ここ数年、世界中の多くの国の政府は、企業による消費者データの保護が不十分であることに敏感になっています。多くの政府が、こうした機密性の高いデータを保護するために、様々な法律や規制を制定してきました。1990年代後半から2000年代初頭にかけては、情報セキュリティ、データプライバシー、そしてアカウンタビリティに関する多くの法律が制定されました。しかし残念ながら、これは企業にとって複雑な法的問題を引き起こしました。
規制の目的?
ほとんどの法律は、組織のステークホルダー(顧客を含む)に影響を与える情報の機密性、完全性、および可用性を保護するために制定されています。制定されている様々な法律には、以下の目的があります。
- データ保護のための管理策を確立し、実装する
- コンプライアンス問題を維持、保護、評価する
- 脆弱性と逸脱を特定し、修正する
- 組織のコンプライアンスを証明できるレポートを提供する
上記の目標を達成することを目指す重要な法律の一部は次のとおりです。
- サーベンス・オクスリー法(SOX): この法律は投資家を保護するために制定され、会計詐欺を防止するために財務情報開示を改善する厳格な改革を義務付けた。
- グラム・リーチ・ブライリー法: (GLBA): この法律は、金融機関によって収集、保管、処理される個人を特定できる金融情報のプライバシーとセキュリティを保護するために米国で制定されました。
- 健康保険の相互運用性と説明責任に関する法律(HIPAA): この法律の規定は、保険会社を含む医療事業者が収集する保護対象医療情報(PHI)に焦点を当てています。医療事業者以外の企業も、この規制の直接的な影響を受ける企業と取引を行う場合、影響を受ける可能性があります。
- 2002年連邦情報セキュリティマネジメント法(FISMA): この法律はコンピュータセキュリティの向上と ネットワークセキュリティー 米国連邦政府および関連団体内。米国連邦政府の請負業者として活動する組織は、この法律の規定を遵守しなければなりません。
これらは米国における規制の一部です。しかし、米国政府または米国に拠点を置く企業と取引を行う多くの国の組織にも影響を与えます。他の国でも、自国の市場で事業を展開またはサービスを提供する組織に対して同様の規定を設けています。これらの規制を遵守することで、組織が収集、保持し、業務に利用するデータのセキュリティと整合性が向上します。
インシデント対応計画
セキュリティインシデントが発生した場合はどうすればよいですか?
最善のチェックとバランスにもかかわらず、セキュリティインシデントは発生次第、対処する必要がある。 組織にはインシデント対応計画が必要規制を遵守するだけでなく、組織がそれらを体系的に処理し、再発を最小限に抑えることも重要です。適切に設計されたプログラムは、組織がパニックに陥ることなく、迅速かつ効率的にイベントに対処するのに役立ちます。
優れたインシデント対応計画の重要な要素は次のとおりです。
- 範囲と目的: これは計画の基本要素を定義します。達成すべきイベント、システム、エンドポイントなどを網羅します。
- インシデント対応チーム、 コンタクト, の三脚と 責任緊急事態(インシデント)発生時に誰に連絡すればよいかを全員が把握しておくことが重要です。氏名、電話番号、役割などの詳細を定め、合意しておく必要があります。対応チームには、各役割の主担当者とバックアップ担当者を含める必要があります。
- 通知プロセス: インシデント発生に関する関係者への連絡は絶対に不可欠です。連絡は指揮系統を上層部、そして組織全体に行き渡る必要があり、これにより関係者は迅速に是正措置を講じ、さらなる被害を防ぐことができます。インシデント対応計画には、明確な通知・連絡計画に加え、担当者とスケジュールを明記する必要があります。通知プロセスは可能な限りシンプルにすることが重要です。データ損失が発生している最中に、計画の意図を解読しようと時間を無駄にするのは避けなければなりません。
- 緊急活動: このセクションでは、侵入を直ちに阻止するために実行すべきプロセスを列挙する必要があります。オペレーティングシステムやセキュリティソフトウェア(ファイアウォールやアンチウイルスなど)への重要なパッチ適用、あるいは影響を受けたシステムをネットワーク全体から完全に分離することなどが考えられます。緊急対応には、各チームが担当領域で実施する主要なアクションを含める必要があります。
- 入射 閉鎖: この部分では、セキュリティインシデントの終結を判断する中核となる要素を定義します。情報漏洩の阻止(ソフトウェアへのパッチ適用、ネットワークからの隔離など)、報告と法的手続きの開始、あるいはサービスの復旧などでしょうか?計画には、緊急事態(インシデント)の終結を宣言する時点(それ以前ではなく)を明記する必要があります。
インシデント計画管理
これはインシデント管理において最も重要な部分の一つです。インシデント管理チームの仕事は、単に計画を策定するだけでは終わりません。日々新たなサイバー脅威が出現するため、インシデント対応計画は定期的に再評価し、ビジネス環境と脅威環境の変化に対応できるようにする必要があります。計画の有効性は、以下の基準で評価できます。
- 報告された事件の数
- インシデントの応答時間または存続時間
- 解決に成功したインシデントの数
- 組織内のセキュリティ問題への注意
- 予防策とセキュリティ対策を実施
- 業界標準に対するベンチマーク
情報セキュリティは、すべての個人の共同責任です。組織は、セキュリティ対策の指揮を執る人物(CISO)を1人、または1つのチームに任命することができます。全員が一致団結して脅威を軽減し、インシデントから無傷で脱出しなければ、セキュリティ対策は成功しません。データセキュリティ侵害が発生した場合、インシデント管理計画は、組織が連携し、緊密に連携して緊急事態に対処するのに役立ちます。
セクライト 企業のITセキュリティを簡素化し、ビジネスパフォーマンスを最大化します。当社の製品とサービスの詳細については、 当社のウェブサイトを訪問.
