X
Akamai logo
+1-8774252624
+1-8774252624
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する
製品トライアル
サイバー脅威にお困りの方
ログイン
Control Center
Akamai プラットフォームへのアクセス
Cloud Manager
クラウドリソースを管理する

リスクをより詳細に可視化し、セキュリティコンプライアンス要件に対応

John Natale

執筆者

John Natale

May 09, 2025

John Natale

執筆者

John Natale

John Natale は Akamai の Global Content Marketing Manager です。

リスクを確認できれば、その緩和がはるかに容易になります。
リスクを確認できれば、その緩和がはるかに容易になります。

データセキュリティポリシーと規制要件に準拠するためには、IT 資産を完全に可視化することが重要です。これには、企業の資産やインフラ、そして機密データの運用や保護の能力を損なう可能性のある(潜在的または進行中の)脅威をリアルタイムで把握することが含まれます。

第一にリスクの確認が必要

リスクや脆弱性を把握できなければ、そのリスクの軽減や修復の対処は不可能です。規制当局に対しても問題を制御できていると説明することができません。ところが、一般的に可視性はサイバーセキュリティチームでの課題となっています。

2024 年の Forrester の調査によると、金融会社の半数以上(52%)が、自社の IT 資産を完全に把握できていないことについて、「そう思う」または「非常にそう思う」と回答しています。どのような業界でも、コンプライアンス違反では大きな損害が発生し得ます。10 万米ドルを超える規制上の罰金を支払った組織の数は、2023 年から 2024 年で 20% 近く急増しました。

コンプライアンスシリーズの最初のブログ投稿では、規制コンプライアンスの取り組みをレイヤー型セキュリティアプローチと結びつけるべきであると論じました。可視性のギャップを埋めるプロアクティブなアプローチを取ることで、以下のセキュリティコンプライアンス要件を満たすことができます。

  • コントロールのデモンストレーション
  • リスク管理評価の実施
  • 監査用のレポート

この投稿では、ネットワークセキュリティと API 保護に関して組織が取り組んでいる可視性の問題について検討し、コンプライアンスを強化するために組織が追加できるレイヤーについて説明します。最終的に、優れたセキュリティ対策により規制要件の遵守が実現します。そして、リスクを確認した際に、そのリスクをより効果的に緩和できるようになっています。

ネットワーク可視性におけるギャップの発見と対処

サイバーセキュリティのリーダーから、自チームにネットワークトラフィックを効果的に監視する機能がないため、どのアセットが相互に通信しているかなどのリスク要因を把握できないという声が寄せられています。このことは、Payment Card Industry Data Security Standard(PCI DSS v4.0)や General Data Protection Regulation(GDPR)などの規制に対応する上で重要です。

これらの指令はどちらも、IT 環境内で対象範囲内のデータを他のシステムから分離し、作業内容を報告することを要求しています。ネットワークの可視性は、国際標準化機構(ISO)IEC 27001 などの情報セキュリティ管理システム(ISMS)規格においても重要です。この規格では、攻撃者がネットワークに侵入した場合にラテラルムーブメント(横方向の移動)を回避するために、データとデータ処理施設を分離することを要求しています。

多くの場合、組織では可視性を得るためのベースラインとなるレイヤーをすでに備えており、たとえば、従来のネットワークファイアウォールでもなんらかの分析情報を提供できます。しかし、これらのレイヤーは、クラウド環境とマイクロサービスで構成される複雑な IT 資産に移行する企業の動きには追随できていません。その結果、セキュリティチームには以下のような機能が不足します。

  • 企業が事業、販売、サードパーティーの活用を行う世界各地の無数の地域における多様な法規制へのコンプライアンス確保

  • アプリケーションとエンドユーザーがネットワーク全体でどのように通信し、データベースとやり取りするかの明確な理解

このような可視性のギャップにより、企業がサイバー脅威をどのように検知し、データの盗難、運用の中断、マルウェアにつながる攻撃から保護しているかを規制当局に示すことが困難になっています。また、可視性が低いと、PCI DSS v4.0 の要件 1 などの技術要件を満たすことも難しくなります。この要件では、信頼できるネットワークと信頼できないネットワーク間の接続を制限するようにファイアウォールを設定する必要があります。

