Thales banner

インドにおけるクラウドサービス導入のためのフレームワークへの準拠

インドにおける規制対象事業体のセキュリティと規制遵守に関する基本基準

インド証券取引委員会(SEBI)によるクラウドサービス導入のためのフレームワーク

テスト

インド証券取引委員会(SEBI)は、2023年3月6日付の通達(番号SEBI/HO/ITD/ITD_VAPT/P/CIR/2023/033)において、SEBI規制対象事業体(RE)によるクラウドサービス導入のためのフレームワークを導入しました。このフレームワークは、セキュリティと規制遵守のための基本基準を定めています。このフレームワークは、クラウドコンピューティングに関するSEBIの既存のガイドラインに追加される重要なものであり、REが安全でコンプライアンスに準拠したクラウド導入慣行を実施できるよう支援するために設計されています。

このフレームワークは、規制対象事業体(RE)がクラウドコンピューティングを採用する前に実施すべき主なリスク管理措置と必須の管理措置について強調することを主な目的としています。このフレームワークはまた、REがこのようなソリューションを導入する場合に準拠しなければならない規制コンプライアンスや法的コンプライアンスについても定めています。

Thalesは、セキュリティ制御と集中リスク管理原則に重点を置いた「クラウドサービス導入のためのフレームワーク」への対応を可能にする統合ソリューションを提供します。

  • 規制
  • コンプライアンス

規制の概要

クラウドサービス導入のためのフレームワークに関する通達では、REがリスク管理戦略を策定する際の指針となるよう、パブリッククラウドサービス特有のリスクについて説明しています。また、クラウド特有の脅威を軽減するためのベストプラクティスについても言及しています。REが通達内で推奨されているような適切なセキュリティ対策を確立できなければ、クラウドに保存されたデータは悪意のある者によって侵害される危険性があります。その結果、セキュリティインシデントが発生した場合、REが業務継続性を維持し、法的義務を履行する能力に影響が及ぶ可能性があります。

このフレームワークは原則に基づくフレームワークであり、以下のトピックを含む9つの重要な側面をカバーしています。

  • パブリッククラウドサービスの特性を考慮したパブリッククラウドのリスク管理戦略の策定
  • サイバーセキュリティ、データ保護、暗号鍵管理などの分野における強力な制御の導入
  • パブリッククラウドのワークロードにおけるセキュリティを含むサイバーセキュリティ業務の拡大
  • クラウドレジリエンス、外部委託、ベンダーロックイン、集中リスクの管理
  • パブリッククラウドのワークロードとリスクの管理スキルを持つ人材の確保

2023年3月6日、SEBI規制対象事業体(RE)によるクラウドサービス導入のためのフレームワークが導入されました。このフレームワークは、現行のSEBIの通達/ガイドライン/アドバイザリーに追加されるもので、REのすべての新規または提案されたクラウドオンボーディング業務/プロジェクトに対して直ちに発効します。現在クラウドサービスを利用しているREは、該当する場合には、そのような取り決めをすべて見直し、12か月以内にフレームワークに準拠しなければなりません。

Thalesは、セキュリティ制御と集中リスク管理原則に重点を置いた「クラウドサービス導入のためのフレームワーク」への対応を可能にする統合ソリューションを提供します。

保存データの保護

Thalesは、クラウドサービスプロバイダー(CSP)が提供するネイティブ暗号化と共存可能な、さまざまな保存データ用ソリューションを提供しています。

通信中データの保護

Thales High Speed Network Encryption(HSE:高速ネットワーク暗号化)ソリューションは、データセンターと本社、支店とサテライトオフィス、バックアップサイトや災害復旧サイト、オンプレミス環境とクラウド間のネットワーク上を移動するデータを保護します。

CipherTrust Transparent Encryption(透過的暗号化)は、メタデータを暗号化することなくファイルを暗号化します。これによりCSPは、管理しているシステム上に保存された機密データへの特権アクセスを取得することなく、システム管理タスクを実行することができます。

 

