケープの合理化

業務改善SaaSからのITビジネス管理(ITBM)は、真のパラダイムシフトを表しています。
業務改善SaaSは、サービス管理、プロジェクト・ポートフォリオ管理(PPM)、IT財務管理、アジャイル開発、アプリケーション・ポートフォリオ管理を、切り離された「変化の島」として永続させるのではなく、エンドツーエンドの変化とガバナンスのフレームワークを支えるクラウドベースのプラットフォームの不可欠なコンポーネントとして再定義しました。
ITBMは、以下の3つの改善の柱に焦点を当てることで、組織の変革を成功させ、企業全体のイノベーションの速度を向上させることができます。

  • 可視性:ITリーダーに、ITのパフォーマンスに必要な透明性と洞察力を提供します。ITリーダーは、どこに資金が配分されているか、資産の状況、現在進行中の作業(チェンジ・ザ・ビジネスとラン・ザ・ビジネスの両方)、社員が取り組んでいる作業、全体的な需要のパイプライン、現在ビジネスに提供されている測定可能な成果など、変更ポートフォリオ全体を一箇所で360度見渡すことができるようになりました。さらに、このレベルの可視性は、ITリーダーが必要とするときに、リアルタイムで提供されます。
  • アライメント:ITリーダーは、可視性を高め、共通の情報を共有することで、より効果的な投資判断を行い、組織全体の目標や戦略と変更ポートフォリオが完全に一致していることを確認することができます。 ITBMは、増え続ける要求の中から適切な変更に優先順位をつけ、希少なリソースを適切なものに集中させるための機能を提供します。
  • 速度: アライメントを達成すると、ITは変更プロセスの速度を大幅に向上させることができます。アジャイル、ウォーターフォール、ハイブリッドなどの複数の方法論を単一のプラットフォーム上でサポートし、より大きなコラボレーションを促進することで、ITBMは市場投入までのスピードを劇的に向上させます。
    その結果、ITはより俊敏な組織となり、ビジネスの専門家の変化やビジネス環境の変化率の増加に対応できるようになります。

変更プロセスのガバナンス強化

柔軟性とスケーラビリティは、業務改善SaaSのアプローチの中心にあります。スケーラブルであることで、同じフレームワークを企業全体のあらゆるタイプの変更に適用できることを保証します。一方で、固有の柔軟性は、適切なレベルのガバナンスが適用されていることを保証し、納期の一貫性を高め、時間、コスト、品質のより良いコントロールを実現します。

このセクションでは、業務改善SaaSがエンドツーエンドプロセスを最適化する方法をいくつか紹介します。 説明のために、この記事では一般的な4段階の変更モデルを使用していますが、これは、業務改善SaaSが顧客と作業する際に観察する最も一般的な変更プロセスの特徴のいくつかを統合したものです。

ステージ1: 発見する

「発見」、「アイデア」、または「開始」と呼ばれるかどうかにかかわらず、変更プロセスモデルの最初の段階は、通常、企業全体の変更機会を特定することに焦点を当てた継続的な活動である。

これらの変更の機会は、IT がどのようにお金を使っているかの分析(例えば、戦略的でないプロジェクトの作業を停止する必要性を特定するなど)や、アプリケーション・ポートフォリオの合理化(例えば、利用率の低いアプリケーションを廃止するかどうか、既存のアプリケーションで新しい機能を開発するかどうか、新しいアプリケーションを構築するかどうか、または購入するかどうかなど)から生じる可能性があります。

しかし、多くの場合、最も革新的なアイデアは従業員や同僚からもたらされますが、適切な需要の把握と管理プロセスがなければ、これらの貴重なアイデアや要望の多くは、組織の中で失われてしまう可能性があります。提出されたアイデアやリクエストは、すべての必須情報が提供されていること、リクエストが戦略に沿ったものであること、さらに調査する価値のあるものであることを確認するために審査されます。業務改善SaaSによりITリーダーは、コスト透明性を使用して、ビジネスの実行とビジネスの変更活動に対するIT支出の内訳を迅速に確認することができます。

総勘定元帳から直接財務情報を実際の使用データと組み合わせて、例えば、処理されたインシデント、使用されたサーバー、使用されたプロジェクトの時間など、実際の使用状況を確認することができます。ITリーダーは、ビジネス目標との整合性を高めるために、予算とリソースをどこに配分するのが最適かについての意思決定を強化するために、より高いレベルの洞察力と透明性を得ることができます。