ネットワークトラフィックの可視性のギャップを解決する 1 つの方法は、ソフトウェア定義のマイクロセグメンテーションのレイヤーを追加して、ネットワーク内のアセット間の通信を可視化、監視、特定することです。このアプローチでは、次のような効果が得られます。

  • ネットワークインタラクションのきめ細かい制御により、オンプレミスとクラウドにまたがる複雑なネットワーク全体にわたり、特定のデータセンター内のデバイス間での不正なネットワークトラフィック(すなわち水平方向のトラフィック)を組織が把握、分離、防止するのを支援

  • ネットワークを複数のセグメントに分割し、各セグメントのリスク属性にセキュリティ制御を定義することにより、ランサムウェア攻撃を緩和し、阻止する機能

  • 水平方向の可視性を強化することで、顧客のクレジットカードデータなどの機密リソースについて「誰が何にアクセスできるか」をセキュリティチームがよりよく把握できる

ネットワークの可視性を向上させる目的で、組織で使用できるマイクロセグメンテーションのレイヤーを検討する際には、リアルタイムおよび時系列の分析情報が得られる機能を探してください。これにより、コンプライアンス監査中に、対象範囲内のデータとアセットが侵害されていないことを立証する証明書を作成できます。

API の可視性のギャップを発見して対処

また、急成長している API 資産の可視化に苦労しているセキュリティチームもあります。顧客、パートナー、あるいはベンダーが組織と電子的にやり取りするたびに、API がバックグラウンドでデータを送信しており、そのデータはしばしば機密性が高いものです。今日の攻撃者は、API に大きな脆弱性があり攻撃が比較的容易であることを知っています。誤設定、認証制御の不備、コーディングエラーなどの要因があるためです。

多くの組織では、全体的な IT 資産の一部しか見ることができません。この理由は、API の多くが影に隠れており、従来の API 保護ツールでは検知されないからです。Akamai の API セキュリティの影響に関する調査 2024 年版によると、API の完全なインベントリを保有するセキュリティ専門家のうち、機微な情報を返す API を実際に理解しているのは、わずか 27% に過ぎません。すでに懸念となっていた 2023 年の 40% からさらに減少しています。

業界別の API

業界別にフィルタリングすると、正規ユーザーからのものか攻撃者からのものかに関わらず、リクエストに対してどの API が機密データを渡すかについての可視性がさらに低い状況が確認できます。

  • 医療業界:API の 24.0% のみ
  • 保険業界:API の 20.7% のみ
  • 政府・公共機関:API の 18.5% のみ

医療業界を例に、リスクの深刻な状況を説明します。攻撃者が、プロバイダーの誤設定 API を容易に操作して患者の医療情報を取得できれば、HIPAA に関する調査や罰金を受けるリスクがあります。

一部の規制では、API が明示的に言及されています。たとえば、PCI DSS v4.0 には、組織のソフトウェアが外部コンポーネントの機能を使用しているかどうかを確認するガイダンスが含まれています。これには、クレジットカード情報などの支払いデータをモバイルアプリから銀行のシステムに送信する API が含まれます。 

その他の場合、API は明示的に言及されていませんが、要件は API を使用して機能する技術のセキュリティ保護に明確に重点を置いています。この例としては、欧州連合のデジタル運用回復力法(DORA)が挙げられ、これは EU 加盟国の金融サービス組織がサイバー攻撃に耐え、回復できるよう支援するために設計されています。

