情報技術システムの提供に関するガイドライン(แนวปฏิบัติในการจัดให้มีระบบเทคโนโลยีสา รสนเทศ นป. 6/2567)は、タイ証券取引委員会(SEC)が発行したもので、金融機関、証券会社、その他の規制対象事業体が安全で信頼性が高く、効率的なITシステムを維持することを保証するためのものです。このガイドラインは、資本市場におけるサイバーセキュリティ、データ保護、運用回復力の強化を目的としたタイのより広範な規制フレームワークの一部です。
タイのSECによるITシステム提供に関するガイドラインとは何ですか?
- タイ証券取引委員会(SEC)は、金融サービスプロバイダーのITガバナンスを含む証券および資本市場の運営を監督しています。
- これらのガイドラインは、タイのサイバーセキュリティ法B.E. 2562(2019)および個人データ保護法(PDPA)に準拠しています。
- ITシステム障害、サイバー脅威、データ侵害に関連するリスクを軽減します。
- 財務データの機密性、完全性、および可用性(CIAトライアド)を確保します。
- 事業継続性と災害復旧への備えを促進します。
- 証券会社、資産運用会社、クラウドファンディングプラットフォーム、およびその他のSEC規制対象事業体に適用されます。
- ITインフラ、ソフトウェア、ネットワーク、クラウドサービス、サードパーティアウトソーシングを対象としています。
コンプライアンス概要
SECによるITシステムの提供に関するガイドラインへの準拠を実現
情報技術のセキュリティなどを網羅した、金融セクターにおける情報技術リスク管理ガイドラインへの準拠を支援するソリューションをご覧ください。
タイのSECによるITシステムの提供に関するガイドラインへの準拠達成のためにThalesがお手伝いできること
Thalesのサイバーセキュリティソリューションは、コンプライアンスを簡素化し、可視化と制御によってセキュリティを自動化し、セキュリティおよびコンプライアンスチームの負担を軽減することで、金融機関が第2章「情報技術セキュリティ」の6つの要件に対応できるよう支援します。
アプリケーションセキュリティ
クラウド、オンプレミス、ハイブリッドモデルのいずれにおいても、アプリケーションとAPIを大規模に保護します。市場をリードする当社の製品スイートには、Webアプリケーションファイアウォール(WAF)のほか、分散型サービス妨害(DDoS)攻撃や悪意のあるボット攻撃に対する保護機能が含まれています。
データセキュリティ
ハイブリッドIT全体で機密データを検出・分類し、暗号化、トークン化、鍵管理を使用して、保存中、通信中、使用中のどの状態でも機密データを自動的に保護します。また、Thalesのソリューションは、正確なリスク評価のために潜在的なリスクを特定、評価、優先順位付けするとともに、異常な行動を特定し、アクティビティを監視してコンプライアンスを検証します。これにより、組織はどこに注力すべきかを優先的に判断できます。
IDおよびアクセス管理
顧客、従業員、パートナーに対して、アプリケーションやデジタルサービスへのシームレスで安全かつ信頼性の高いアクセスを提供します。当社のソリューションは、きめ細かなアクセスポリシーと多要素認証を使用して、役割とコンテキストに基づいて内部ユーザーと外部ユーザーのアクセスを制限し、適切なユーザーに適切なリソースへの適切なタイミングでのアクセスを許可します。
SECによるITシステムの提供に関するガイドラインへの対応
Thalesがお手伝いできること:
- 役割ベースの承認(RBAC)と条件付き承認(ABAC)をサポートすることで、システムとデータのアクセス権を管理(アクセス制御)します。
- ユーザー管理の委任により、監査証跡を使用して権限を迅速に付与または取り消すことができます。
- 多要素認証(MFA)をサポートしてユーザー認証プロセスを管理します。
- シングルサインオン(SSO)を提供し、セキュリティ要件に準拠するためにログインアクティビティレポートとして表示します。
- 重要なシステムへのアクセスに対する多要素認証(MFA)の適用をサポートすることで、特権ユーザーアカウントを制御および管理します。
- 特権ユーザーアカウントの認可および承認手順(ユーザージャーニーのオーケストレーション)を設計し、詳細な監査のために特権ユーザーアクティビティレポートとして保存および表示します。
- ソーシャルメディアまたは元の組織アカウントによる認証(BYOI)をサポートすることで、外部アクセスを管理および制御します(サードパーティのアクセス管理)。
- ログイン前にリスクを評価し、アクセスリスクをリアルタイムで確認します(リスクベース認証)。これには、サードパーティのアクセス監査レポートとして表示して、継続的な監視、監査、監督を可能にすることも含まれます。
Thalesがお手伝いできること:
- Webアプリケーションファイアウォールでサイバー脅威を検知・防御し、シームレスな運用を実現して安心感をもたらします。
- 正当なトラフィックの許可を継続しながら、DDoS攻撃や悪性ボットから重要なネットワーク資産を保護します。
- 高速で効果的なDDoS緩和と、レイヤー3および4の攻撃に対する3秒のSLAで稼働時間を確保します。
