次世代セキュリティ プラットフォームをGDPR準拠に活かす方法とは

パロアルトネットワークス プラットフォームをGDPR準拠に活かす方法とは

サイバーセキュリティ は、個人データの保護とGDPRの準拠に不可欠な投資です。

GDPR要件の大部分はデータ管理、つまりデータの収集と処理が中心です。個人データを収集する際の通知義務、権限のないデータ処理の禁止、データ処理の記録を保持する要件、場合によってはデータ保護担当者を任命する義務、第三者および第三国への個人データの転送に関する規則などがあります。

 

その一方で、データ セキュリティもGDPRの柱であるという事実を見逃してはなりません。GDPRでは、以下に詳しく説明するように特殊なセキュリティ関連用語が使用されています。さらに、個人データ保護の主要な要素は、サイバー攻撃者による流出と内部漏洩の両方からデータを保護することです。したがって、GDPRに備えるには、コンプライアンス活動と情報管理プロセスおよびテクノロジへの投資をサイバーセキュリティへの適切な投資で補うことが不可欠です。

 

GDPRの関連条項の概要(see (GDPRの全文はこのリンクを参照) :

 

トピック

条項の概要

データ処理のセキュリティ

 

組織は、リスクに見合ったレベルのセキュリティを確保するために適切な技術的および組織的対策を講じなければならない。そうした対策は技術水準を考慮したものでなければならない。[第32条]

個人データは、不正アクセスの防止や、個人データや処理に使用される機器の利用の防止を含め、適切なセキュリティと機密性が確保されるように処理されなければならない。[前文第39項]

データ セキュリティ リスクを評価する際は、
個人データの処理によってもたらされるリスクを考慮しなければならない。考慮するべきリスクとしては、個人データの偶発的または違法な破壊、喪失、改変、および不正な開示またはアクセスが挙げられる。[前文第83項]

 

データ侵害の通知

----------------------------------------------------------------------------------------------

個人データの紛失、盗難、またはその他の侵害が発生した場合、その侵害がその個人に関連したリスクをもたらす可能性がほとんどない場合を除き、監督官庁に通知しなければならない。通知は遅滞なく、可能であれば侵害に気付いた時点から72時間以内に行わなければならない。 場合によっては、個人にも通知しなければならない。 通知には、性質、関連する個人データ レコードのカテゴリと件数、考えられる結果、侵害に対処し、その影響を緩和するための対策など、侵害に関する一定範囲の情報を記述しなければならない。[第33条および第34条]

制裁金

----------------------------------------------------------------------------------------------

監督官庁は、GDPRの違反に対し、個別的に制裁金を科すこととする。監督官庁は、制裁金を科すかどうか、およびその金額を決定する際、第32条に示すように技術水準を考慮し、技術的および組織的対策を講じる責任の度合いなどのさまざまな要因を考慮することとなる。[第83条]
---------------------------------------------------------------------------------------------

 

 

パロアルトネットワークスは、以下を支援することにより、GDPRコンプライアンスに関する組織のセキュリティとデータ保護への取り組みをお手伝いすることができます。

1. 個人データの保護。GDPRは、技術水準を考慮したデータ処理のセキュリティを要求しています。弊社の次世代セキュリティ プラットフォームは、まさにその要件を満たしており、アプリケーション、ネットワーク、エンドポイント レベルだけでなく、クラウド内でもセキュリティを提供します。

2.データ侵害の防止。ハッキングの結果であるか偶発的な漏洩の結果であるかに関係なく、データ侵害の防止はGDPRへの準拠において極めて重要です。適切なサイバーセキュリティは、組織の個人データやビジネスクリティカルなデータおよびアプリケーションを常に保護された状態に保つ上で不可欠です。弊社の次世代セキュリティ プラットフォームは、データ侵害を防止するように構築されています。

3.データ侵害の通知。不運にもデータ侵害が発生した場合は、報告しなければなりません。弊社の次世代セキュリティ プラットフォームは、侵害された個人データを特定し、侵害に対処するために講じるべき対策に関して重要な事実を提供するのに役立ちます。

