重要インフラ安全保障法とは?
2024年11月25日、サイバーセキュリティ法制パッケージに含まれていた「重要インフラの安全保障およびその他の法改正(対応・予防強化)法案2024(SOCI法)」が成立しました。SOCI法は、サイバーセキュリティ戦略2023-2030のシールド4(重要インフラの保護)を実現し、進化するサイバー脅威の状況のギャップや問題に対処するため、政府に広範な権限を与えています。
- ビジネスクリティカルなデータを保管するデータストレージシステムは、改正案では重要インフラ資産として規制されます。
- 政府の新たなインシデント後の対応管理権限より、政府は団体に対して、サイバーインシデントだけでなく、より広範なインシデントに対応するための行動をとるよう指示することができます。
- 「保護された情報」の新たな定義には、有害性に基づく評価、関連情報の非網羅的リスト、保護された情報が共有または他の目的に使用される場合の明確化が含まれます。
- 規制当局の新たな指示権限により、規制当局は責任主体に対して、重要インフラリスク管理プログラムで特定された重大な欠陥に対処するよう指示を出すことができます。
ビジネスクリティカルなデータを保持するデータストレージシステム
- #16:「...データストレージシステムとビジネスクリティカルなデータの保護を強化する。
- #19:「別表は、ビジネスクリティカルなデータを保持するすべての非運用システムを対象とするものではなく、脆弱性が重要インフラに関連する影響を及ぼす可能性のあるシステムのみを対象とするものである。対象となり得るシステムの例には、情報システムと運用技術システム間のネットワーク分離が不十分な場合、ビジネスクリティカルなデータを保持するデータストレージシステムや、ネットワーク設計図、暗号鍵、アルゴリズム、運用システムコード、戦術・技術・手順などの運用データを保持するデータストレージシステムなどが含まれる。
- #20:「...責任主体が第三者に委託する場合、その第三者はデータ保管システムに対して責任を負う。」
- #31:提案されている様々な基準は、ビジネスクリティカルなデータを保持するすべての非運用システムを捕捉すべきではなく、脆弱性が重要インフラに関連する影響を及ぼす可能性のあるシステムのみを捕捉すべきであるという意図を明確にしている。また、主要な重要インフラ資産の責任主体が、自らが所有または運用するデータストレージシステムに対して責任を負うことも明確にしている。
コンプライアンス概要
オーストラリアSOCI法への準拠を達成
重要インフラの保護、データ保護、暗号鍵の管理を通じて、ThalesがオーストラリアのSOCI法への準拠をどのように支援しているかをご覧ください。
SOCI法(改正)への準拠達成のためにThalesがお手伝いできること
Thalesのソリューションは、コンプライアンスを簡素化し、セキュリティを自動化してセキュリティおよびコンプライアンスチームの負担を軽減することで、組織がSOCI法に準拠できるよう支援します。
当社は「アプリケーションセキュリティ」、「データセキュリティ」、「IDおよびアクセス管理」のサイバーセキュリティの3つの主要分野で包括的なサイバーセキュリティソリューションを提供しています。
SOCIコンプライアンスソリューション
アプリケーションセキュリティ
クラウド、オンプレミス、ハイブリッドモデルのいずれにおいても、アプリケーションとAPIを大規模に保護します。市場をリードする当社の製品ポートフォリオには、Webアプリケーションファイアウォール(WAF)、分散型サービス拒否(DDoS)攻撃や悪意のあるボット攻撃に対する防御、APIセキュリティ、安全なコンテンツデリバリーネットワーク(CDN)、ランタイムアプリケーションセルフプロテクション(RASP)などがあります。
データセキュリティ
ハイブリッドIT全体で機密データを検出・分類し、暗号化、トークン化、鍵管理を使用して、保存中、通信中、使用中のどの状態でも機密データを自動的に保護します。また、Thalesのソリューションは、正確なリスク評価のために潜在的なリスクを特定、評価、優先順位付けするとともに、異常な行動を特定し、アクティビティを監視してコンプライアンスを検証します。これにより、組織はどこに注力すべきかを優先的に判断できます。
IDおよびアクセス管理
顧客、従業員、パートナーに対して、アプリケーションやデジタルサービスへのシームレスで安全かつ信頼性の高いアクセスを提供します。当社のソリューションは、きめ細かなアクセスポリシーと多要素認証を使用して、役割とコンテキストに基づいて内部ユーザーと外部ユーザーのアクセスを制限し、適切なユーザーに適切なリソースへの適切なタイミングでのアクセスを許可します。
SOCI法(改正)の要件への対応 – 別表1
Thalesがお手伝いできること:
- クラウドおよびオンプレミスシステム全体で構造化データと非構造化データのデータアクティビティを監視します。
- 全システムへのすべてのアクセスイベントの監査証跡とレポートを作成し、ログを外部のSIEMシステムにストリームします。
Thalesがお手伝いできること:
- オンプレミス、クラウド、ビッグデータ、コンテナ環境で保存データを暗号化します。
- 高速暗号化によって転送中データを保護します。
- 機密データのアクティビティを完全に可視化し、誰がアクセスしているかを追跡し、その操作内容を監査して文書化します。
Thalesがお手伝いできること:
- 社内外のユーザーのシステムやデータへのアクセスを、役割や状況に応じてポリシーで制限します。
- リスクスコアリングに基づき、コンテキストに応じたセキュリティ対策を適用します。
- 重要インフラの機密施設への物理的アクセスにスマートカードを活用します。
Thalesがお手伝いできること:
- データ/アプリケーションの機密性に基づいて適応型認証ポリシーを構築し、展開します。
- フィッシング攻撃や中間者攻撃から保護します。
Thalesがお手伝いできること:
- FIPS 140-2レベル3環境で暗号鍵を保護します。
- クラウドおよびオンプレミス環境における鍵管理を合理化します。
- すべてのシークレットと機密情報を管理し、保護します。
関連リソース
その他の主要なデータ保護およびセキュリティ規制
PCI HSM
指令 | 現在有効
PCI HSM仕様は、特に決済業界向けのHSMに関する一連の論理的・物理的セキュリティコンプライアンス基準を定義しています。PCI HSMコンプライアンス認定を取得するには、これらの基準を満たす必要があります。
データ侵害通知法
規制 | 現在有効
個人情報の紛失が発生した際のデータ侵害の通知義務は、世界各国で制定されています。通知義務の内容は法域によって異なりますが、ほぼ例外なく「セーフハーバー」条項が含まれています。
GLBA
規制 | 現在有効
グラムリーチブライリー法(GLBA)は1999年金融サービス近代化法としても知られ、金融機関に対し、情報共有の慣行についての顧客への説明と機密データの保護を求めています。