レイヤー型セキュリティ対策で規制コンプライアンスを強化
サイバー脅威から企業を保護することが日常の業務の一環である場合、規制コンプライアンスに関する業務も担っていることが多いでしょう。130 か国以上がデータプライバシー法を制定しており、156 か国(世界の 80%)がサイバー犯罪法を制定しています。
更に、各プライバシー規制には、次のような独自の要件や義務があります。
- リスク評価の実施
- セキュリティポリシーとプランの実証
- 監査の報告(必要に応じて、データ漏えいに関する報告も)
多くの CISO は、チームの限られた時間をセキュリティの主軸に沿ったコンプライアンスの取り組みに費やしています。たとえば、EU の Network and Information Security Directive 2(ネットワークおよび情報セキュリティに関する指令 2、NIS2)規制を挙げてみましょう。EU 諸国のサービスプロバイダーは、機微な情報を保護するための NIS2 の要件を満たすために、「最小権限」アクセス制御を実装しています。
一般的な方法としては、特権 IT ユーザーの認証情報をボルトに保存し、誰がどのリソースにアクセスできるかを規制当局に報告することが挙げられます。ヘルスケアなどの業界においても同様の重点が置かれており、米国市民の保護対象保健情報(PHI)を取り扱う組織は、Healthcare Information Portability and Accountability Act(医療保険の携行性と責任に関する法律、HIPAA)に従って、患者の記録を厳しく管理する必要があります。
一般的なセキュリティ慣行に重点を置くことは、データ保護に役立つため、データコンプライアンス規制にも役立ちます。しかし、ドアを守り、鍵を隠すだけでは、アタックサーフェスの一部の層しかカバーできません。
さらに深く掘り下げるには、攻撃者が脆弱性を特定し、侵入する可能性が高いと考えられる事象において、組織がリソース自体をどのように保護しているかを知る必要があります。とはいえ「侵害を想定する」場合、組織は攻撃者の移動を制限し、ラテラルムーブメント(横方向の移動)や権限の昇格を阻止して、重大な損害を被ることがないよう、できる限りのことをしているといえるでしょうか?
このブログ投稿のシリーズでは、今日の規制当局が保護していることを確認するために必要なアタックサーフェスの層について説明し、この業務を遂行するためのベストプラクティスをご紹介します。
セキュリティ原則へのマッピングで、コンプライアンスを向上させる方法
業界の専門家は、企業のコンプライアンスへの取り組みを、National Institute for Standards in Technology(米国立標準技術研究所、NIST フレームワーク)や International Organization for Standardization(国際標準化機構、ISO 標準)などの組織の信頼できるセキュリティガイドラインにマッピングすることを推奨しています。これにより、次のことを実践できます。
- 有力な機関のベストプラクティスを採用し、信頼を獲得する
- コンプライアンスへの取り組みをさまざまな規制に合わせて調整し、効率を向上させる
しかし、アタックサーフェスと規制が進化するにつれ、次のような点を問う必要が出てきます。組織のデータコンプライアンスの取り組みを、既に確立されたサイバーセキュリティの原則に照らし合わせてみてはどうだろうか。これを多層防御と呼ぶ場合もありますが、当社ではレイヤー型セキュリティと考えます。いずれにしても、レイヤー型セキュリティアプローチのこの原則はよく理解されています。
レイヤー型アプローチの活用
1 つのタイプのセキュリティツールや制御に頼るのではなく、相互接続された障害物やトラップ、また攻撃者にとって好ましくない予想外の事柄を組み合わせて、選択肢、アクセス、可視性を制限することで脅威アクターを阻止できます。レイヤー型アプローチにより、特定のリスクを対象としたセキュリティ制御は、互いの強みを補完できます。1 つのセキュリティ制御が機能不全となった場合でも、別のセキュリティ制御が待機し、即座に対応できます。別のセキュリティ制御が攻撃信号を検知すると、それに対応するツールがその知見に基づいて動作し、脅威アクターの動きを阻止することができます。1 つのツールで人間によるアクセス、もう 1 つで人間以外のアクセスを保護すると考えればおわかりいただけるでしょう。
組織はこのアプローチをコンプライアンスに適用できます。規制当局は、攻撃者がデータやインフラに損害を与えないようにするために、できる限りのことを行っているという証拠を求めています。これには、数百万人の消費者の個人情報を公開したり、水処理プラントなどの重要なインフラ分野の運用を妨害したりする攻撃が含まれます。