- ビジネスロジック攻撃やOWASP トップ10のAPI脅威の多くから保護します。
- 詳細な検出と分類を使用してすべてのパブリックAPI、プライベートAPI、シャドウAPIを検出し、すべてのAPIを継続的に保護します。
- コンプライアンスの現状を把握し、ギャップを文書化します。
- オンプレミス、クラウド、ビッグデータ、コンテナ環境で保存データを暗号化します。
- 機密データを作成された時点で仮名化し、平文データが権限のないユーザーによって処理または保存されないようにすることで、実際のデータアプリケーションや担当者の漏洩を防止します。
- 非常に安全な環境であるFIPS140-3レベル3内で暗号化システムの信頼の基点を保護します。
- 高速暗号化によって転送中データを保護します。
ソリューション:
アプリケーションセキュリティ
データセキュリティ
Thalesがお手伝いできること:
- 役割ベースのアクセス制御(RBAC)と属性ベースのアクセス制御(ABAC)をサポートすることで、システムとデータのアクセス権を管理します(アクセス制御)。
- 権限を迅速に付与または取り消し、アクセス変更の監査ログを生成することで、ユーザー権限を分散します(ユーザー管理の委任)。
- 多要素認証、ログイン前のリスク評価(リスクベース認証)、ログインアクティビティレポートの監査証跡レポートによるシングルサインオン(SSO)をサポートすることで、ユーザー認証プロセスを提供します。
- 多要素認証を使用して、重要なシステムにアクセスする特権ユーザーアカウントを制御および管理します。
- 詳細な監査レポートを使用して、特権ユーザーアカウントの認証・承認プロセスを設計します(ユーザージャーニーのオーケストレーション)。
- ITアクセスログを保存および監査し、必要に応じて相関関係、リスク分析、遡及監査のためにログを外部SIEMシステムにストリーミングします。
- デバイスバインディングや生体認証など、MFAと同等の認証プロセスを使用します。
- 例外を承認する前にリスク評価を実行し、ポリシーに準拠するために例外承認レポートの形式で例外の証拠を保存します。
Thalesがお手伝いできること:
- FIPS検証済みの耐タンパーハードウェアで暗号鍵を保護します。
- ワンタイムAES 256キーで鍵を暗号化し、相互認証されたTLS接続で送信します。
- 物理、仮想、クラウド環境におけるユーザーやプロセスによる不正アクセスから保護する、透過的で継続的な暗号化を採用します。
- データ暗号化には高度暗号化標準(AES)を、鍵交換には楕円曲線暗号(ECC)などの標準ベースの強力な暗号化プロトコルを採用しています。
Thalesがお手伝いできること:
- 256ビットの高度暗号化標準(AES)、3072ビットのRSAなどの暗号化アルゴリズムをサポートし、暗号アジリティを維持するためにポスト量子アップグレード向けに設計されています。
- 暗号鍵を管理し、きめ細かなアクセス制御を提供し、セキュリティポリシーを構成します。
- 生成、ローテーション、破棄、インポート、エクスポートなどの鍵のライフサイクル管理を一元化します。
- CipherTrust Managerからキーを削除し、データのすべてのインスタンスをデジタル的に細断処理することで、安全な削除を保証します。
- FIPS 140-3レベル3環境で暗号鍵を保護します。
- 機密性の高い暗号鍵を、FIPS 140-3レベル3認証取得済みのバックアップHSMに簡単かつ安全にバックアップおよび複製できます。
- すべてのシークレットと機密情報を管理し、保護します。
Thalesがお手伝いできること:
- 暗号鍵を対応するクラウドの外部に安全に保存することで、データと外部関係者、およびクラウドサービスプロバイダー(CSP)間の職務分離を強制します。
- プロセスとツールを使用して、クラウドやハイブリッド環境全体で鍵のライフサイクル管理を自動化します。
- アクセス権を明確に委任することで、サプライヤー、パートナー、あらゆるサードパーティユーザーとの関係管理を可能にします。
- 関係ベースのきめ細かな承認を使用することで、権限を最小限に抑えます。
Thalesがお手伝いできること:
- Webアプリケーションファイアウォールでサイバー脅威を検知・防御し、シームレスな運用を実現して安心感をもたらします。
- 正当なトラフィックの許可を継続しながら、DDoS攻撃や悪性ボットからICTネットワークのパフォーマンスと整合性を保護します。
Thalesがお手伝いできること:
- 多要素認証(MFA)とリスクベース認証をサポートすることで、外部ネットワーク(テレワーク)からのITシステムへのアクセスを制御および管理します。
- 管理者が外部ネットワークからの接続を承認し、結果をリモートアクセスアクティビティレポートとして表示するためのポリシーを設定します。
- セキュリティパッチのインストールやデバイス設定の確認、ウイルス対策およびマルウェア対策ポリシーの適用など、モバイルデバイスのアクセスポリシーを管理します。
- 従業員がBYODの使用を許可されている場合、ITシステムへのアクセスを許可する前にデバイスを確認し、ルート化またはジェイルブレイクされたデバイスからの接続を防止したり、個人用デバイスからの脅威を防ぐために最新のマルウェア対策ソフトウェアを強制的にインストールしたりします。