 

製品ポートフォリオの多くの部分は、これらのニーズに対応する機能を備えています。これらについて以下に説明します。

 個人データの保護

GDPRは、技術水準を考慮したデータ処理のセキュリティを要求しています。パロアルトネットワークスのプラットフォームは、アプリケーション、ネットワーク、およびエンドポイント レベルだけでなく、クラウド内でもデータを保護します。

本当にサイバーリスクを低減し、個人データなどのデータを保護するには、攻撃ライフサイクルのあらゆる段階で既知および未知の脅威を検出・防御するための、統合され、自動化された効果的な管理策を導入する必要があります。防御のために一から構築された

パロアルトネットワークスの次世代セキュリティ プラットフォームでは、最も価値の高いデータ資産をサイバー犯罪者による流出や偶発的な漏洩から守るために、クラウドおよびモバイル ネットワーク内で主要な技術を導入するに当たって、自信を持ってデジタルファースト戦略を推進することができます。

パロアルトネットワークスの次世代セキュリティ プラットフォームは、ネットワークおよびエンドポイントセキュリティに脅威インテリジェンスを組み合わせることで保護を自動化し、サイバー攻撃を検出するだけでなく阻止します。 弊社のプラットフォームには、ファイアウォール、URLフィルタリング、IDS/IPS、高度なエンドポイント/脅威防御などの主要なセキュリティ機能がすべてネイティブで搭載されています。また、これらの機能がサイバー脅威の防御を念頭に置いてプラットフォームに意図的に組み込まれており、重要情報を各分野間でネイティブに共有するため、従来のファイアウォール、アンチウイルス、UTM、単体の脅威検出製品よりも優れたセキュリティを保証します。つまり、優れたセキュリティは優れたデータ保護を支えるということです。


 最先端 テクノロジ

GDPRは、技術水準を考慮した技術的および組織的セキュリティ対策を求めています。単体製品の寄せ集めで構成された従来のセキュリティ システムは、サイバー攻撃の大規模化、自動化、高度化を防ぐには不十分であることがわかっています。CISOはそうした従来製品を慎重に見直し、技術水準を満たしているかどうかを判断する必要があります。

脅威の状況は絶えず進化しているため、最新テクノロジも新たな脅威を阻止できるように進化しなければなりません。パロアルトネットワークスの次世代セキュリティ プラットフォームは、ネットワークおよびエンドポイントセキュリティに脅威インテリジェンスを組み合わせることで保護を自動化し、サイバー攻撃を検出するだけでなく阻止します。従来の単体製品とは異なり、弊社のプラットフォームは脅威情報を共有する膨大な数の顧客、テクノロジ パートナー、およびリサーチャーのネットワーク効果を活かしています。弊社は、サイバー攻撃者が攻撃を成功させるために行動を起こす必要がある戦術上および戦略上重要な場所への攻撃を防ぐテクノロジを開発し、全世界の顧客基盤をわずか5分で最新の保護状態に更新します。その範囲に関して言えば、新しい(「ゼロデイ」)サイバー脅威を発見すると、毎週100万を超える防御策を新たに生成しています。弊社のプラットフォームなら、事業に不可欠なすべてのアプリケーションを安全に使用し、自信を持って新技術の採用を推進し、基本的なサイバー攻撃だけでなく、複雑で多面的なサイバー攻撃も防ぐことができます。技術水準を考慮していると主張したいのであれば、CISOは、セキュリティ要素としてパロアルトネットワークスを検討に加えるべきです。

 

GDPRコンプライアンス

データ侵害の防止

ハッキングの結果か偶発的な漏洩の結果かを問わず、データ侵害の防止はGDPRへの準拠に極めて重要です。適切なサイバーセキュリティは、組織の個人データやビジネスクリティカルなデータおよびアプリケーションを常に保護された状態に保つ上で不可欠です。

