“GDPR”という言葉を聞いたことがありますか?
EU(ヨーロッパ連合)ではヨーロッパ市民の個人情報保護およびデータ セキュリティのために2018年5月25日よりGDPR(General Data Protection Regulation、一般個人情報保護規則)の適用が予定されており、もしこれに違反した場合、企業は最大で全売上の4%または€20 million(20億円)の罰金を支払うことになり、特にインターネットサービスおよびビジネスを展開している企業にとっては大きな課題となっています。
その内容は下記のようなものです。
- 個人情報の範囲は会員情報だけでなくWebサーバのログなども対象となる
- 会員から要請があった場合、即時に個人情報すべてを提出したり削除しなければならない
- 会員情報の漏洩などセキュリティ事故が発生した場合、72時間以内に被害対象および関係機関に報告しなければならない
- これに違反した場合、定められた罰金を支払わなければならない
今回はもうすぐ施行されるGDPRに関して、日本への影響とその対応策について、CDNetworksで今準備していることと今後の計画について解説することで、皆様がこれに備えるために何が必要で今後どう向き合えばよいのかについて、考えるヒントとなれば幸いです。
1.CDNetworksセキュリティファースト
GDPRは、EUでビジネスをしていないからといって対象外にはなりません。社内でEU圏出身の社員がいたり、フランスやドイツなどEU加盟国の会員情報を保有していたりサービスを提供している場合は、GDPRの対象になるため、実際はほとんどのB2C企業はGDPRの影響を受けると言えるでしょう。
CDNetworksは、ヨーロッパに自社法人を置いており、現在も多くのヨーロッパ のお客さまに安定的かつパフォーマンスに優れたCDNサービスを提供しているため、今回のGDPRの対象企業となります。
CDNetwokrsでは、2017年の早い段階から新たな個人情報保護規定に関する検討や準備を進めており、最近では著名なセキュリティコンサルティング会社であるBSIグループと共同でGDPR施行に向けた準備のためのセキュリティ・コンサルティング・プロジェクト(以下、プロジェクト)に取り組んでいます。
またCDNetworksでは、CDNサービスを利用するお客さまのセキュリティ対策が最も重要という原則の下で、GDPRの施行に対してただ新しい規定に遵守するためだけでなく、これを大切な個人情報をより安全に保護するためのよい機会と捉え、全社員が積極的に準備に参加しています。それは例えば次のようなものです。
画像 : https://www.gdpreu.org/ では適用日まで残り少ないことを表しています
2.GDPRに対する認知向上と備え
まず、プロジェクトの始めに主要社員に向けてGDPRについてレクチャーすることで認知向上を図る活動をしています。さらに、社員の個人的な人事情報、CDNサービスを利用するお客さま情報、そして一般サイト訪問者(ユーザ)に関する各種個人情報をまとめたリストを作成し、それぞれの情報について流れ(フロー)を把握してまとめています。
このような情報に対してリスト化が先行することにより、何を準備して何を改善すべきかが明確になります。このリストの準備が完了したら、次に組織に見合う技術的な保護措置が必要です。
画像:: 特定サービスのデータフローの例
CDNetworksでは、CDNサービス提供においてすでにPCI DSS レベル1 およびISOと同レベルのK-ISMS認証を毎年取得ならびに維持して常時保護しているため、現在の技術レベルでも十分な状態にあると判断できます。一方でデータの保存・管理・転送をより安全に行う方法はないのか、アクセス統制およびセキュリティポリシーに改善が必要な部分はないのかなど、さまざまな角度からの分析・検証も行っています。また、もしものセキュリティ侵害が発生した時のために、対応プロセスおよび管理対策についても改めて検討しています。
CDNetworksでは、次の原則に従って内部規定およびプロセスを検討しています。
– 個人情報の最小化 (data minimization)
必要により個人情報を収集する際には必ず必要な情報だけを収集します。
– 保存期間の制限 (storage limitation)
やむを得ず個人情報を保管する場合には、保管期間を厳しく制限して期間満了後は速やかに削除します。
– 完全性、機密性(integrity and confidentiality)
個人情報はセキュリティ措置を通じて認証された管理者のみ、最小限アクセスで管理できるようにし、データ破損や変形が施されないようにします。
– 情報主体の権利強化
削除権(right to erasure/be forgotten)に関する内部方針および手続きについて、このための削除要求を処理する窓口を設け、削除処理ができる管理・技術的な方法を適用し、削除が適切に行われているかを定期的に検証する方法を用意する予定です。
また移動権(Right to data portability)を通じて情報主体の個人情報を要求する場合、本人が受けるようにしてこれを移転できる体制を整え、このための情報移転申請処理手続きが出来るようにして、基本的に1ヶ月以内(延長理由があれば2ヶ月追加)に機械で判読できる(a structured, commonly used and machine-readable format)移転方法も用意する予定です。
3.GDPR チェックリスト
GDPRについて未だにどこから何をすればいいのか分からない場合は、 https://gdprchecklist.io/ で提供されているチェックリスト(あるいは技術的なチェックリストなら https://cto-security-checklist.sqreen.io/ )を参照すると参考になるでしょう。
