.png)
[ÉÚ コンプライアンス義務の理解:GD~PR、サイバーエッセンシャル]
[で パート 1 このブログシリーズでは、コンプライアンスの状況と、サイバーセキュリティに関するさまざまな業界がそれぞれ独自の統治義務やガイダンスを持っていることについて説明しました。これに続いて、 ポスト クリティカルシステムおよびオペレーショナルテクノロジー分野の規制とセキュリティ管理についてです。これは私が直接経験した分野であり、サイバーセキュリティが発展するにつれて興味をそそられる分野です。そこから、私は次の分野に移りました。 金融サービス規制 ÉÚに存在します。]
[ここでは、やや接近的な義務であるGDPR~に移り、サイバーセキュリティに関するÑCSC~(英国国立サイバーセキュリティセンター)のガイドラインのセットとしてサイバーエッセンシャルズ/サイバーエッセンシャルプラスについても見ていきます。]
[一般データ保護規則-GDPR~]
[皆さんの多くは、一般データ保護規則(GDPR~)に精通しています。GDPR~(GDPR~)がÉÚでの生活や仕事に直接影響するのか、それとも私たちが扱うデータややり取りするシステムに適用されるのかはさまざまです。]
[あまり詳しく説明しませんが、GDPR~は主にÉÚ市民のデータ保護、データ処理、プライバシーの懸念に焦点を当てています 個人を特定できる情報 (PÍ~Í)。中核となる信条は、個人がデータを管理できるようにし、データの管理者と処理者に適切な配置を義務付けるものです。 「適切な技術的および組織的対策」 データ保護原則を実施すること。2018年春に開始され、ÉÚ市民のデータを扱うすべての組織に適用されるG~DPRは多岐にわたりますが、P~ÍÍの管理を指令(ガイダンス)ではなく規制(統制)として統一することを目的としています。]
[基本的に、GDPR~はサイバーセキュリティ実務者にとっていくつかのことを意味します。具体的には、組織は次のことを行う必要があります。]
- [セキュリティリスクの管理]
- [サイバー攻撃から個人データを保護]
- [セキュリティイベントの検出]
- [影響を最小限に抑える]
[これらは次の方法で対処できます。 さまざまな方法、の実装を含む サイバー・エッセンシャル 英国のガイドライン。これについては、この記事の後半で説明します。]
[とりあえず、特にマイクロセグメンテーション、侵害防止、横方向の動きの軽減という観点から、要件をどのように解釈して適用するかを掘り下げたいと思います。]
[GDPR~の中核原則とイルミオがどのように役立つか]
[サイバーセキュリティの観点からGDPR~基準を満たすのに役立つガイドラインは多数あり、その概要はÑCSC~ GDPR~セキュリティ成果ガイドに記載されています。これらのうち、特定の要件の多くはマイクロセグメンテーションの管轄下にあります。]
[Á) セキュリティリスクの管理]
[個人データに対するセキュリティリスクを理解、評価、体系的に管理するための適切な組織構造、ポリシー、およびプロセスが整っている]
[具体的に:]
[Á. 3 資産管理]
[この要件は通常、GDPR~に基づくデータ自体を対象としていますが、データ処理/データホスティングシステム自体も対象とすることができます。 視覚化およびマッピングその後、不適切なアクセスや侵害を防ぐために適切にセグメント化されます。]
[Á. 4 データ処理者とサプライチェーン]
[お客様は、データ処理業者などの第三者への依存の結果として発生する可能性のある、お客様の処理業務に対するセキュリティリスクを理解し、管理します。これには、適切なセキュリティ対策が講じられていることを確認することも含まれます。]
[アプリケーション依存関係マッピング (経由) イルミネーションは Íllú~míó C~óré の主要な機能であり、組織の外部システムへの接続性をより深く理解できるようにします。]
[B) サイバー攻撃から個人データを保護する]
[処理する個人データおよびそのようなデータを処理するシステムを対象として、サイバー攻撃から保護するための相応のセキュリティ対策を講じています。]
[上記と同様に、ここでの中核となるガイドラインは、サイバー攻撃の防止、つまりGDPR~の対象となるデータを保持するシステムへのラテラルムーブメントが成功することを防ぐことです。これこそまさに、マイクロセグメンテーションが防ぐものです。]