これに対応できなかった場合のリスクは甚大です。規制に関するコンプライアンス違反によるデータ漏えいの平均コストは、2024 年には 488 万米ドルから 512 万米ドル近くにまで上がっています。
より包括的な計画を示すことから、レポート機能を強化することまで、一般的なギャップとその対処方法について見ていきましょう。
コンプライアンス標準に適用されるレイヤー型セキュリティの主な例
多くの組織では、IT ユーザーの認証情報を保護することに取り組んでいますが、攻撃者に悪用されると、ネットワークが支配され、機微な情報にアクセスされてしまう可能性があります。Payment Card Industry Data Security Standard(PCI-DSS v4.0)から General Data Protection Regulation(一般データ保護規則、GDPR)に至るまで、規制当局は強力な特権アクセス機能を要望しています。
ただし、データをセグメントに分離して保護するための制御も役立ちます。セグメントでは、各タイプのデータが、その固有の属性に合わせてカスタマイズされた認証制御によって保護されます。これには、データの機密性や地域固有の規制要件が含まれます。
ネットワークが、それぞれ独自の情報セキュリティポリシーを持つ小さな孤立したセグメントに分割されると、セキュリティチームはデータアクセスと横方向の移動をより正確に制御できます。
適切なマイクロセグメンテーションツールを導入することで、次のようなきめ細かいアプローチを実現できます。
- アタックサーフェスの縮小
- 侵害やランサムウェア攻撃が発生した場合の潜在的な損害を制限
- セキュリティチームが、全体的な計画と定期的な監査の両方において、データ、システム、運用をどのように保護しているかを示すことが可能
セキュリティチームがレイヤー型セキュリティの考え方を規制コンプライアンスに適用するためには、他にどのような方法があるでしょうか。データ保護の常に不可欠な役割について見ていきましょう。
API セキュリティ要件の対処
2025 Verizon DBIR レポートによると、データ漏えいの 60% が「人的要素」に起因しています(従業員がデータ窃盗につながるフィッシング詐欺に遭ったと考察)。そのため、当然ながら、企業はアイデンティティアクセス管理制御を実装して、高額な罰金や評判の低下を防止しています。多くの規制当局やフレームワークがこれを強く求めています。
パスワードへの依存を減らし、ユーザーに 2 要素認証方法を強制しているしくみについては、組織は規制当局に示すことができるかもしれません。しかし、人間以外の要素についてはどうでしょうか。
単一の企業で、数千ものアプリケーション・プログラミング・インターフェース(API)がバックグラウンドで動作し、データを迅速に交換している可能性があります。攻撃者は、API が誤って設定されていたり、認証制御が不十分であったり、機密情報を返す操作が簡単であることを知っています。
実際、過去 12 か月間に 84% の組織が API セキュリティインシデントを経験したことがあり、IT リーダーやセキュリティリーダーらによると平均損失額は 943,162 米ドルです。
セキュリティチームは、コンプライアンス要件にレイヤー型セキュリティアプローチを適用することで、API 資産を監視しセキュリティ保護するためのツールを使用して、従業員のアクセス制御を補完できます。これには、次の API セキュリティポスチャ管理機能が含まれます。
標準アクティビティのベンチマークに対する、API の異常な動作を分析する
悪意のあるアクティビティをリアルタイムで特定し、不正なアクセスをブロックするなどの制御を適用するように他のツールに警告する
遵守するコンプライアンスフレームワークにマッピングされた潜在的な API セキュリティインシデントの継続的なビューを提供する
データ・セキュリティ・コンプライアンスのベストプラクティス:4 つの重要なセキュリティレイヤーをカバー
このシリーズの今後のブログ投稿をご覧ください。企業のセキュリティチームがコンプライアンスのギャップや課題に対処する方法について説明する予定です。データ保護法を遵守するためには、組織がアタックサーフェスのあらゆる領域を保護するためにレイヤー型戦略を実装する方法とそれほど変わらない戦略的アプローチが必要だと私たちは考えています。
IT 資産全体を包括的に可視化するなど、今日の規制当局が求めている要件に直接関連するベストプラクティスについて説明します。
詳細を見る
Akamai がどのように役立つかの詳細については、サイバーセキュリティコンプライアンスのページをご確認ください。