すでにISOやPCIなどの認証を維持していれば、ほとんどはすでにやっていることですが、技術的な観点でいくつか確認をしてみましょう。
– 会社全体でのセキュリティポリシーの策定および教育
会社のビジネスと合致するセキュリティポリシーを策定し、社員たちが会社のセキュリティポリシーを理解しやすいように定期的に教育する必要があります。
CDNetworksでは毎月施行しているセキュリティチェックキャンペーを通じてセキュリティ意識を高め、主要なセキュリティ課題について教育しています。
– 会社資産情報の収集
前述のように守る対象をリスト化することで脆弱性やリスクが認知できるため対応策を講ずることができます。従って有形・無形の情報の資産をリスト化して管理することはとても重要で、CDNetworksでは別途資産管理ソリューションを開発して運用しています。
– セキュリティ事故に対する対応策を立てる
いつでも発生しうる情報漏洩やDDoS攻撃など、さまざまなセキュリティ事故に備えて手順や対策について文書化しプロセスを組み立てておきましょう。もしまだ準備が整っていない場合には、下記のサイトを参照して準備することをお勧めします。
https://zeltser.com/security-incident-response-program-tips/
CDNetworksでは、定期的な模擬訓練を通じて問題が発生した際に即時対応できる体制を整えています。
– 2段階認証を有効にする
phishingなどさまざまな攻撃により知らないうちにユーザの暗号を攻撃者に知られる可能性があります。このような問題を解決するためには、主なシステムへアクセスする際に、ID/PW だけでなく必ずOTPのような2段階認証を使用することをお勧めします。
CDNetworksでは、すでに2段階認証を使用しており、カスタマー・ポータル(お客さま専用ポータルサイト)からお客さまにOTP機能を提供しています。また、技術者がCDNサービスのインフラにアクセスする際には、より強力な3段階認証システムを使用することになっており、安全面を重視した運用を行っています。
– 中央集約化したアカウント管理
管理システムが増加し、システムごとのID/PWポリシーに従うと暗号管理上にセキュリティホールができ、セキュリティ事故につながる可能性が大きくなります。そこで各認証システムはADやLDAPなどと連動して中央集約化したアカウント管理が求められます。
– ログに対する統合管理体制
効率的なモニタリングおよび対応のためには分散しているログを統合管理することが求められます。PCIコンプライアンスによると、直近3ヶ月間のログはオンライン上ですぐに検索できる必要があるとされています。
CDNetworksでは中央集約化したログモニタリングシステム (SIEM)を導入して運用しています。ElasticやSplunkが代表的に使用されているソリューションです。
またログを通じて分析するためにはすべてのシステムの時間を同期化することがとても重要ですが、CDNetworksではNTP(Network Time Protocol)システムおよび運用体制ですべてのシステムの時間を同期化しています。
– 外部専門家による定期的な脆弱性チェックおよびセキュリティレベルのチェック
社内にどんなに素晴らしいセキュリティチームがあっても、外部の第3者から客観的なコンサルティングを受け、攻撃者の観点からみることで見逃している脆弱性はないかの確認をする必要があります。
CDNetworksでは、PCI、K-ISMSを通じた定期的な外部監査(Security Audit)以外にも、毎年外部セキュリティ・コンサルティング会社に依頼し、改善する部分はないかコンサルティングを受けています。
4.まとめ
ここまで、CDNetworksがGDPRのために準備している事柄について簡単に解説しました。
GDPRの施行にあたり、企業は組織的、技術的な部分を同時に考慮する必要があります。つまり、企業と組織は個人情報を扱うサービスに対してフローおよびプロセスを確認し、リスク管理もしなければなりません。技術的観点では、こういったデータに対して暗号化、アクセス統制、モニタリングなどをチェックし対応する必要があります。
GDPRに関してはたくさんの情報が提供されていますが、下記のインフォグラフィックスは、GDPRのために何を準備すべきかがひと目で分かりますので参考にしてみてください。
http://gdprandyou.ie/wp-content/uploads/2017/05/GDPR-Infographic-Final.pdf
また、GDPRに関してより詳細な情報は下記のサイトをご覧ください。
CDNetworksは、今後もブログを通じて定期的にアップデート情報を発信してまいります。
=====================================
CDNetworksでは、ブログ更新をはじめ最新情報について随時メールマガジンにて発信しています。
是非ご登録ください。
>>CDNetworksのメールマガジン登録はこちら
CDNetworksでは、 CDNプラットフォームと統合された、クラウド型のWAFサービスを提供しています。
250以上のシグネチャに対応したファイアウォールで、ウェブアプリケーションの脆弱性をついた攻撃をブロックします。Webサイトの改ざんや不正アクセスなどによる情報漏えいを防ぐのに役立ちます。
WAFサービスをお探しの方は、是非一度ご覧ください。
>>CDNetworksの「クラウド・セキュリティ WAF」についてはこちら
>>CDNetworksのサービス全般についてはこちら
>> お問い合わせ、ご相談はこちら
株式会社シーディーネットワークス・ジャパン TEL:03-5909-3373(営業部)