[C) セキュリティイベントの検出]
[個人データを処理するシステムに影響するセキュリティイベントを検出し、そのデータへの許可されたユーザーアクセスを監視できます。]
[C.1 セキュリティ監視]
[個人データを処理するシステムの状態を適切に監視し、異常なユーザーアクティビティを含め、そのデータへのユーザーアクセスを監視します。]
[繰り返しになりますが、ここではアプリケーションの依存関係マッピングが重要になります。重要なアプリケーションやシステムに出入りするアプリケーションフローの監視は、侵害や動作の変化を監視する場合に非常に役立ちます。さらに、以下の機能も備わっています。 統合する SÍÉM~やSÓÁR~などのシステムを使用すると、侵害されたと思われるデバイスの隔離などの攻撃に迅速に対応できます。]
[ゼロトラスト態勢を採用している組織にとって、イルミオのポリシーは、攻撃が定着する前に組織を最前線に立たせ、本質的に重要なシステムを横方向の侵害チェーンから保護します。]
[D) 影響を最小限に抑える]
[次のことができます。]
[個人データ漏えいの影響を最小限に抑える]
[システムとサービスの復元]
[これは爆発半径、特にその理解と最小化に関するものです。繰り返しになりますが、ここではデータそのものではなく、特にシステムを参照しています。]
[これらの要件を満たすために、参照できる特定のガイドラインセットがいくつかあり、組織全体がGDPR~コンプライアンス基準を満たすためのコンサルティングや方向性の提供に専念している場合もあります。英国で出発点として参考にできるガイドラインのセットの1つがサイバー・エッセンシャルズで、これは外部監査版であるサイバー・エッセンシャルズ・プラスです。]
[サイバーエッセンシャル、サイバーエッセンシャルプラス]
![[Cýbé~rÉss~éñtí~áls]](https://cdn.prod.website-files.com/63e25fb5e66132e6387676dc/654d54c1798c59a729b9759f_CyberEssentials.png)
[Cýbé~r Éss~éñtí~álsは、Ñ~CSCが公開したシンプルなサイバーセキュリティガイドラインのセットで、どの組織も組織の保護に役立てることができ、G~DPRへの準拠を目指す場合などに役立ちます。サイバー・エッセンシャル自体は自己評価オプションであり、サイバー・エッセンシャルズ・プラスは外部検証済みバージョンとして提供されています。要件はどちらも同じで、認証方法が変わるだけです。]
[対象範囲には、ÍTインフラストラクチャ全体またはサブセットを含めることができます。Wé~b アプリケーションはデフォルトで対象範囲に含まれます。]
[現在 バージョン 2.1 — 2020 年 8 月、具体的な要件は、いくつかの重要な分野を中心に展開しています。]
- [ファイアウォール]
- [安全な構成]
- [ユーザーアクセス制御]
- [マルウェア対策]
- [パッチ管理]
[これらのうち、Íllú~míóが支援できる主なセクションは3つあります。ファイアウォール、安全な構成、マルウェア保護です。ユーザーアクセス制御のいくつかの側面は、Í~llúm~íó でも対処できます。 アダプティブ・ユーザー・セグメンテーション 機能性。]
[ファイアウォール]
[すべてのデバイスはネットワークサービスを実行し、他のデバイスやサービスと何らかの形の通信を行います。これらのサービスへのアクセスを制限することで、攻撃にさらされるリスクを減らすことができます。これは、ファイアウォールや同等のネットワークデバイスを使用して実現できます。]
[境界ファイアウォールは、コンピュータとモバイルデバイスのネットワーク上のサービスへの送受信ネットワークトラフィックを制限できるネットワークデバイスです。サイバー攻撃からの保護に役立ちます。サイバーエッセンシャル:「ファイアウォールルール」と呼ばれる制限を設けることで、送信元、宛先、通信プロトコルの種類に応じてトラフィックを許可または遮断できます。]