独自の暗号化の持ち込み(BYOE)と独自の鍵の持ち込み(BYOK)の採用

CipherTrust Cloud Key Managerは単一のインターフェースにより、複数のクラウドインフラストラクチャとSaaSアプリケーションにわたって独自の鍵の持ち込み(Bring Your Own Key:BYOK)と独自の鍵の保持(Hold Your Own Key:HYOK) のユースケースをサポートします。このソリューションは鍵の監査、強力な鍵の生成、エンドツーエンドの鍵のライフサイクル管理、そしてクラウドプロバイダーが管理する鍵管理システム(KMS)では利用できない、鍵の自動ローテーション、リカバリ、鍵の失効機能を提供します。

独自の鍵の持ち込み(BYOK)と独自の鍵の保持(HYOK)により、暗号鍵に対してより強力な職務分離が実行され、REはCSPに鍵を委ねるのではなく、鍵の制御を維持できます。

CipherTrust Transparent Encryption(透過的暗号化)はAmazon S3、Azure Filesなどに存在するデータに対して透過的暗号化とアクセス制御を提供します。また、高度なマルチクラウド向けの独自の暗号化の持ち込み(Bring Your Own Encryption:BYOE)ソリューションを提供します。クラウドベンダーの暗号化ロックインを回避するほか、独立した暗号鍵の一元管理により、データモビリティを確保して複数のクラウドベンダー間でデータを効率的に保護します。

 

暗号鍵の保護

Thales Luna ハードウェアセキュリティモジュール(HSM)を利用することで、企業は専用のハードウェアを保有し、クラウドサービスプロバイダー(CSP)に頼る場合よりも高度に暗号鍵を管理および所有できるようになります。

 

CSPに依存しないソリューション

CipherTrust Cloud Key Manager(CCKM)は、クラウドプロバイダーのBYOKサービスのサポートとクラウド鍵管理を組み合わせることで、クラウドサービスプロバイダーによって暗号化されたデータ用暗号鍵のライフサイクルをクラウド利用者が強力に制御できるようにします。

Thales CipherTrust Transparent Encryption(CTE:透過的暗号化)CipherTrust Tokenization(トークン化)は、高度なマルチクラウド向けの独自の暗号化の持ち込み(Bring Your Own Encryption:BYOE)ソリューションを提供します。クラウドベンダーの暗号化ロックインを回避するほか、独立した暗号鍵の一元管理により、データモビリティを確保して複数のクラウドベンダー間でデータを効率的に保護します。

おすすめのリソース

Addressing The Requirements of The Framework for Adoption of Cloud Services by SEBI Regulated Entities

Addressing The Requirements of The Framework for Adoption of Cloud Services by SEBI Regulated Entities - Compliance Brief

This framework is a crucial addition to SEBI’s existing guidelines on cloud computing and is designed to help REs implement secure and compliant cloud adoption practices in India.

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

クラウドデータ保護と鍵管理の ベストプラクティス - White Paper

クラウドデータ保護と鍵管理の ベストプラクティス - White Paper

クラウドサービスプロバイダーは現在、データ保護の重要性を認識し、データ暗号化と鍵管理サービスを提供しています。こ れらのサービスは、各サービスプロバイダーが提供するさまざまなタイプのインフラストラクチャで使用できます。しかし、ネ イティブの暗号化と鍵管理サービスは十分な保護を提供するものの、多くの組織、特に金融、銀行、保険、医療などの規制の 厳しい業界の組織は、リスク管理とコンプライアンスのために、より高いレベルの保証を必要としています。リスク管理の重要 な手段は、組織が鍵の所有権をサービスプロバイダーに委託するのではなく...

その他の主要なデータ保護とセキュリティ規制

GDPR

規制
アクティブ ナウ

これまでで最も包括的なデータプライバシー基準とされるGDPRは、組織がどこの国にあろうとも、EU市民の個人データを保持する全ての組織に対応を求められます。

PCI DSS

必須
アクティブ ナウ

クレジットカード及びデビットカードの決済処理事業者は、アカウントデータの処理、保存および送信に関する厳格なPCIDSSコンプライアンス要件に準拠する必要があります。

データ漏えい通知法

規制
アクティブ ナウ

個人情報漏えいが発生した場合に、データ侵害報告義務の要件は、世界中の国々によって制定されています。それは管轄国で違いはありますが、ほぼ全てに「セーフハーバー」条項が含まれています。