バングラデシュのデータセキュリティにおけるICTセキュリティガイドラインへの準拠
 

規制の概要

ICTセキュリティに関するガイドラインは、銀行、ノンバンク金融仲介機関（NBFI）、モバイル金融サービス事業者（MFSP）、決済代行サービス事業者（PSP）、決済システム運営者（PSO）、ホワイトラベル（共同利用型）ATMおよびマーチャントアクワイアラー（WLAMA）、バングラデシュ銀行が規制するその他の金融サービスプロバイダーに適用されます。

この改訂ICTガイドラインは、各組織が遵守すべき最低限の管理要件を定義しています。ガイドラインの主な目的は以下の通りです：

1. 金融セクターにおけるICTガバナンスの確立
2. 組織による独自ICTセキュリティポリシーの策定を支援する
3. 標準的なICTセキュリティ管理アプローチを確立する
4. 組織による安全で信頼できるICTインフラの開発を支援する
5. データ処理のためのセキュアな環境を確立する
6. ICTリスク管理への包括的アプローチを確立する
7. ICTリスクマネジメントと連携したビジネスインパクト分析の手順を確立する
8. 情報保護に関する利害関係者の役割と責任について認識を深める
9. 情報およびICTシステムと、軽減すべき関連リスクの優先順位を決定する
10. ICTプロジェクトのための適切なプロジェクト管理手法を確立する
11. テクノロジー利用のベストプラクティス（業界標準）を確保する
12. 業務および情報のセキュリティインシデントを適時かつ効果的に処理する枠組みを構築する
13. 事業活動の中断を低減し、重要な事業プロセスを情報システムの重大な障害や災害の影響から保護し、適時再開を確保する
14. 通信ネットワークを介して送信されるデータの保護に必要なコントロールを定義する
15. 情報システムの取得、開発、保守のライフサイクル全体を通じて、セキュリティが統合されていることを確実にする
16. ATMおよびPOS機器、ペイメントカード、インターネットバンキング、モバイル金融サービスなどの電子バンキングインフラのセキュリティリスクを最小限に抑える
17. 事業目標の達成に向け、ICT活動に関連するユーザーの意識を高め、訓練する
18. 新興テクノロジーの安全な利用を促進する

要件の詳細は13章に概説されています。

Thalesは、バングラデシュの銀行および金融機関がICTセキュリティに関するガイドラインの以下の6章に準拠することを可能にします。

第4章：ICTサービスデリバリーマネジメント

• CipherTrust Cloud Key Management（クラウド鍵管理）によって、組織は鍵をクラウド内の保存データから分離することができます。これにより、Hold-Your-Own-Key（HYOK）を用いたクラウドサービス事業者によるデータへの不正アクセスを防ぎ、組織は暗号鍵へのアクセスを制御することによって所有データの完全な制御と所有権を保持します。
• 保存データの保護：CipherTrust Data Security Platform（データセキュリティプラットフォーム）は、ファイル、ボリューム、データベース内の保存データを保護する複数の機能を提供します。以下は、その一例でせす：CipherTrust Transparent Encryption（CTE：透過的暗号化）およびCipherTrust Tokenization（トークン化）。
• 移動中のデータの保護：Thales High Speed Network Encryption（HSE：高速ネットワーク暗号化）は、ネットワークに依存しない、移動中データの暗号化（レイヤー2、3、4）を提供し、サイト間の移動やオンプレミスとクラウド間の移動において、データを確実に保護します。

第5章：インフラのセキュリティ管理

• CipherTrust Data Discovery and Classification（データディスカバリーおよび分類）によって、組織はグローバルおよび地域の主なコンプライアンス要件に準拠し、複数のデータソースから規制対象の構造化および非構造化データを効率的に検索・分類することができます。
• Thales High Speed Network Encryption（HSE：高速ネットワーク暗号化）ソリューションは、ネットワークに依存しない、通信中データの暗号化（レイヤー2、3、4）を提供し、サイト間の移動、またはオンプレミスとクラウド間の移動における安全なデータ移動を保証します。
• CipherTrust Transparent Encryption（CTE：透過的暗号化）は、一元化された鍵管理、特権ユーザーのアクセス制御、詳細なデータアクセスの監査ロギングによって、データベースに依存しない保存データの暗号化を実現します。これは、データ保護に関する規制を遵守し、ベストプラクティス要件を満たせるよう、組織を支援します。
• ハードウェアセキュリティモジュール（HSM）は、暗号鍵を保護するとともに、FIPS 140-2のレベル3に強化された耐タンパー性の環境を提供し、安全な暗号処理、鍵の生成と保護、暗号化などを実現します。Luna HSMは、オンプレミス、クラウド・アズ・ア・サービス、ハイブリッド環境で利用でき、FIPS 140-2レベル3に準拠したバックアップHSMに鍵をバックアップすることができます。
• Thales Key Management（鍵管理）は、さまざまなユースケースにおいて、クラウド環境およびエンタープライズ環境下の鍵管理を合理化かつ強化します。Thalesの鍵管理ツールとソリューションは、FIPS 140-2に準拠した仮想またはハードウェア機器を活用し、センシティブな環境に高度なセキュリティを実現するとともに、自社開発の暗号化、およびサードパーティ製アプリケーション向けの鍵管理を一元化します。

第9章：事業継続マネジメント

• テープやディスクに保存されたセンシティブ情報は、CipherTrust Data Security Platform（データセキュリティプラットフォーム）で保護することができます。このプラットフォームは、保存・転送前にデータが暗号化されることを保証します。Thales Key Management（鍵管理）は、バックアップの暗号鍵を管理し、データと鍵を分離するために、主要なバックアップソリューションベンダーを統合します。また、バックアップおよび取り外し可能メディアへの保存が行われる前のデータも保護します。

第10章 情報システムの取得と開発

• CipherTrust Secrets Management（CSM）は、Akeylessによる最先端のシークレット管理ソリューションで、シークレット、クレデンシャル、証明書、APIキー、トークンなどのDevOpsツールとクラウドワークロード全体にわたり、ミッションクリティカルな秘匿情報へのアクセスを保護および自動化します。
• CipherTrust Data Protection Gateway（DPG：データ保護ゲートウェイ）は、RESTfulウェブサービスやREST APIを活用するマイクロサービスへの透過的なデータ保護を可能にします。

第11章：デジタル決済のセキュリティ

• payShield 10K HSMは、グローバルな決済エコシステムを通じて発行体、サービス提供事業者、アクワイアラ、プロセッサー、決済ネットワークによって幅広く使用される決済処理用ハードウェアセキュリティモジュール（HSM）です。対面での決済とリモートでのデジタル決済の両方において、安全な決済クレデンシャルの発行、ユーザー認証、カード認証、機密データ保護プロセスを実現するうえで必要な基本的なセキュリティ機能を提供します。

第14章：新興テクノロジー管理

• Thales Luna Network HSMは、FIPS 140-2レベル3に準拠した専用の暗号プロセッサにおけるあらゆる取引でブロックチェーン使用者が署名に使用する秘密鍵を保管するために設計されています。鍵はライフサイクル全体を通して保存され、許可されていないデバイスや人が暗号鍵にアクセスしたり、改ざん・使用したりできないようにします。