2018年5月に施行されたGDPR。対策は、お済みでしょうか?
違反すると2000万ユーロ(約26億円)もの課徴金が課される可能性があり、一刻も早く対策を施す必要がありますが、日本企業のGDPR対策はまだまだ進んでいないと言われています。
(参考:https://www.nikkei.com/article/DGXMZO30864980T20C18A5MM8000/)
沢山の条項があるGDPRですが、実は、情報漏洩をした際の罰則は明記されていません。
「データ保護の仕組みの組み込み」「適切な技術的・組織的対策の実施」「データに対する処理行為の記録」・・・など適切なセキュリティ対策を施しているか、がポイントなのです。
「侵害を認識してから72時間以内の監督機関への通知」が有名ですが、これもまた、適切なデータの監査をしていないとレポートは出来ません。
GDPRの対応範囲は広範な部署にわたりますが、情報システム担当者としては、どのような対策を進めればよいのでしょうか?
まず考えなければいけない、優先事項と進め方は以下の通りです。
(Imperva Japanプレゼンテーション資料より)
現状把握
第一に把握しなければいけないのは、守らなければいけない個人情報がどこにあり、誰がアクセスできるようになっているのか、ということです。
守る対象が分からないと、適切な保護は出来ません。
しかし、そうは言ってもデータベースが多すぎて整理できない、というのが実態ではないでしょうか?
Imperva が提供するSecureSphere Database Firewallを使えば、データアクセスの流れからデータの保存場所や種類を特定して整理することができます。さらに、SecureSphere Database Firewallが洗い出した情報に対して、管理者が把握している情報を付加することで、より正確に、守るべきデータの所在、アクセス権限等の現状把握ができるようになります。
GDPR対策の最初の一歩にして最も重要な現状把握にかかるシステム管理者の負担を軽減させることができます。
方針検討
現状を把握したら、これから何をして、どうGDPRに対応していくのか考えなければいけません。
- 現状から想定されるリスクは?
- GDPRの要件を考慮して何を、どんな手段で守るのか?などなど
これを考えるには、GDPRと、データベースセキュリティ、どちらに対しても高い知見が必要です。
ここも、GDPRとデータベースセキュリティのどちらも熟知したImperva社の専門家がしっかりとサポートします。Imperva社のプロフェッショナルサービスを使用することで、専門家の意見を参考に、適切にGDPR対応を進めていくことができるようになります。
セキュリティ対策/運用
方針が決まったら、早速守っていきましょう!
データの防御に必要なポイントは以下の2つです。
データベースへのアクセスデータのリアルタイム解析
「いつ」が「誰」に「どこに」「何」をしたのか、全てのデータへのアクセスを可視化しましょう
もし可視化した内容が異常で合ったときには、リアルタイムでその動きを検知する必要があります。Impervaソリューションであれば、機械学習を使用したUBAソリューションCounterBreachや、社内のルールに則ったカスタマイズした検知ルールを使用して異常を検知・ブロックすることができます。また、アラート画面から権限パスを解析し、ADサーバと連携してそのアクセス権を強制的に無効化することができます。
アラート検出とレポート
検出した異常は当然、調査しなければいけません。
Impervaソリューションは、情報システム担当者がインシデントレスポンスを行なうために必要な情報を、わかりやすい、多彩な切り口のレポートで提供し、72時間以内の通知義務が発生した際も、情報システム担当者をしっかりサポートします。
「GDPR対策、どこから手をつければいいか分からない・・・」
そんな方もまだまだいらっしゃるのではないでしょうか?
情報システム担当者が対応しなければいけないデータセキュリティについて、NVCに是非ご相談ください。
この記事に関するサービスのご紹介
ファイルサーバセキュリティ
SecureSphere File Firewallは、全てのファイルサーバとNASデバイスからユーザのアクセス権限を統合し、レポートを作成することが出来ます。
詳細はこちら- トピック:
- Imperva
- セキュリティ対策機器
- サイバー攻撃
- ネットワーク
- IT資産/データ