機密ファイル、デバイス、ツール、ネットワーク領域へのアクセスを制御することはサイバーセキュリティにおいて最も重要であることはよく知られていますが、もちろん、単にユーザーがリソースにアクセスする方法を制御するだけでは十分ではありません。アクセスを追跡することができ、監査可能なこと、つまり、誰がログオンしたか、いつ、どこでアクセスしたか、どのリソースにアクセスしたかを確認できることも、極めて重要です。 このブログでは、監査可能なアクセス・コントロールについて考察します。
規制当局は必要なものをすべて要求
医療や金融など、厳しい制約がある業種の規制当局は、特に、厳しい要求を出します。許可されたユーザーのみが機密データにアクセスしたこと、必要な場合にのみアクセスしたこと、そして機密データへのアクセスと転送がセキュアで規制に準拠した方法で行われたことを証明するのに、規制当局が監査を実施することもあります。
たとえば、GDPRの原則6では、データが「適切な技術的または組織的措置を用いて、不正または不法な処理から保護し、偶発的な紛失、破壊または損傷が生じないように保護するなど、個人データのセキュリティを適切に保証する方法で」処理される必要があると規定しています。
この「適切な技術的または組織的措置」は重要であり、アクセス・コントロールもその1つでしょう。ただ、アクセス・コントロールを実施していたとしても、監査可能なログが残っていなければ、規制当局にコンプライアンスを証明することはできません。
コンプライアンス認定に必要な可視性に欠け、しっかりしたログ記録が残っていないと、監査を通らない可能性があります。ログは改ざん防止がなされている必要があり、ファイルがいつ転送されたか、適切な受信者がファイルを受信したかどうか、そして、事後に削除されたかどうかなどを追跡できなければなりません。
適切なツールを使用して適切な結果を得る
大変なことのように聞こえるかもしれませんが、解決策はそれほど難しくはありません。まず、古くて安全でないファイル転送方法は見限らなければなりません。今立ち上がっている FTP サーバーは、これまでは問題なかったかもしれませんが、GDPR の時代には不十分です。適切なマネージド・ファイル・トランスファー・ソリューションに移行することで、パートナー、顧客、ユーザー、システム間のファイル転送アクティビティを完全に可視化し、制御できます。保管中および転送中のファイルを保護し、内部ポリシー遵守や規制コンプライアンスを徹底できます。
たとえば、MOVEit には、FIPS 140-2検証済み AES-256 暗号化、ユーザー権限/認証、配信確認、否認防止、強化されたプラットフォーム設定などの高度なセキュリティ機能があります。 MOVEit Transfer は、ISO 27001、HIPAA、PCI、GDPR、SOX、BASEL I/II/III、FIPS、FISMA、GLBA、FFEIC、ITAR、その他のデータ・プライバシー規制に準拠するために、アクティビティを改ざん防止データベースに記録します。また、既存の DLP やアンチウイルスシステム、SAML 2.0を介したアイデンティティ・システム、AD、LDAP サービス、および SIEM と統合できます。さらに、他のサードパーティー・アプリケーションと柔軟に統合できるよう、API インタフェース(RESTを含む)が用意されています。
Jeff Edwards
Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.