生命保険会社の情報技術リスクの監督および管理に関するガイドライン B.E. 2563(2020)(หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต พ.ศ. ๒๕๖๓)は、生命保険部門におけるITリスク管理を強化する目的で、タイの保険委員会(OIC)によって発行されました。
コンプライアンス概要
タイのOICによるITリスクの監督および管理に関するガイドラインへの準拠
当社の包括的なサイバーセキュリティソリューションを通じて、保険会社が情報技術リスクの監督および管理に関するガイドラインにどのように準拠しているかをご覧ください。また、要件の詳細もご確認いただけます。
タイのOICによるITリスクの監督および管理に関するガイドラインへの準拠達成のためにThalesがお手伝いできること
Thalesのサイバーセキュリティソリューションは、コンプライアンスを簡素化し、可視化と制御によってセキュリティを自動化し、セキュリティおよびコンプライアンスチームの負担を軽減することで、組織がITセキュリティとサイバーセキュリティのガバナンスおよびリスク管理という2つのカテゴリーに応できるよう支援します。
OICコンプライアンスソリューション
アプリケーションセキュリティ
クラウド、オンプレミス、ハイブリッドモデルのいずれにおいても、アプリケーションとAPIを大規模に保護します。市場をリードする当社の製品スイートには、Webアプリケーションファイアウォール(WAF)のほか、分散型サービス妨害(DDoS)攻撃や悪意のあるボット攻撃に対する保護機能が含まれています。
データセキュリティ
ハイブリッドIT全体で機密データを検出・分類し、暗号化、トークン化、鍵管理を使用して、保存中、通信中、使用中のどの状態でも機密データを自動的に保護します。また、Thalesのソリューションは、正確なリスク評価のために潜在的なリスクを特定、評価、優先順位付けするとともに、異常な行動を特定し、アクティビティを監視してコンプライアンスを検証します。これにより、組織はどこに注力すべきかを優先的に判断できます。
IDおよびアクセス管理
顧客、従業員、パートナーに対して、アプリケーションやデジタルサービスへのシームレスで安全かつ信頼性の高いアクセスを提供します。当社のソリューションは、きめ細かなアクセスポリシーと多要素認証を使用して、役割とコンテキストに基づいて内部ユーザーと外部ユーザーのアクセスを制限し、適切なユーザーに適切なリソースへの適切なタイミングでのアクセスを許可します。
OICによるITリスクの監督および管理に関するガイドラインへの対応
Thalesがお手伝いできること:
- 社内外のユーザーのシステムやデータへのアクセスを、役割や状況に応じてポリシーで制限します。
- リスクスコアリングに基づき、コンテキストに応じたセキュリティ対策を適用します。
- 複数のハイブリッド環境に対するアクセスポリシーと適用を1つの画面で一元管理します。
- 役割ベースのアクセス制御を使用して鍵管理操作を統合します。
- システムにアクセスするユーザーが本当に承認されていることを確認するために、多要素認証(MFA)を提供します。
- シングルサインオン(SSO)を導入し、ユーザーが単一の認証によって複数のシステムに安全にアクセスできるようにします。
- ユーザーの役割、責任、リスクに基づいてアクセスポリシーを設定します(ポリシーベースのアクセス制御)。
- 遡及監査をサポートするためにアクセスログを保存します。
- 保存データと転送中データの両方を暗号化して(保存データおよび転送中データの暗号化)、不正アクセスを防止します。
ソリューション:
アプリケーションセキュリティ
データセキュリティ
IDおよびアクセス管理
Thalesがお手伝いできること:
- 物理、仮想、クラウド環境におけるユーザーやプロセスによる不正アクセスから保護する、透過的で継続的な暗号化を導入します。
- テスト用の実際のデータが公開されるのを防ぐため、データベース内の機密情報を仮名化します。
- FIPS140-3レベル3の耐タンパーハードウェアで暗号鍵を保護します。
- ワンタイムAES 256キーで鍵を暗号化し、相互認証されたTLS接続で送信します。
- 暗号アジリティを維持するために、耐量子アップグレード向けに設計されたセキュリティ製品です。
Thalesがお手伝いできること:
- アクセスが承認されていることを確認するために、リモートユーザーに対して多要素認証(MFA)を有効にします。
- 不正なデバイスからのアクセスを防ぐために、仮想プライベートネットワーク(VPN)システムのユーザー権限管理を提供します。
- 事前に承認されたユーザーのみを制御するためのリモートアクセスポリシーを提供します。
- 遡及監査をサポートするためにリモートアクセスログを保存します。
- 通信中のデータ傍受を防ぐために、リモート接続を介して送信されるデータを暗号化します(転送中データの暗号化)。
Thalesがお手伝いできること:
- Webアプリケーションファイアウォールを使用してサイバー脅威を検出して防止し、シームレスな運用と安心を確保します。
- 正当なトラフィックの許可を継続しながら、DDoS攻撃や悪性ボットから重要なネットワーク資産を保護します。
- 高速で効果的なDDoS緩和と、レイヤー3および4の攻撃に対する3秒のSLAで稼働時間を確保します。
- ビジネスロジック攻撃やOWASP トップ10のAPI脅威の多くから保護します。
- 詳細な検出と分類を使用してすべてのパブリックAPI、プライベートAPI、シャドウAPIを検出し、すべてのAPIを継続的に保護します。
- 機密データのアクティビティを完全に可視化し、誰がアクセスしているかを追跡し、その操作内容を監査して文書化します。
- 特権ユーザーを含むすべてのユーザーのリスクの高いデータアクセスアクティビティを特定します。
- ポリシー違反発生時のリアルタイム警告やユーザーアクセスのブロックによって、データを保護します。
- データリスクメトリックを統合し、リスク領域を特定し、透明性が高くカスタマイズ可能なリスクスコアを提供することで、データリスクの状態に関する透明性とコンテキストを提供します。
ソリューション:
アプリケーションセキュリティ
データセキュリティ
Thalesがお手伝いできること:
- MySQLなどのデータストアに対して評価テストを実行し、既知の脆弱性をスキャンします。
- CISおよびPCI-DSSベンチマークに基づく1,500を超える定義済み脆弱性テストを使用してデータベースをスキャンし、最新の脅威からデータベースを保護します。
関連リソース
その他の主要なデータ保護およびセキュリティ規制
PCI HSM
指令 | 現在有効
PCI HSM仕様は、特に決済業界向けのHSMに関する一連の論理的・物理的セキュリティコンプライアンス基準を定義しています。PCI HSMコンプライアンス認定を取得するには、これらの基準を満たす必要があります。
データ侵害通知法
規制 | 現在有効
個人情報の紛失が発生した際のデータ侵害の通知義務は、世界各国で制定されています。通知義務の内容は法域によって異なりますが、ほぼ例外なく「セーフハーバー」条項が含まれています。
GLBA
規制 | 現在有効
グラムリーチブライリー法(GLBA)は1999年金融サービス近代化法としても知られ、金融機関に対し、情報共有の慣行についての顧客への説明と機密データの保護を求めています。