このレベルの可視性は、アプリケーション・ポートフォリオ管理(APM)などの機能によってさらに強化され、組織のビジネス・アプリケーションやサービスの真のコストとパフォーマンスについての真の洞察を提供します。APM を使用することで、IT 部門はアプリケーションの合理化の機会を特定し、貴重なリソースを解放してイノベーションに集中できるようになります。

サービスポータルの力を活用することで、IT 部門は、あらゆるタイプの変更要求を収集するための、使いやすい単一のメカニズムを展開することができます。 効果的にファネルを広げ、企業内のどこからでもより多くのリクエストを収集できるようにします。業務改善SaaSは、変更機会の完全なパイプラインの一元化されたビューと、一貫したスコアリングメカニズムを使用して客観的に優先順位をつける機能を組織に提供します。ポートフォリオ・ワークベンチのような強力なツールは、変更/投資委員会が、より効果的に識別し、定義された戦略に沿って最もビジネス価値を提供する適切な変更機会を選択することを可能にします。

ステージ2: 定義する

最初の分析と検証の後、承認されたリクエストは、さらに詳細が決定されます。これは通常、包括的なビジネスケースやプロジェクト開始タイプの文書の形で行われ、特定された制約(スコープ、時間、コスト、リスクなど)、リソース予測、高レベルのビジネス要件とソリューション設計、コストと利益の分析、高レベルのマイルストーン計画などの情報が組み込まれます。これらの主要な成果物は、通常、独立した文書やスプレッドシートとして作成され、管理されます。

完成した後、この情報は通常、完全な資金調達とリソース割り当ての承認を得るために、投資または審査委員会に提出されます。業務改善SaaSでは、このプロセスが合理化されます。このプロセスは、すべてのタイプの情報、すなわち計画、リソース、業績、プロジェクトコントロール(リスク、問題、アクションなど)、要件、成果物を管理するための単一の場所を提供することによって合理化されています。重要なことは、プロセスの利害関係者は、この情報の周りで作業したり、協力したりするために行く必要がある場所が一つしかないということです。

業務改善SaaSは変更作業の計画とスコープを容易にします。さらに、プラットフォームのワークフロー機能は、承認プロセスを推進し、それぞれの変更が正しいレベルの承認を通過することを確実にします。

ステージ3: 実行する

投資の承認を受けた後は、変更を実現するために必要な作業を実際に実行することに焦点が移る。よくある誤解は、プロジェクトを変更を実現するための唯一の手段と考えることです。このような方法ですべての変更の実施を管理することは、効率的ではありません。大規模な変革や戦略的な変更には、構造化されたプログラムやプロジェクトのアプローチが必要ですが、機能強化や小規模な運用上の変更には、より機動的な方法での提供が適していることがよくあります。

この段階では、詳細な計画、変更を提供するチームの設立、新しいアプリケーションなどの必要な成果物の構築と生産、テスト、および本番のビジネス環境への移行の管理(リリースの展開、トレーニング、サポートへの引き継ぎなど)が組み込まれています。テストチームとサービス受入れチームは、全体的な変更プロジェクトのコンテキスト内で、それぞれのテスト計画、テストケース、サービス移行計画、移行チェックリストを開発し、管理することができます。 時間と品質の効率化を促進するシームレスなコラボレーション体験を創出します。

さらに、業務改善SaaSは、リスクと問題を捕捉して解決する能力、時間を追跡する能力、実際のコストと利益を記録する能力、およびリソース計画、財務管理、および利益の実現の重要なプロセスにシームレスにリンクする能力を含む、作業の効果的な継続的な管理をサポートします。
リソース管理者に、あらゆる種類の作業(プロジェクト、インシデント、問題、変更、機能強化など)の可用性、割り当て、キャパシティのリアルタイムな統合ビューを提供することで、より良いリソースの決定がなされ、リソース不足やボトルネックによるコストのかかる遅延を回避することが可能になります。