DORA 要件への対応

DORA の第 3 条は、組織が情報通信技術(ICT)ソリューションやプロセスの活用において、以下の要件を満たすことを要求しています。

  • データ関連のセキュリティリスク、不正アクセス、技術的な欠陥を最小限に抑える

  • データの可用性の喪失、データ損失、完全性と機密性に関するデータ漏えいを防止する

  • データ転送のセキュリティを確保する

API の主な機能は、高速で信頼性が高く安全なデータ転送ができるようにすることです。したがって、DORA の要件を満たすためには、企業データに関わるすべての API を探索し、リスク評価を実行し、セキュリティを確保することが不可欠です。

こうした制御は、PCI DSS や GDPR の他、サイバーの耐障害性とデータセキュリティを確保するために設計された多くの指令へのコンプライアンスの改善にも役立ちます。API とそのリスクに対する可視性を向上させるためにレイヤーを追加することを検討している場合は、次のような機能に注目してください。

  • 管理対象と管理対象外によらず、ゾンビ API やシャドウ API を含む IT 環境内のすべての API を探索する機能

  • 各 API のリスク要因を評価する機能(たとえば、交換しているデータの種類、データのアクセス権を持つ主体など)

  • コンテキストに基づいた分析情報を可視化し、データ漏えい、不審なふるまい、悪性ボット、API 攻撃などのリスクを特定する機能

  • データフローを文書化する機能

  • 企業の API セキュリティポスチャを規制基準にマッピングするコンプライアンスレポートを生成する機能

セキュリティコンプライアンスプログラムによってデータプライバシーを強化するために

最後になりますが、当社では、情報セキュリティのコンプライアンスフレームワークと規制を順守するためには、攻撃対象のさまざまな領域を保護するためのレイヤー型のアプローチが必要だと考えています。

このシリーズの続きでは、現在の規制当局がセキュリティコンプライアンス管理に求めている要件と密接に関連するセキュリティのベストプラクティスについて紹介します。これには、ネットワーク、アプリケーション、API 間のラテラルムーブメントの防止も含まれます。

詳細はこちら

Akamai がどのように役立つかの詳細については、サイバーセキュリティコンプライアンスのページをご確認ください。

詳細を見る
John Natale

執筆者

John Natale

May 09, 2025

John Natale

執筆者

John Natale

John Natale は Akamai の Global Content Marketing Manager です。

関連ブログ記事

規制当局は、攻撃者がデータやインフラに損害を与えないようにするために、できる限りのことを行っているという証拠を求めています。
規制当局は、攻撃者がデータやインフラに損害を与えないようにするために、できる限りのことを行っているという証拠を求めています。

レイヤー型セキュリティ対策で規制コンプライアンスを強化

May 02, 2025
組織が規制コンプライアンスを強化し、攻撃者の動きを制限するのに、多層防御がどのように役立つかをご覧ください。
by John Natale
続きを読む
組織は、いつでもどこでも、アプリケーションと API を保護できる、統一されたポリシーを展開できるべきです。
組織は、いつでもどこでも、アプリケーションと API を保護できる、統一されたポリシーを展開できるべきです。

場所を問わない一貫したセキュリティ:Akamai が CDN に依存しない最先端の WAF テクノロジーを実現

April 09, 2025
Akamai App & API Protector Hybrid は、Akamai の信頼性の高い Web アプリケーションファイアウォール保護を、エッジ領域を越えて、ハイブリッド環境やマルチクラウド環境へと拡張します。
by Danielle Walter
続きを読む
WAF を選択する際には、効果的な検知と戦略的イノベーションを最優先事項とすべきです。
WAF を選択する際には、効果的な検知と戦略的イノベーションを最優先事項とすべきです。

Akamai、Forrester 社の最新レポートで WAF ソリューションのリーダーに選出

March 20, 2025
Akamai がリーダーに選出された「The Forrester Wave™: Web Application Firewall Solutions, Q1 2025」では、平均を上回る顧客フィードバックが寄せられています。
by Danielle Walter
続きを読む