弊社のプラットフォームは、データ セキュリティに関する主な4つの防御手法を実現すると同時に、GDPRコンプライアンスの達成に貢献します。

  • 完全な可視性。弊社のプラットフォームは、ネットワーク、エンドポイント、およびクラウド全体にわたってすべてのトラフィックを可視化し、アプリケーション、ユーザー、およびコンテンツ別に分類します。見えないものを阻止することはできません。完全な可視化により、動的なセキュリティ ポリシーを適用する環境が提供されます。
  • 攻撃対象領域の縮小。企業におけるアプリケーションやデバイス(SaaS、クラウド、IoTなど)の利用が急増する中、攻撃対象領域は急速に拡大しています。企業への侵入手段が増えるほど、サイバー攻撃者が個人データを盗み出す機会が増えます。弊社は積極的なセキュリティ モデルを適用し、適切なユーザーに対して許可されたアプリケーションのみを有効にし、それ以外はすべて拒否することによって攻撃対象領域を縮小します。
  • 既知の脅威の阻止。多くのデータ侵害は、有益な情報を窃取するトロイの木馬、マルウェア、アプリケーション エクスプロイトなどの既知の脅威によって引き起こされています。パロアルトネットワークスのプラットフォームは、境界においてあらゆるタイプのアプリケーションをきめ細かく管理することで脅威ベクトル自体を制御します。これにより、ネットワークの「攻撃対象領域」がただちに縮小され、その後、すべての許可トラフィックに、エクスプロイト、マルウェア、悪意のあるURL、危険なファイル、制限ファイル、またはコンテンツがないか分析されます。エンドポイントでは、グローバルな顧客コミュニティからの脅威インテリジェンスに、弊社独自の複数の方法による防御アプローチを組み合わせることで、既知のマルウェアやエクスプロイトがエンドポイントを侵害する前にこれらをブロックします。
  • 未知の脅威の防御。弊社のプラットフォームは、既知の脅威の阻止に留まらず、未知のマルウェアやエクスプロイトをプロアクティブに識別してブロックします。こうした脅威は巧妙な標的型攻撃で使用されることがよくあります。 未知のマルウェアまたはエクスプロイトが発見された場合、WildFire®クラウドベースの脅威分析サービスが次世代ファイアウォールやTraps™アドバンスト エンドポイント プロテクションなどの防御デバイスに対する新しい制御をわずか5分で、人間の介入不要で自動的に作成・共有します。さらに、Trapsが独自の複数の方法によるアプローチを展開して、ゼロデイ エクスプロイトが使用する中核的な手法をブロックするとともに、未知のマルウェアを識別してエンドポイントの侵害を阻止します。

 データ転送やプライバシーに関する懸念をさらに軽減するために、地域の境界を越えて転送することなくデータを分析できる、ローカライズされたクラウド デプロイメント「WildFire EU」も利用可能です。

これらの防御手法は、非常に回避的なゼロデイ マルウェアやエクスプロイトに対応する業界で最も先進的な分析・防御エンジンであるWildFireを活用しています。このクラウドベースのサービスは、複数の方法によるアプローチを用い、動的分析と静的分析、革新的な機械学習手法、および画期的なベアメタル分析環境を組み合わせて、最も高度な回避能力を備えた脅威でも検出、防御します。WildFireは、未知の脅威の検出に用いられる従来のアプローチにとどまらず、4つの独立した手法の利点を組み合わせることにより、防御策の回避技術に対抗して脅威を高忠実度で検出します。

 

  • 動的分析: 回避技術に対抗するカスタムビルドの仮想環境でデトネーションされるファイルを観察し、ゼロデイ マルウェアやエクスプロイトを数百もの動作特性を使用して検出できるようにします。
  • 静的分析: 既存のマルウェアの亜種を即座に特定するだけでなく、動的分析を回避しようとするマルウェアやエクスプロイトも効果的に検出します。

 

  • 機械学習:各ファイルから数千もの固有の特徴を抽出し、予測的な機械学習分類器をトレーニングして、スタティック分析またはダイナミック分析のみでは不可能な新しいマルウェアやエクスプロイトを特定できるようにします。
  • ベア メタル分析:検出回避能力を持つ脅威を実際のハードウェア環境に自動的に送り込んでデトネーションし、アンチVM分析手法を導入する攻撃者の能力を完全に取り除きます。

