Thales banner

香港のクラウドコンピューティングセキュリティ実践ガイド

Thalesは、クラウドコンピューティングセキュリティに関するISPG-SM04要件に香港の政府事務局および部門が対応できるよう支援します。

政府事務局・部門向けクラウドコンピューティングセキュリティ実践ガイド(ISPG-SM04)

テスト

香港の政府最高情報責任者事務局(OGCIO)は、政府内の情報セキュリティとサイバーセキュリティを向上させるだけでなく、より広範なコミュニティにおける認識と備えを促進することを非常に重視しています。クラウドコンピューティングの利用が世界的なトレンドになりつつあることを受け、OGCIOはクラウドコンピューティングセキュリティ実践ガイド(ISPG-SM04)を策定しました。

Thalesは以下のことなどを通じて、ISPG-SM04要件に香港の政府事務局および部門が対応できるよう支援します。

  • データセキュリティを簡素化し、コンプライアンス遵守までの時間を短縮
  • 暗号化/トークン化により保存中の機密データを保護
  • ハイブリッド環境とマルチクラウド環境における暗号鍵管理を一元化
  • きめ細かなアクセス制御を提供
  • 規制
  • コンプライアンス

規制の概要

クラウドコンピューティングセキュリティ実践ガイド(ISPG-SM04)は、政府事務局・部門(B/D)向けのガイダンスノートです。クラウドコンピューティングを採用する際の一般的なセキュリティ上の考慮事項と業界のセキュリティベストプラクティスについて、以下の目的で説明しています。

  • クラウドセキュリティの基本に関するB/Dの理解を深める
  • B/Dが自組織でプライベートクラウドを構築する場合、または外部からクラウドサービスを取得する場合に、クラウドコンピューティングの安全な利用を促進する

クラウドコンピューティングでは、同様の管理ツール、OS、データベース、サーバープラットフォーム、ネットワークインフラ、ネットワークプロトコル、ストレージアレイなどを使用します。したがって、クラウドにおけるセキュリティ管理は、従来のIT環境における管理とほぼ同様です。そのため、ベースラインITセキュリティポリシー[S17]やITセキュリティガイドライン[G3]など、香港政府のセキュリティ文書に記載されているセキュリティ管理は引き続き適用されます。ISPG-SM04の内容は、以下のセキュリティ領域に焦点を当てたものになっています。

  • 管理責任
  • ITセキュリティポリシー
  • 人的資源のセキュリティ
  • 資産管理
  • アクセス制御
  • 暗号化
  • 物理および環境的セキュリティ
  • 運用のセキュリティ
  • 通信のセキュリティ
  • システムの取得、開発、保守
  • セキュリティの外部委託
  • セキュリティインシデント管理
  • 事業継続管理におけるITセキュリティの側面
  • コンプライアンス

Thalesは以下のことを通じて、ISPG-SM04要件に香港の政府事務局および部門が対応できるよう支援します。

  • 資産管理
  • アクセス制御 – 鍵管理とIDおよびアクセス管理
  • 暗号化

資産管理

Thales CipherTrust Data Security Platform(CDSP)は、データ中心のセキュリティ製品とソリューションを統合したスイートです。強力な暗号化を使用して保存データと転送中データを保護することにより、政府事務局および部門(B/D)がガイドラインに効果的に準拠できるよう支援します。

保存データの保護:

政府事務局および部門(B/D)が機密データの保存場所を確認したら、次に行うことは暗号化やトークン化などの保護対策です。 組織は、近代化されたアーキテクチャを備えた機密データ、データベース、アプリケーションを暗号化とトークン化によってセキュリティ保護できるよう、暗号鍵自体を保護、管理、制御する必要があります。

転送中の機密データの保護

Thales High Speed Encryptor(HSE:高速暗号化システム)

アクセス制御 – 鍵管理

Thales CipherTrust Data Security Platform(CDSP)は機密データをクラウドに安全に保存できるようにする、高度な暗号化ソリューションと鍵の一元管理ソリューションを提供します。CDSPは、複数のクラウドサービスプロバイダー(CSP)やハイブリッドクラウド環境全体に対し堅牢な企業向け鍵管理を提供することで、暗号化鍵を一元管理し、セキュリティポリシーを設定して、クラウド、オンプレミス、ハイブリッド環境全体で機密データを制御および保護できるようにします。

アクセス制御 – IDおよびアクセス管理(IAM)

Thalesのアクセス管理および認証ソリューションは、コンプライアンス準拠に組織が必要とするセキュリティメカニズムとレポート機能の両方を提供します。
 

暗号化

政府事務局および部門(B/D)は、Thales Luna HSMCipherTrust Managerを使用することで暗号鍵を管理および保護できます。

  • Thales Luna HSMは暗号鍵を保護し、安全な暗号化処理、鍵の生成と保護、暗号化などを実現する強化された耐タンパ環境を提供します。
  • CipherTrust Managerは安全な鍵の生成、バックアップ・復元、クラスタリング、非アクティブ化、削除など、ライフサイクル全体で暗号鍵の管理を簡素化します。

おすすめのリソース

Addressing requirement of Practice Guide for Cloud Computing Security (ISPG-SM04) of Hong Kong with Thales

Addressing requirement of Practice Guide for Cloud Computing Security (ISPG-SM04) of Hong Kong with Thales - eBook

As the leader in digital security and data protection, Thales has helped hundreds of enterprises comply with regulations worldwide by recommending the appropriate data protection technologies required to meet regulatory requirements. Thales enables Bureaux and Departments...

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

機密データ保護に必用とされる 組織の重要な柱とは - White Paper

機密データ保護に必用とされる 組織の重要な柱とは - White Paper

従来、組織のITセキュリティは主に境界防御に焦点を置き、壁 を築くことで外部からの脅威がネットワークに侵入するのを防 いでいました。これは依然として重要ではあるものの、十分では ありません。サイバー犯罪者は境界防御を頻繁に突破しており、 データはこうした防御の外側のクラウドなどに存在することが 多いため、組織は場所を問わずにデータを保護するデータ中心 のセキュリティ戦略を適用する必要があります。今日のデータ急 増や、世界と地域のプライバシー規制の進化、クラウド導入の拡 大、APT(持続的標的型攻撃)などに対応するため、データ中心...

Multicloud Data Security Strategies - Whitepaper

Multicloud Data Security Strategies - White Paper

As the forces that drive a multicloud strategy become clear, the challenges of securing data across multiple clouds meets the reality that a significant amount of global sensitive data is stored in the cloud. This paper informs readers on some of the drivers for multicloud...

その他の主要なデータ保護とセキュリティ規制

GDPR

規制
アクティブ ナウ

これまでで最も包括的なデータプライバシー基準とされるGDPRは、組織がどこの国にあろうとも、EU市民の個人データを保持する全ての組織に対応を求められます。

PCI DSS

必須
アクティブ ナウ

クレジットカード及びデビットカードの決済処理事業者は、アカウントデータの処理、保存および送信に関する厳格なPCIDSSコンプライアンス要件に準拠する必要があります。

データ漏えい通知法

規制
アクティブ ナウ

個人情報漏えいが発生した場合に、データ侵害報告義務の要件は、世界中の国々によって制定されています。それは管轄国で違いはありますが、ほぼ全てに「セーフハーバー」条項が含まれています。