ステージ4: 「レビュー」

レビューの目的は、期待された成果が提供されているかどうか、また、学んだ教訓が取り込まれ、理解されているかどうか、変更プロセス全体のパフォーマンスを検証することです。提言:ビッグバンではなく、反復的なアプローチを採用してください。ビジネスの専門家を特定し、即時的な価値を提供する「一口サイズのチャンク」でロールアウトします。これらの反復的なステップは、迅速に展開でき、すぐに組織に価値を還元できる活動の「一口サイズのチャンク」と考えてください。これらの適切な「塊」とは何か、そして組織にとっての相対的な優先順位を特定するためには、まず、特定して理解する必要があります。

  • 組織特有のニーズと優先順位(例:幹部の可視性の向上、リソースの利用率の向上など)を特定し、何が「必須アイテム」で何が「願望的」と考えられるのかを確認します。例えば、初日に、すべてのプロジェクトマネージャーが同じアプローチで詳細なプロジェクト管理を行うことが重要なのか、それとも、主要なマイルストーンの標準的なセットを使用して一貫した方法でステータスを報告することがより重要なのか。
  • 変更プロセスの主要な利害関係者は誰か、彼らの役割は何か、プロセスから得たい成果は何か、そしてその達成を妨げているものは何か(例:変更ポートフォリオのステータスのリアルタイムの概要)。
  • 配信される変更の種類と量は?現在、どのように管理されているか?
  • 現在、組織全体でどのような変更管理プロセスモデルが採用されているか?標準化の必要性はあるか?
  • 情報がどのように管理されているか、どのツールで管理されているか、誰が情報を維持する責任を持っているか(例:PMOが手動で変更プロジェクトのステータスをスプレッドシートで追跡しているが、維持するのに週に2日かかる)。

利害関係者の高いレベルでの採用を確実にするために、業務改善SaaSでは、役割別にプロセスの主要な成果物から始めることを推奨しています。 例えば、採用ロードマップの早い段階で状況報告プロセスに関する問題に対処することで、組織のすべてのレベルのステークホルダーにより良い成果をもたらすことができます。

プロジェクトマネージャは、より簡単、迅速、一貫性のある方法でステータスを報告することができ、PMOは、継続的に更新を追いかける必要がなくなり、管理レポートのためにステータス情報を手動で照合する必要がなくなります。採用を促進し、組織を旅に完全に沿わせるための優れた方法は、継続的に価値と進捗状況を示すことです。

業務改善SaaSの段階的な導入手順

ステップ1:近代化

まずは統合から始め、現在管理されている変更の断片化された方法を根絶します。単一の関与システムを作成することで、変更ポートフォリオの可視性を高め、プロセスの速度を向上させることができます。このステップでは、代表的な活動として以下のようなものがあります。

  • すべての要求/要求と変更活動(プロジェクト、プログラムなど)の情報を一か所に集約する。
  • ビジネスアプリケーション、サービス、および機能のインベントリを確立する。 コスト、使用法、リスク、質および顧客満足度のようなパフォーマンスの測定基準を、発見し、集めること。
  • すべてのITリソース(人、資産)の共通のリソースプールを作成します。
  • すべてのタイプの変更要求のための需要管理プロセスを統一します。 変更のためのすべての新しい要求のための単一の入口ポイントを導入し、変更の機会のパイプラインを客観的に分析するための一貫したスコアリングメカニズムを導入します。
  • 主要なプロジェクト管理(リスク、問題、変更要求など)、成果物、および関連文書を集中化する。
  • プロジェクトのステータスレポートを展開します。
  • 役員にリアルタイムのダッシュボードを提供し、ポートフォリオのパフォーマンス、投資バランス(「実行」対「変更」など)、アプリケーションやサービスの提供にかかるコストをよりよく理解できるようにする。
    ステップ1は、当面のニーズに焦点を当て、既存の断片化された、しばしば混沌とした状況から脱却するのに十分な機能を提供する、最低限の実行可能な製品(MVP)を作成することだと考えてください。

ステップ2: 変革

次のステップでは、組織の戦略目標と変更ポートフォリオの整合性を高め、実行の質を向上させるために、投資の意思決定を改善することに焦点を当てる。 このステップの活動には、以下のようなものがあります。