[あるいは、ホストベースのファイアウォールをデバイス上に構成することもできます。] [これは境界ファイアウォールと同じように機能しますが、保護されるのは設定されている単一のデバイスのみです。このアプローチでは、よりカスタマイズされたルールが可能になり、そのルールはデバイスが使用される場所に関係なく適用されます。ただし、これではファイアウォールルールを管理するための管理オーバーヘッドが増加します。]
[Íllú~míóは主にホストベースの既存のÓ~Sファイアウォールを利用し、動的なゼロトラストセキュリティ体制を簡単に実現できるようにプログラムしています。既存の個別のファイアウォールを利用することで、保護が必要なデバイスやデータに近い、きめ細かなポリシーを適用できます。]
[安全な構成]
[コンピューターとネットワークデバイスは、デフォルト構成では常に安全であるとは限りません。標準ですぐに使える構成には、次のような弱点が 1 つ以上含まれていることがよくあります。]
- [あらかじめ決められた、一般に知られているデフォルトパスワードを持つ管理者アカウント]
- [事前に有効になっているが不要なユーザーアカウント (特別なアクセス権を持つ場合もあります)]
- [プリインストールされているが不要なアプリケーションまたはサービス]
[コンピューターやネットワークデバイスをデフォルトでインストールすると、サイバー攻撃者は組織の機密情報に不正にアクセスするさまざまな機会を得ることができますが、多くの場合、簡単に不正にアクセスできます。]
[繰り返しになりますが、ポリシーモデルとしてのゼロトラストは、特定のワークロードのセキュリティを大幅に強化し、前述の「不要なアプリケーションやサービス」へのアクセスを最小限に抑えます。]
[マルウェア対策]
[インターネットからダウンロードしたソフトウェアを実行すると、デバイスがマルウェアに感染する可能性があります。]
[コンピュータウイルス、ワーム、スパイウェアなどのマルウェアは、悪意のあるアクションを実行するために意図的に作成および配布されたソフトウェアです。マルウェアの潜在的な感染源には、悪意のある電子メールの添付ファイル、ダウンロード (アプリケーションストアからのものを含む)、不正なソフトウェアの直接インストールなどがあります。]
[このガイダンスでは、両方とも イルミオコア そして ミオジ BÁST~ÍÑÉ'~BÁRÉ~Ý'BÓ~ SÉTÁ~RÝ、BÍ~TÁ DÉ~ÁÝPÁ~ DÉTÁ~RÝ、SÉ~VÁRÝ~]
[結論として]
[Sccとガイダンs~préも、解釈はじめてみる。G~DPRは、、S~TÁRS~KÉLG~SSCÓ~ÑÝはRÁ~SÁRÉ~Dなぞや、解釈としかたなし。GDP~R 約定金は、大金、づき制のすべてにおいてはたらく、成り行きと修練の祭典。]
[、サイバー・エッセンシャルズでセキュリティー・センシャンス・ハーモン・シャイズナウ、「インゲン5LSÁR~Á」。pál~áís.b~álpí~ñfめききつなぎと、イルミオ「íñ~úmíó~]
[あいさつ、いよいよトラストサク。 http~s://www~.íllú~míó.c~óm/só~lútí~óñs/z~éró-t~rúst~。]
![[サイバーリスクとシェルタリング・イン・プレースによる救済]](https://cdn.prod.website-files.com/63e25fb5e66132e6387676dc/65aeb7798904e19df060d316_641a311acde7bc616bbb0926_Blog_Post_SHELTER_2_03272020.webp)
![[サイバーセキュリティへの投資について取締役会の賛同を得るための 5 つのヒント]](https://cdn.prod.website-files.com/63e25fb5e66132e6387676dc/678adedbdc0ec5a880af6263_1200x630_How_to_Get_Board%20(1).webp)
![[サイバーセキュリティの価値を証明するためにCÍSÓ~が取るべき3つのステップ]](https://cdn.prod.website-files.com/63e25fb5e66132e6387676dc/65c3b33838d8e6748d1dd8cd_1200x630%20%20Blog%20-%20securityvalue-%20V01.png)