レイヤー型セキュリティ対策で規制コンプライアンスを強化

業界の専門家は、企業のコンプライアンスへの取り組みを、National Institute for Standards in Technology（米国立標準技術研究所、NIST フレームワーク）や International Organization for Standardization（国際標準化機構、ISO 標準）などの組織の信頼できるセキュリティガイドラインにマッピングすることを推奨しています。これにより、次のことを実践できます。

• 有力な機関のベストプラクティスを採用し、信頼を獲得する
• コンプライアンスへの取り組みをさまざまな規制に合わせて調整し、効率を向上させる 

しかし、アタックサーフェスと規制が進化するにつれ、次のような点を問う必要が出てきます。組織のデータコンプライアンスの取り組みを、既に確立されたサイバーセキュリティの原則に照らし合わせてみてはどうだろうか。これを多層防御と呼ぶ場合もありますが、当社ではレイヤー型セキュリティと考えます。いずれにしても、レイヤー型セキュリティアプローチのこの原則はよく理解されています。

1 つのタイプのセキュリティツールや制御に頼るのではなく、相互接続された障害物やトラップ、また攻撃者にとって好ましくない予想外の事柄を組み合わせて、選択肢、アクセス、可視性を制限することで脅威アクターを阻止できます。レイヤー型アプローチにより、特定のリスクを対象としたセキュリティ制御は、互いの強みを補完できます。1 つのセキュリティ制御が機能不全となった場合でも、別のセキュリティ制御が待機し、即座に対応できます。別のセキュリティ制御が攻撃信号を検知すると、それに対応するツールがその知見に基づいて動作し、脅威アクターの動きを阻止することができます。1 つのツールで人間によるアクセス、もう 1 つで人間以外のアクセスを保護すると考えればおわかりいただけるでしょう。

組織はこのアプローチをコンプライアンスに適用できます。規制当局は、攻撃者がデータやインフラに損害を与えないようにするために、できる限りのことを行っているという証拠を求めています。これには、数百万人の消費者の個人情報を公開したり、水処理プラントなどの重要なインフラ分野の運用を妨害したりする攻撃が含まれます。

これに対応できなかった場合のリスクは甚大です。規制に関するコンプライアンス違反によるデータ漏えいの平均コストは、2024 年には 488 万米ドルから 512 万米ドル近くにまで上がっています。

より包括的な計画を示すことから、レポート機能を強化することまで、一般的なギャップとその対処方法について見ていきましょう。

多くの組織では、IT ユーザーの認証情報を保護することに取り組んでいますが、攻撃者に悪用されると、ネットワークが支配され、機微な情報にアクセスされてしまう可能性があります。Payment Card Industry Data Security Standard（PCI-DSS v4.0）から General Data Protection Regulation（一般データ保護規則、GDPR）に至るまで、規制当局は強力な特権アクセス機能を要望しています。

ただし、データをセグメントに分離して保護するための制御も役立ちます。セグメントでは、各タイプのデータが、その固有の属性に合わせてカスタマイズされた認証制御によって保護されます。これには、データの機密性や地域固有の規制要件が含まれます。

ネットワークが、それぞれ独自の情報セキュリティポリシーを持つ小さな孤立したセグメントに分割されると、セキュリティチームはデータアクセスと横方向の移動をより正確に制御できます。

適切なマイクロセグメンテーションツールを導入することで、次のようなきめ細かいアプローチを実現できます。

• アタックサーフェスの縮小
• 侵害やランサムウェア攻撃が発生した場合の潜在的な損害を制限 
• セキュリティチームが、全体的な計画と定期的な監査の両方において、データ、システム、運用をどのように保護しているかを示すことが可能

セキュリティチームがレイヤー型セキュリティの考え方を規制コンプライアンスに適用するためには、他にどのような方法があるでしょうか。データ保護の常に不可欠な役割について見ていきましょう。

2025 Verizon DBIR レポートによると、データ漏えいの 60% が「人的要素」に起因しています（従業員がデータ窃盗につながるフィッシング詐欺に遭ったと考察）。そのため、当然ながら、企業はアイデンティティアクセス管理制御を実装して、高額な罰金や評判の低下を防止しています。多くの規制当局やフレームワークがこれを強く求めています。

パスワードへの依存を減らし、ユーザーに 2 要素認証方法を強制しているしくみについては、組織は規制当局に示すことができるかもしれません。しかし、人間以外の要素についてはどうでしょうか。

単一の企業で、数千ものアプリケーション・プログラミング・インターフェース（API）がバックグラウンドで動作し、データを迅速に交換している可能性があります。攻撃者は、API が誤って設定されていたり、認証制御が不十分であったり、機密情報を返す操作が簡単であることを知っています。

実際、過去 12 か月間に 84% の組織が API セキュリティインシデントを経験したことがあり、IT リーダーやセキュリティリーダーらによると平均損失額は 943,162 米ドルです。

セキュリティチームは、コンプライアンス要件にレイヤー型セキュリティアプローチを適用することで、API 資産を監視しセキュリティ保護するためのツールを使用して、従業員のアクセス制御を補完できます。これには、次の API セキュリティポスチャ管理機能が含まれます。

• 標準アクティビティのベンチマークに対する、API の異常な動作を分析する

• 悪意のあるアクティビティをリアルタイムで特定し、不正なアクセスをブロックするなどの制御を適用するように他のツールに警告する

• 遵守するコンプライアンスフレームワークにマッピングされた潜在的な API セキュリティインシデントの継続的なビューを提供する

このシリーズの今後のブログ投稿をご覧ください。企業のセキュリティチームがコンプライアンスのギャップや課題に対処する方法について説明する予定です。データ保護法を遵守するためには、組織がアタックサーフェスのあらゆる領域を保護するためにレイヤー型戦略を実装する方法とそれほど変わらない戦略的アプローチが必要だと私たちは考えています。

IT 資産全体を包括的に可視化するなど、今日の規制当局が求めている要件に直接関連するベストプラクティスについて説明します。