  • ITビジネスを管理するためのポートフォリオ構造を確立し、企業戦略と基幹業務の戦略と目標を把握する。
  • 強力なアプリケーション・ポートフォリオ管理機能を活用して、アプリケーション・ポートフォリオを合理化する機会を特定し、ビジネス変革活動に再配置するためのリソースを解放する。
  • 財務計画を改善し、予算と支出を企業戦略や事業戦略に合わせる。
  • さまざまな形態の変革の実施をサポートするためのベストプラクティスのガバナンス・テンプレートを作成する。
  • 重要なマイルストーン/フェーズレベルでのハイレベルな計画のための一貫したアプローチの普及。
  • 全体的な戦略に資源をより良く整合させるために、堅牢な資源管理プロセスを導入する。役割とスキルの観点から共通のリソースプールの詳細を提供し、リソースマネージャーが能力を評価して適切なリソースを割り当てることを可能にします。
  • 主要な指標の追跡、予算対実績の差異分析など、経営陣に財務の透明性を高めることができます。
  • 経費と時間のトラッキングを展開する。

ステップ3:イノベーション

基礎が整ったことで、変更ポートフォリオから提供される価値を最適化し、配信速度をさらに向上させるために、エンドツーエンドの変更プロセス全体でイノベーションを促進するために、先進的な業務改善SaaSをどのように活用できるかに焦点が当てられています。例としては、以下のようなものがあります。

  • ウィザード駆動のポートフォリオと財務計画プロセス。意思決定を強化し、俊敏性を高めるためのパフォーマンス分析情報の活用。
  • コストの透明性を活用して、ビジネスサービスに対するIT支出のビジネスユニットのショーバックを提供します。
  • アジャイル、ウォーターフォール、ハイブリッドなど、1つのプラットフォーム上で複数の方法論をサポートすることで、これまで以上に無駄のない実行を推進します。
  • 詳細なプログラム管理をサポートすることで、大規模な変革的イニシアチブの配信品質を向上させます。
  • ベネフィットの実現。変化が提供しようとしているベネフィットを把握し、それがいつ達成されるべきかを把握し、現在の達成レベルを追跡します。
  • ワークフローを使用してプロセスの自動化のレベルを高めます。

SSL / TLSベースの脅威の分析

前書き

Secure Sockets Layer(SSL)とその後継であるトランスポートレイヤーセキュリティ(TLS)は、インターネットを介して送信されるデータの究極の保護と見なされており、サイバー犯罪者が悪意のある行為を実行するための究極の遊び場となっています。

もともと1994年に開発された暗号化プロトコルは、安全な通信を支援し、組織に着信トラフィックに対する安心感を与えるように設計されました。近年、ますますデータへの懸念が高まっています。

プライバシー、インターネットプロパティがデフォルトで暗号化を持っているという大規模な傾向があります。これはプライバシーにとって素晴らしいことですが、ITセキュリティへの挑戦を提示します。トラフィックの復号化、検査、および再暗号化は重要なことであり、従来のセキュリティアプライアンスのパフォーマンスを大幅に低下させます。ほとんどの組織は、暗号化されたトラフィックを大規模に検査する機能を備えていません。悪意のある人物がこれを知っているため、SSLベースの脅威が増加しています。VPNも言わずもがなです。

ハッカーはシステムに侵入してデータを盗むための多くの方法を発見しましたが、暗号化の解読は依然として困難で時間がかかり、したがって非効率的なアプローチです。代わりに、悪意のあるコンテンツを提供し、マルウェアを隠し、検出せずに攻撃を実行するために、暗号化自体を使用し始めています。

何年もの間、WebサイトのURLアドレスの横にあるロックの記号は、そのサイトが安全であることを伝えていましたが、もはや安全を保証するものではありません。暗号化されたチャネルを通過するトラフィック、デジタル証明書だけで信頼されるべきではありませんこのレポートでは、暗号化されたトラフィックと暗号化された脅威の最近の傾向に関する観察結果について説明します。

レポートの概要

この半年ごとのクラウドセキュリティインサイトレポートでは、リサーチチームが2018年7月から12月までクラウドセキュリティソリューション全体の暗号化されたトラフィックを調査しました。このレポートには、現在のセキュリティリスクに関するいくつかの傾向や詳細など、調査から収集されたデータが含まれています。

暗号化プロトコルには、SSL、TLS、HTTPSなど、複数の業界用語があり、それらはしばしば互換的に使用されます。このレポートでは、通常「SSL」を使用します。

SSLトラフィックパターン

Google透明性レポートによると、2018年12月、米国のGoogle Chromeのページの90%以上が暗号化(HTTPS)を使用して読み込まれました。同じ月に、MozillaFirefoxにロードされたすべてのページの76.5%が暗号化されたと報告しました。これは、前年度から10%増加しています。

