Thales banner

豪州健全性規制庁(APRA)による健全性
基準「CPS234」へのデータセキュリティの規制遵守

Thalesは、APRA健全性実践ガイドライン(PPG)に対応することによるCPS234への準拠を支援します。

CPS234に準拠するためのAPRA健全性実践ガイドライン(PPG)

テスト

健全性基準「CPS234」は、規制対象の事業体がサイバー攻撃をはじめとするセキュリティ上の脅威に耐えられるようにすることを目的とした情報セキュリティ法です。健全性実践ガイドライン(PPG)の目的は、情報セキュリティ「CPS234」の実施に関して、APRAが規制する事業体の取締役会、上級管理職、リスク管理職、情報セキュリティ専門家(管理職と運用職の両方)にガイダンスを提供することです。

豊富な専門知識で規制遵守義務への準拠を支援しているThalesは、情報セキュリティ能力、ポリシーの枠組み、情報資産の識別と分類、管理策の実施、インシデント管理に関するAPRAの健全性実践ガイドライン(PPG)に対応することで、組織を支援します。

  • 規制
  • コンプライアンス

規制の概要

豪州健全性規制庁(APRA)の目的は、同国民の金銭的利益が保護され、金融システムが安定し、競争力を持ち、効率的であることを確実にすることです。この健全性実践ガイドライン(PPG)は、APRAの継続的な監督活動の一環として、情報セキュリティ管理の弱点が引き続き指摘されている分野を対象としています。また、健全性基準(CPS 234)および情報セキュリティ(CPS 234)の実施に関するガイダンス提供も意図されており、その主な項目は以下のとおりです:

  • 取締役会の検討事項
  • 役割と責任
  • 情報セキュリティ能力
  • ポリシーの枠組み
  • 情報資産の識別と分類
  • コントロールの実施
  • インシデント管理
  • コントロールの有効性のテスト
  • 内部監査

CPS234への準拠が必要なのは誰ですか?
CPS234は、APRAの規制下にある事業体、例えば次の事業体に適用されます:

  • 認定預金取扱機関(ADI。外国のAID、信用組合、銀行など)
  • 一般的な保険会社
  • 生命保険会社、友好協会
  • 民間の医療保険会社
  • 非営利ホールディングカンパニー
  • 退職年金基金

Thalesは、情報セキュリティ能力、ポリシーの枠組み、情報資産の識別と分類、管理策の実施、インシデント管理に関するAPRAの健全性実践ガイドライン(PPG)に対応することで、組織によるCPS234への準拠を支援します。

情報セキュリティ能力
ガイドライン18:第三者および関連当事者の能力

  • CipherTrust Data Security Platform(CDSP)によって、管理者は特権管理者とデータ所有者の間の強力な職務分掌の作成、非常にきめ細かい最小特権ユーザアクセス管理ポリシーの適用、最も特権の少ないユーザーによる管理ポリシーへのアクセスを作ることができ、特権ユーザによるデータの悪用からデータを保護することができます。
  • CipherTrust Transparent Encryptionは、管理ロールの完全な分離を提供し、許可されているユーザーおよびプロセスのみが非暗号化データを閲覧できるようにします。
  • ThalesOneWelcome Identityプラットフォームの細かな権限付与機能は、適切な人に適切なタイミングで適切な量のアクセスを提供することで組織を支援します。