これらの技術を組み合わせることで、WildFireは未知のマルウェアやエクスプロイトを効率よく、誤検知はほぼゼロで発見し、防御することができます。

 

セキュリティ プロセス中心の管理

GDPRは、その物理的な所在地に関係なく、EU居住者の個人データを処理するすべての組織に適用されます。多くの大規模または多国籍組織では、複数の拠点で個人データの処理が行われる可能性があり、いずれの拠点もGDPRコンプライアンスが要求されます。Panorama™ネットワーク セキュリティ管理によって、弊社次世代ファイアウォールの実装が容易な統合されたポリシー作成と管理が可能になります。Panoramaを使用すると、一元化されたポリシーと地域ポリシーの両方を適用し、必要または要望に応じて地域の管理者に容易に委任することができます。重要なのは、ビジネスニーズや特定の地域の法律に基づいてポリシーを適用できる柔軟性です。例えば、Panorama管理者は、たとえシンガポール支店やブラジル支店の地域管理者がGDPRコンプライアンスのためのデータ保護要件に気付いていなくても、それらの拠点に置かれているファイアウォールのセキュリティ ポリシーを適用できます。

 

データの流出と漏洩の防止

データ侵害はデータの流出または漏洩に起因する可能性があり、弊社のプラットフォームはこれら両方の防止に貢献します。

弊社の次世代セキュリティ プラットフォームでは、攻撃者による最初の境界侵害の試みから、マルウェアの送り込み、エンドポイントの悪用、ネットワークの横方向への移動による主な標的への到達、個人データや機密データの盗み出しまで、攻撃ライフサイクルにおいて重要な各段階に対し、データ流出を防止する防御モデルで対応します。

GDPRコンプライアンスを維持するには、インフラストラクチャ全体にわたる社内およびパートナーのユーザー コミュニティによる偶発的なデータ漏洩/共有を防止することが極めて重要です。最もリスクが高いのはエンド ユーザーで、SaaSアプリケーションを使用している場合は特にそのリスクが高くなります。エンド ユーザーは自らがもたらすリスクについて教育を受けておらず、気付いていないことが多く、その行動が偶発的な個人データ漏洩の原因になることがあります。弊社のセキュリティ プラットフォームは、いくつかの方法でデータの流出や漏洩を防止します。

  • ネットワークでのセキュリティ。組織内のデータを保護するには、次世代ファイアウォールに組み込まれたデータ フィルタリング プロファイルが、ネットワーク レイヤーでの偶発的なデータ漏洩の防止に役立ちます。システム管理者は、ネットワークを流れるコンテンツを検査・制御するポリシーを適用することで、クレジットカード番号などの機密データの不正な転送を制限できます。
  • SaaSレベルでのセキュリティ。組織は、SaaSアプリケーションへのアクセスを制御するとともに、情報共有に関するポリシー制御を適用して、データ漏洩を阻止する必要があります。

    • 欧州で事業を営む組織は、それぞれのデータの場所の設定に合わせてEUを拠点とする地域Prisma™ SaaSデータ センターを選ぶことができます。

◦ これらの機能は、弊社のプラットフォームを通じて、次世代ファイアウォール(User-ID™ App-ID™ anContent-ID™テクノロジ)およびPrisma™ SaaSセキュリティ サービスを使用して提供されます。次世代ファイアウォールは、ネットワークとSaaSアプリケーション間のすべてのトラフィックを分析します。しかし、ネットワーク外(VPNを使用しない)からのデータ共有許可やクラウドベースのデータへのアクセスなど、特定のクラウドベースのアクティビティはインライン セキュリティ サービスから見えないことがあります。この場合、Prisma SaaSがSaaS APIを使用してSaaSアプリケーション自体に直接接続することにより、次世代ファイアウォールの機能を補います。これにより、ユーザーがアップロードまたは共有するすべてを可視化できます。Prisma SaaSを使用すると、ユーザーはBox、Microsoft® Office、Dropbox®、Salesforce®、Secure Data Spaceなど、エンタープライズSaaSアプリケーション内のすべての資産にわたってファイル アップロードを表示・監視できます。その上で、ポリシーを適用して資産(個人データを含む)の責任ある利用を監視および強化し、不特定多数との共有、不用意な共有、インターネットに公開される可能性があるリンクを用いたコンテンツ共有など、人為的なミスによる偶発的なデータ漏洩を防止することができます。ポリシー違反が検出された場合、アラートが生成されます。Prisma SaaSは、設定に応じてリスクを是正する措置を自動的に講じます。