SSLの使用が増え、標準プロトコルになりつつあるため、サイバー犯罪者は暗号化を使用して攻撃を隠蔽し、起動しています。以前は入手が困難でしたが、SSL 証明書は無料ですぐに利用できるようになり、攻撃者にとって簡単に偽装できるようになりました。

主な調査結果–脅威

SSLトラフィックの増加に伴い、SSLベースの脅威もそれに対応して増加することが予想されます。この傾向は、SSL トラフィックに隠された17億の脅威をブロックした事が調査によって確認されました。つまり、1か月あたり平均2億8300万個の高度な脅威がブロックされます。

フィッシング

とあるクラウドセキュリティソリューションは、平均して2018年に暗号化されたチャネルを介して270万件のフィッシング攻撃をブロックしました。これは、2017年にブロックされたSSLベースのフィッシング攻撃と比較すると、400%以上増加しています。

予想通り、サイバー犯罪者は攻撃を人気のあるブランドに集中させました。MicrosoftOffice 365 とOneDriveがフィッシング攻撃のために偽装されることが最も多い特性です。リストのトップにある他の一般的に模倣されたサイトは、Facebook、Amazon、Apple、およびAdobeでした。DropboxとDocuSign 、トップ5 にわずかに届きませんでした

悪意のあるコンテンツ

もちろん、SSLを利用する脅威はフィッシングだけではありません。とあるクラウドセキュリティソリューションはまた、侵害されたWebサイト、悪意のあるリダイレクトスクリプト、マルバタイジングの試みを含む、悪意のあるコンテンツの平均1億9,600万のインスタンスをブロックしました

ボットネット

そしてボットがあります。2018年のボットネットコールバックの平均試行回数は毎月3,200万回ブロックされました。ボットネットファミリの上位5つは次のとおりです。

  • Trickbot、金融マルウェア、情報窃盗犯
  • Zbotの亜種、銀行情報を盗むことで知られるトロイの木馬
  • カダール、バンキング型トロイの木馬
  • Dridex、バンキング型トロイの木馬、スパイウェア
  • Emotet / Heodo / Feodoの亜種、金融マルウェア、情報窃盗犯

ブラウザの悪用

ブラウザのエクスプロイトは、オペレーティングシステム脆弱性を利用して、攻撃者がユーザーのブラウザ設定を知らないうちに変更できるようにします。とあるクラウドセキュリティソリューションは、2018年に1か月あたり平均240,000回のブラウザーの悪用の試みをブロックしました。ただし、12月の悪用の試みは、ホリデーショッピング詐欺が原因で、前月と比較して50%以上増加しました。

新しく登録されたドメイン

とあるクラウドセキュリティソリューションによってブロックされたすべての新しく登録されたドメインのほぼ32%が、コンテンツの提供にSSLを使用していました。また、ブロックされたSSL暗号化の新規登録ドメインの数は、2018年12月に前月に比べて約2.5倍に増加しました。

サイバー犯罪者は多くの場合、新しい攻撃ごとに新しい偽のドメインを作成するため、新しく登録されたドメインは危険と見なされます。そのため、悪意のあるドメインは短命になる傾向があります。とあるクラウドセキュリティソリューションは、登録後30日間、新しいドメインを自動的にブロックします。

SSL / TLS証明書

SSL / TLS証明書はデジタル証明書とも呼ばれ、Webサーバーとインターネットブラウザーの間に暗号化されたチャネルを確立するために使用されます。これらの証明書には、所有者のID に関する情報と、証明書のコンテンツを検証したエンティティ(発行者または認証局(CA)とも呼ばれます)のデジタル署名が含まれています。CAが使用する検証方法に基づく証明書には、次の3つのタイプがあります。

ドメイン検証済み(DV)

これらの証明書は、証明書が要求されているドメイン名と所有権を使用して検証されます。

検証済みの組織(OV)

DVチェックに加えて、CAは、追加の信頼のためにOV証明書を発行する前に、組織レベルの詳細(ビジネス名、物理アドレスなど)を検証します。組織の名前は、証明書の詳細にリストされています。

拡張検証済み(EV)

EV証明書には、CAによって実行される最も厳密な形式の検証が含まれます。これには、すべてのDVおよびOVチェックが含まれ、CAによる要求者のIDの検証も必要です。組織の名前は、しかし常にではないが、アドレスバーに表示されます。

どのタイプの証明書が最も頻繁にブロックされましたか?