POLICY FRAMEWORK
ガイドライン21 – 一連の主要原則に基づく政策ヒエラルキー

  • Thales OneWelcome Identity Platformを使用すれば、組織はデバイスやその他のデジタルIDを主なアカウントに関連付け、多くのドメインにわたり外部および内部のID関連情報を認証、承認、収集、保存することができます。
  • スマートカードのSafeNet IDPrimeは、センシティブな施設への物理的アクセスを実装するために活用できます。このようなスマートカードは、PKI技術やFIDO技術に依存するパスワードレス認証イニシアチブを補強することもできます。
  • CipherTrust Transparent Encryptionは、多要素認証機能が特権ユーザーのセンシティブデータを制限するアプリケーション、データベース、インフラを再設計することなく、ファイルおよびボリュームレベルでの保存データ暗号化、アクセス制御、データアクセスの監査ロギングによってデータを保護します。
  • Thales Luna Hardware Security Modules(HSM)は、暗号鍵を常にハードウェア内に保管することによって、最高レベルの暗号化セキュリティを提供します。
  • CipherTrust Managerは、鍵のライフサイクルにわたるタスク(鍵の生成、ローテーション、破壊、インポート、エクスポートなど)を管理し、鍵とポリシーへのロールベースのアクセス制御を提供し、堅牢な監査およびレポーティングをサポートし、開発者に優しいREST APIを提供します。管理アクセス向けに2要素認証(2FA)に対応しています。
  • CipherTrust Data Security Platformの監査証跡によって、リスクオーナーと監査人は、情報セキュリティポリシーフレームワークに照らしてコンプライアンスを評価し、証明することができます。CipherTrust Transparent Encryption(CTE)は詳細なデータアクセスの監査ロギングを提供し、CipherTrust Security Intelligence(CSI)はログとレポートを提供し、主要なセキュリティ情報およびイベント管理(SIEM)システムを使用して、コンプライアンスレポーティングを合理化したり脅威検知を高速化したりします。

INFORMATION ASSET IDENTIFICATION AND CLASSIFICATION
ガイドライン26 – すべての情報資産を重要度と機密性によって分類

  • Classify all information assets by criticality and sensitivity with CipherTrust Data Discovery and Classificationを使用して、すべての情報アセットを重要度と機密性に基づき分類しましょう。組織内の異なるデータ保存先(クラウド、ビッグデータ、従来型環境)を横断した効率の良いデータ検出、分類、リスク分析によって、センシティブデータを完全な可視化が実現します。

コントロールの実装
ガイドライン36 - 情報セキュリティコントロールは全段階に実装済み

  • Thales OneWelcome Identity & Access Managementソリューションは、各自のロールと堅牢な多要素認証(MFA)を、より詳細なアクセスポリシーと微調整された認証ポリシーを用いて、組織内外のユーザーによるアクセスを制限します。このソリューションはまた、OAuth2デバイスフロー仕様を通じて、外部IoTデバイスのID管理を容易にします。OneWelcomeのテナントが管理するユーザーIDアカウントと、ユーザー入力制限がありウェブに接続されたデバイスをリンクすることができます。
  • スマートカードのSafeNet IDPrimeは、センシティブな施設への物理的アクセスを実装するために活用できます。このようなスマートカードは、PKI技術やFIDO技術に依存するパスワードレス認証イニシアチブを補強することもできます。
  • ハードウェアセキュリティモジュール(HSM)との広範なアプリケーションを備えたデジタル署名は、安全な電子署名に使用される秘密鍵を保護し、セキュリティを強化し、コンプライアンスを確保します。
  • CipherTrust Data Security Platformは、CipherTrust Transparent EncryptionおよびCipherTrust Tokenizationによって、ファイル、ボリューム、データベース内の保存データを保護する複数の機能を提供します。
  • CipherTrust Transparent Encryption(透過的暗号化)は、センシティブデータを暗号化し、ユーザー、プロセス、ファイルタイプ、時間帯、その他のパラメーターによる適用が可能な、より細かい特権ユーザーアクセス管理ポリシーを実施します。
  • CipherTrust Managerは、職務分離によって組織がセンシティブデータを管理・保護できるように、暗号鍵の管理とセキュリティポリシーの設定を一元的に行います。これはさまざまなユースケースにわたるエンタープライズ環境の主要な管理を合理化かつ強化します。 