  • エンドポイントでのセキュリティ。Trapsアドバンスド エンドポイント プロテクションは、ゼロデイ エクスプロイトや未知のマルウェアをはじめとする既知および未知の脅威によるエンドポイントの侵害を事前に防ぐための複数の方法によるアプローチを採用しています。
  • 認証情報の窃取の防止。パスワードを窃取して必要なレベルのアクセス権を得ることが比較的容易であるため、認証情報の窃取はデータ侵害の一般的な脅威ベクトルです。

 

◦ 弊社のプラットフォームは、攻撃ライフサイクル全体にわたって認証情報に基づく攻撃を阻止する機能を提供します。

多くの場合、攻撃者は、電子メールまたはソーシャル メディア経由で送信される認証情報フィッシングの試みにより、ユーザーを騙して企業の認証情報を偽のフォームで送信させようとします。弊社のプラットフォームは、ユーザーが未知または不正なサイトに認証情報を送信できないようにすることで認証情報の漏洩を阻止します。窃取された認証情報は通常、組織内の重要なシステムへのアクセスに使用されるため、機密データが含まれている重要アプリケーションへのアクセスを制御する多要素認証(MFA)ポリシーを適用することにより、横方向への移動も防止します。

また、弊社のAutoFocus™コンテキスト脅威インテリジェンス サービスはサードパーティの脅威インテリジェンス ソースを取り込み、MineMeld™アプリケーションを通じてセキュリティ プラットフォーム全体にわたって防御に活用します。MineMeldは、侵害の痕跡が収集されるとすべてのソースのメタデータをフィルタリング、重複排除、統合し、セキュリティ チームが複数のソースからエンリッチ化されたより実用的なデータ セットを分析して、容易に適用できるようにします。

データ侵害の通知

不運にもデータ侵害が発生した場合は、報告しなければなりません。

GDPRは、不運にも個人データの侵害が発生した場合、その侵害がその個人の権利または自由にリスクをもたらす可能性がほとんどない場合を除き、監督官庁への通知を義務付けています。通知には、影響を受けたデータや講じた対策など、一定範囲の情報を含める必要があります。

弊社のプラットフォームは、侵害が発生した場合にこのGDPR要件への準拠を維持するのに役立ちます。 たとえば、AutoFocusは修正に必要な詳しい分析を提供し、侵害の原因となったユーザー、脅威の内容、その影響、およびリスクのレベルを理解する助けになります。いずれも通知要件を満たすのに役立ちます。

また、次世代ファイアウォールのカスタム通知ページを介してユーザーを教育することもできます。システム管理者は、必要な教育メッセージを通知ページに追加し、偶発的なデータ漏洩が防止されるたびにエンド ユーザーにそれをメッセージとして伝えることができます。メッセージには、例えば

企業のデータ ポリシーやベストプラクティスへのリンクを含めることができます。これは、通知に対応した教育活動だけでなく、全体的な防御にも役立ちます。

 

  1. GDPR第4条(1): 「個人データ」とは、識別された自然人または識別可能な自然人(「データ主体」)に関する情報を意味する。識別可能な自然人とは、特に氏名、識別番号、位置データ、オンライン識別子などの識別子、またはその自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、もしくは社会的アイデンティティに固有の1つ以上の要素を参照することによって直接または間接的に識別し得る者をいう。