Thalesがお手伝いできること:
- 監査ログの使用状況データを記録し、使用状況データをSIEMシステムに送信します。
Thalesがお手伝いできること:
- 多要素認証とシングルサインオン(SSO)をサポートし、アクセスログレポートを表示することで、認証とアクセス制御を管理します。
- データベースシステムへのアクセスを記録し、データベースシステムへのログイン試行を検出します。
- 多要素認証をサポートし、レポート表示とともにアクセスログを保存することで、認証とアクセス制御を管理します。
- データベース構造と重要なテーブル内のデータの変更をキャプチャし(データベーススキーマログ)、アクセスログテーブルとレポートとして表示できます。
- 全システムへのすべてのアクセスイベントの監査証跡とレポートを作成し、ログを外部のSIEMシステムにストリームします。
- アクセス権管理(外部認可)と監査証跡レポートをサポートすることで、電子通信チャネルへのアクセスの制御と監査を提供します。
ソリューション:
データセキュリティ
IDおよびアクセス管理
Thalesがお手伝いできること:
- ユーザーのリスクレベルに合わせてコンテキスト化されたアクセスポリシーの設定(適応型アクセス制御)をサポートすることで、個人データへのアクセスの制御と監査(個人データアクセス制御)を提供します。
- 機密性の高い個人データにアクセスするユーザーや、新しいデバイスや場所からアクセスするユーザーに対して多要素認証(MFA)を導入します。
- 営業時間外に、または信頼できないネットワークから機密データにアクセスするための防止ポリシー(アクセスポリシー)を設定します。
- 異常なアクセス試行が見つかった場合はそれを検出して管理者に警告し、管理者が迅速に対応できるようにします。
- インシデント発生時の監査および調査のために、すべてのアクセスの監査証跡レポートの作成をサポートします。
Thalesがお手伝いできること:
- Webアプリケーションファイアウォール、APIセキュリティ、データベースセキュリティを使用してシステムの脅威を検出し、ログをSIEMシステムにストリーミングします。
- APIアクティビティを監視し、使用状況を追跡し、異常を検出し、潜在的な不正アクセスの試みを特定します。
- 正当なトラフィックの許可を継続しながら、DDoS攻撃や悪性ボットから重要なネットワーク資産を保護します。
- リスクスコアリングに基づき、コンテキストに応じたセキュリティ対策を適用します。
Thalesがお手伝いできること:
- データベース攻撃や異常なアクセス要求をリアルタイムで警告またはブロックします。
- ファイルのアクティビティを長期にわたって監視し、金融機関を危険にさらす可能性のあるアクティビティに関するアラートを設定します。
- 異常なI/Oアクティビティがないかプロセスを継続的に監視し、悪意のあるアクティビティを警告またはブロックします。
- ランサムウェアを検出するためにアクティブなプロセスを監視して、過剰なデータアクセス、流出、不正な暗号化、悪意のあるユーザーなりすましといったアクティビティを特定し、そのようなアクティビティが検出された場合に警告またはブロックします。
Thalesがお手伝いできること:
- 高度なAPI検証機能を提供して、潜在的な脆弱性に対する防御を強化します。
Thalesがお手伝いできること:
- MySQLなどのデータストアに対して評価テストを実行し、既知の脆弱性をスキャンします。
- CISおよびPCI-DSSベンチマークに基づく1,500を超える定義済み脆弱性テストを使用してデータベースをスキャンし、最新の脅威からデータベースを保護します。
Thalesがお手伝いできること:
- クラウドでホストされているデータを保護する暗号鍵をオンプレミスで管理することで、サードパーティのリスクを低減します。
- クラウドプロバイダーの管理者と組織との役割分離を徹底し、機密データへのアクセスを制限します。
- 異常を監視し警告することで、不正なアクティビティを検知し、サプライチェーンのアクティビティが阻害されるのを防ぎます。
- アクセス権を明確に委任することで、サプライヤー、パートナー、あらゆるサードパーティユーザーとの関係管理を可能にします。
- 関係ベースのきめ細かな承認を使用することで、権限を最小限に抑えます。
関連リソース
その他の主要なデータ保護およびセキュリティ規制
PCI HSM
指令 | 現在有効
PCI HSM仕様は、特に決済業界向けのHSMに関する一連の論理的・物理的セキュリティコンプライアンス基準を定義しています。PCI HSMコンプライアンス認定を取得するには、これらの基準を満たす必要があります。
データ侵害通知法
規制 | 現在有効
個人情報の紛失が発生した際のデータ侵害の通知義務は、世界各国で制定されています。通知義務の内容は法域によって異なりますが、ほぼ例外なく「セーフハーバー」条項が含まれています。
GLBA
規制 | 現在有効
グラムリーチブライリー法(GLBA)は1999年金融サービス近代化法としても知られ、金融機関に対し、情報共有の慣行についての顧客への説明と機密データの保護を求めています。