ガイドライン44 ─ 想定される最悪の事態への曝露を最小限に抑える

  • ハードウェアセキュリティモジュール(HSM)は、アプリケーションやセンシティブデータを保護するために使用される暗号鍵を保護し、セキュリティを強化し、コンプライアンスを保証します。
  • CipherTrust Data Security Platformは、非常にきめ細かな最小特権ユーザーのアクセス管理ポリシーを適用することで、特権ユーザーによる悪用や攻撃からデータを保護します。
    • CipherTrust Transparent Encryptionはファイルを暗号化し、メタデータはクリアなまま残します。そのため、IT管理者は管理するシステムに存在する機密データへの特権アクセスを得ることなく、システム管理タスクを実行することができます。
    • CipherTrust Transparent Encryption Ransomware Protection(CTE-RWP)は、異常なI/Oアクティビティを継続的にモニタリングし、ランサムウェアがエンドポイントやサーバを完全掌握する前に、悪意あるアクティビティについてアラートを発し、これをブロックします。
    • CipherTrust Managerは、一元化された管理とアクセス制御を実現します。これは不正なパスワード変更を防止したり同一ユーザの同時ログインに対する警告を発したりするロールベースのアクセス制御一元化によって、鍵管理のオペレーションを一元化するものです。
  • Thales OneWelcome Identity Platformは、(耐フィッシング認証を含む)多要素認証ときめ細かなアクセスポリシーによって、機密リソースへのアクセスを仮想的(または論理的)に制限することを可能にします。スマートカードのSafeNet IDPrimeは、センシティブな施設への物理的アクセスを実装するために活用できます。

ガイドライン46(b)─ 物理的・環境的コントロール

  • スマートカードのSafeNet IDPrimeは、センシティブな施設への物理的アクセスを実装するために活用できます。このようなスマートカードは、PKI技術やFIDO技術に依存するパスワードレス認証イニシアチブを補強することもできます。

ガイドライン54 ─ アクセスを制限する暗号技術;ガイドライン56 ─ 情報セキュリティ技術ソリューション、およびガイドライン58 ─ エンドユーザーによる開発/設定済みのソフトウェア

  • ハードウェアセキュリティモジュール(HSM)は、暗号鍵を常にハードウェアに保存することによって最高レベルの暗号化セキュリティを実現し、また、権限のないユーザーが暗号化されたセンシティブな資料にアクセスすることを防ぐ強力なアクセス制御を提供します。
  • Thalesの証明書ベースの認証フォームファクタのポートフォリオは、堅固な多要素認証を提供し、PKIのセキュリティニーズに対応することを可能にします。

通信中/移動中データの保護

  • ThalesのHigh Speed Encryptor(HSE:高速暗号化システム)は、ネットワークに依存しない転送中データの暗号化(レイヤー2、3、4)を実行し、サイト間の移動またはオンプレミスとクラウド間の移動において安全なデータ移動を保証します。
  • CipherTrust Managerは、職務分離によって組織がセンシティブデータを管理・保護できるように、暗号鍵の管理とセキュリティポリシーの設定を一元的に行います。

使用中のデータの保護

  • CipherTrust Vaultless Tokenizationは、ポリシーベースの動的データマスキング機能で使用中のデータを保護しつつ、保管データを保護します。A RESTful APIは、一元化された管理・サービスと組み合わせることで、フィールドごとにコード1行でトークン化を行うことが可能です。

保存データの保護

インシデント管理 ─ セキュリティ侵害の検知
ガイドライン69

  • CipherTrust Data Security Platformを使用することで、管理者は特権管理者とデータ所有者の間で強力な職務分離を実行できます。さらに、CipherTrust Managerは、管理アクセス向けの二要素認証をサポートします。
  • Thales OneWelcome Identity Platformは、(耐フィッシング認証を含む)多要素認証と、アナリティクスレポートを伴うきめ細かなアクセスポリシーによって、機密リソースへのアクセスを仮想的(または論理的)に制限することを可能にします。これはIDイベントを追跡し、アナリティクスレポートを提供します。

添付A:セキュリティ原則1.(a)

  • CipherTrust Managerは、ロールベースのアクセス制御一元化によって鍵管理のオペレーションを一元化する、一元化された管理とアクセス制御を実現します。
  • ハードウェアセキュリティモジュール(HSM)は、アプリケーションやセンシティブデータを保護するために使用される暗号鍵を保護し、追加的な保護レイヤーによって、セキュリティをさらに強化し、コンプライアンスを保証します。

添付A:セキュリティ原則1.(e)