暗号化されたWebチャネル上の最近のセキュリティブロックのランダムサンプルに含まれるSSL証明書を収集しました。以下は、SSL / TLS証明書のさまざまな属性に基づく調査結果です。これには、侵害された正当なサイトと悪意のあるサイトの混在が含まれることに注意することが重要です。

セキュリティブロックに含まれる証明書の大部分はDV 証明書でした。定義により、デジタル証明書を要求する人は、自分がドメインの所有権を持っていることのみを証明する必要があるため、DV証明書は乱用されやすくなります。

最も頻繁にブロックされるトラフィックがあったCAはどれですか?

ここに驚きはありません。とあるクラウドセキュリティソリューションのセキュリティブロックに含まれる証明書の大部分は、無料のサービスであるLet’s Encryptによって発行されました。ただし、チャートに示されている多くの商用認証局もあります。商用CAも無料のDV証明書を提供し始めました。これは有効期間が短く、したがって乱用されがちです。

セキュリティブロックに含まれる多数の証明書の有効期間は短かったが、これは多くの攻撃キャンペーンの有効期間が短いために予想される。加害者はキャンペーンドメインを頻繁に変更するため、新しい証明書を取得する必要があります。

緑の南京錠の神話

SSL証明書は、以前は高価であり、取得にかなりの時間がかかったため、過去数年間、セキュリティの兆候と見なされていました。難しさとコストは、サイバー犯罪者の抑止力であることが判明しました。

ただし、Let’s Encryptなどの無料の証明書プロバイダーの登場により、証明書を取得するのは簡単な作業になりました。2018年12月の時点で、Let’s Encrypt は2016年の発売以来約9000万のアクティブな証明書を発行しています。

企業が簡単に認証を取得できるようにする一方で、この戦略の意図しない結果により、サイバー犯罪者に新しい攻撃経路が開かれました。

内部トレーニングセッション中に、組織は従業員に対して、信頼とセキュリティの象徴としてブラウザのアドレスバーにある緑色の南京錠の記号を探すようにアドバイスすることがよくあります。しかし、ここ数年の経験に基づくと、それはもはや信頼できる戦略ではありません。

最近のフィッシング攻撃を見てみましょう。偽のバンクオブアメリカのログインページが、正当な証明書を使用して侵害されたWebサイトでホストされていました。

ユーザーは緑色の南京錠を探すだけでなく、URL に加えて南京錠の記号(EV証明書の表示)の横に会社名が表示されているかどうかも確認してください。ほとんどの主要な金融機関は、サイトにEV証明書を使用し始めて、Webサイトの正当性を確認するために追加の手順が実行されたことをユーザーに即座に視覚的に保証しています。

注目すべき脅威:JavaScriptスキマー

2018年に見られた最も注目すべきSSL脅威のトレンドの1つは、JavaScript スキマーベースの攻撃の増加でした。

これらの攻撃は、eコマースサイトが侵害され、悪意のある難読化されたJavaScriptが挿入されることから始まり、次にJavaScriptが購入トランザクションを利用しようとします。挿入されたスクリプトは通常、Document Object Model(DOM)プロパティを使用して、実行時に支払いページにフォームを追加します。これらの感染したサイトから何かを購入しようとするユーザーは、個人情報と財務情報を収集(「スキミング」)し、暗号化されたチャネルを介して攻撃者が制御するリモートサーバーに送信します。

結論

このレポートは、とあるクラウドセキュリティソリューションからデータをキャプチャし、グローバルな企業で何が起こっているかについての重要なファクトを提供します。当社のクラウドは、平均して1日あたり100億回以上のトランザクションを処理します。そのトラフィックの80%近くが暗号化されていることがわかりました。また、毎日平均950万件のSSLベースの高度な脅威をブロックしたこともわかっています。暗号化されたすべてのトラフィックを検査していない組織は、侵入や感染の危険性が高まり、被害を拡大します。SSLインスペクションを完全にサポートする多層多層防御戦略は、企業がこれらの脅威から安全であることを保証するために不可欠です。