  • Thales OneWelcome Identityプラットフォームは、組織による内外ユーザーの識別・認証、委任管理機能によるサードパーティIDの効率的な管理、サードパーティからのリスク軽減を可能にし、また、即時的かつ最新の監査証跡をすべてのシステムへのあらゆるアクセスイベントについて提供することができます。
  • ユーザーが識別された後、CipherTrust Enterprise Key Management Solutionを用いて、ユーザーがアセットへのアクセスをどのように取得するか、およびそれらのアセットで何ができるかを制御および調整することができます。

添付C:Identity and Access

  • Thales OneWelcome Identity & Access Managementは、ロールとコンテキストに基づき、組織内外のユーザーによるアクセスを制限します。
  • スマートカードのSafeNet IDPrimeは、センシティブな施設への物理的アクセスを実装するために活用できます。

添付E:暗号技術

  • ThalesのLuna HSMsは、安全な暗号化処理、鍵の生成と保護、暗号化などを実現する強化された耐タンパ環境を提供します。
  • CipherTrust Data Security Platformは、非常にきめ細かな最小特権ユーザーのアクセス管理ポリシーを適用することで、特権ユーザーによる悪用や攻撃からデータを保護します。

おすすめのリソース

Comply with the APRA Prudential Standard CPS234 in Australia

Comply with the APRA Prudential Standard CPS234 in Australia - Compliance Brief

The purpose of Prudential Practice Guidelines (PPG) is to provide guidance to Boards, senior management, risk management and information security specialists (both management and operational) of APRA-regulated entities with respect to the implementation of Prudential Standard...

Read More
Address Information Security Requirements of ASIC

Address Information Security Requirements of ASIC Market Integrity Rules in Australia - Compliance Brief

ASIC introduced the ASIC Market Integrity Rules (Securities Markets and Futures Markets) Amendment Instrument 2022/74 which amends the ASIC Market Integrity Rules (Securities Markets and Futures Markets) 2017. The background on the amendments can be found in Report 719:...

Read More
Get Ready for PCI DSS 4.0 with Thales Data Protection

タレスのデータ保護ソリューションで PCI DSS 4.0準拠に備える - White Paper

犯罪者は、依然として消費者の決済データを狙った攻撃を続けており、資産を守るためのITセキュリティ対策が依然として 突破されている状況です。大手金融機関、小売業者、そして多くの決済処理業者は壊滅的なデータ侵害の被害を受けていま す。「2019 年タレス データ脅威レポート – 金融サービス第1版」によると、米国の金融サービス機関の62%が過去にデー タ侵害を経験し、そのうち41%が直近の1年間に経験したと回答しています。機密データの保護の重要性は認識されている ものの、米国の金融企業の暗号化率は驚くほど低いまま(わずか31%)となっています。 ...

Read More
タレス SafeNet Trusted Accessによる PCI DSS 4.0への対応

タレス SafeNet Trusted Accessによる PCI DSS 4.0への対応 - Solution Brief

PCI DSS(Payment Card Industry Data Security Standard)とは、決済データを保護してクレジットカード 詐欺を減らすために規定された、技術要件および運用要件 のベースラインを提供する情報セキュリティ基準です。

Read More
Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

Read More

その他の主要なデータ保護とセキュリティ規制

GDPR

規制
アクティブ ナウ

これまでで最も包括的なデータプライバシー基準とされるGDPRは、組織がどこの国にあろうとも、EU市民の個人データを保持する全ての組織に対応を求められます。

詳細を見る

PCI DSS

必須
アクティブ ナウ

クレジットカード及びデビットカードの決済処理事業者は、アカウントデータの処理、保存および送信に関する厳格なPCIDSSコンプライアンス要件に準拠する必要があります。

詳細を見る

データ漏えい通知法

規制
アクティブ ナウ

個人情報漏えいが発生した場合に、データ侵害報告義務の要件は、世界中の国々によって制定されています。それは管轄国で違いはありますが、ほぼ全てに「セーフハーバー」条項が含まれています。

詳細を見る
man with laptop

コンプライアンススペシャリストに問い合わせ

お問い合わせ
laptop

GDPRに対応していますか?

詳細を見る
two men

コンプライアンスと規制対応ソリューションハンドブックを購読

ダウンロード
Partners Resources Blogs Sentinel Drivers