政府機関向け公共部門データセキュリティ

政府機関向け公共部門データセキュリティ
シンガポールにおける推奨事項

タレスは、組織が公共部門データセキュリティの要件に対応できるよう支援します。

政府機関向け公共部門データセキュリティ

テスト

シンガポールでは、IT環境がますます複雑化する中、より良い政策やデジタルサービスを市民に提供するために貴重なデータを求める声が高まっており、現在のセキュリティ体制の強固な基盤を強化する必要があります。

この規制により、政府機関は市民のデータをエンドツーエンドで保護して安全性を確保できるようになり、規制の対象にはベンダーやその他の認可されたサードパーティが含まれることになります。これにより、国民の信頼が高まり、シンガポールの人々により良い公共サービスが提供されることが期待されています。

すべての公的機関は、最高水準のデータガバナンスを維持できるようになり、スマートネーションのビジョンに向けた取り組みが強化されます。

タレスのCypherTrust Data Security Platform (CDSP: データセキュリティ プラットフォーム)は次の機能により、組織内でこれらのガイドラインに対処するために必要なツールを提供します。

  • 強力なアクセス管理と認証
  • 保存データ暗号化
  • アクセスの監視とインテリジェンス
  • きめ細かな特権アクセス制御
  • 規制
  • コンプライアンス

規制の概要

シンガポール政府は、データセキュリティの重要性を再確認すると同時に、「データ保護を強化するための一連の技術的対策を推奨するために、業界および世界の専門家の意見を求めています」。

この発言は、2019年3月にリー・シェンロン首相が招集した公共部門データセキュリティレビュー委員会によって行われました。同委員会は、リスク領域とデータ侵害の一般的な原因を特定するために、94の公的機関にわたって336のシステムの包括的なレビューと検査を実施しました。同委員会は2019年11月に作業を完了し、公共部門データセキュリティレビュー委員会(PSDSRC)の報告書には、公共部門に対する5つの重要な推奨事項が記されました。これらの推奨事項が実施されることで、以下が予想されます。

  1. データセキュリティの脅威から効果的に保護し、データインシデントの発生を最小限に抑える
  2. データインシデントを迅速かつ確実に検知および対応し、各インシデントから学ぶ
  3. データセキュリティのコンピテンシーを構築し、データの安全な共有と使用に関する優れた文化を植え付ける
  4. 公共部門データセキュリティ体制の説明責任と透明性を高める
  5. 高水準のセキュリティを維持し、新たな課題に対応できるような組織構造を整える

同委員会の推奨事項により、テクノロジーの進歩、システムの統合化、リスクの多面化が進む中で、既存のギャップに対処し、強靭なデータセキュリティ体制を構築することとなるでしょう。

同政府は、2021年末までに政府システムの80%において、この対策を実施することを目標としています。残りの20%は、複雑なシステムや大幅な再設計が必要なシステムで、2023年末までの対策の実施を予定しています。それまでの間、政府機関は関連するデータリスクを管理するために適切な対策を講じる予定です。

推奨事項の内容

1.1:データ収集、データ保持、データアクセス、データダウンロードを最小限に抑えることで、攻撃対象領域を減らす。

  • 必要な場合にのみデータを収集および保持する
  • エンドポイントデバイスへのデータ拡散を最小限に抑える
  • 当面のタスクに応じてデータにアクセスし使用する

1.2:データトランザクションの記録と監視を強化し、高リスクまたは不審な活動を検出する。

  • ログと記録を強化することで、高リスクの活動をより正確に特定し、対応と修復を支援する
  • 不審な活動を検出し、ユーザーに警告する、または不正な活動を自動的に停止する

1.3:保存時および配布時にデータを直接保護し、データの抜き取りや傍受が発生した場合でもデータを使用できないようにする。

  • データがストレージから流出した場合でもデータを使用できないようにする
  • フルデータを部分的に隠す
  • 配布時にデータを保護する

1.4:高度な技術的対策の専門知識を開発および維持する。

1.5:データセキュリティ監査のフレームワークを強化し、データインシデントにつながる前に、慣行とポリシー間のギャップを検出する。

1.6:サードパーティ管理のフレームワークを強化し、サードパーティが適切な保護を行って政府関連データを取り扱うことを保証する。

また同委員会は(i)準同型暗号、(ii)多者間認証、(iii)差分プライバシー、(iv)動的データ難読化およびマスキング、(v)データファイルのデジタル署名、(vi)安全なファイル形式の6つの高度な技術的対策を特定していますが、これらは十分に成熟しておらず、広く実施するには統合の準備が整っていません。

タレス CPLは以下の機能を通して、組織が政府機関向け公共部門データセキュリティに準拠できるよう支援します。

  • データアクセス制御
  • 保存データの暗号化とトークン化(仮名化)
  • ユーザーアクセスログの保持と監視

これらの推奨事項は、公共サービスの提供、運用プロセスの実行、または政策立案のためのコンサルティングサービスの提供を目的として公共部門データを処理する政府機関および非政府機関を対象としています。

データアクセス制御

  • タレス CPLのCipherTrust 透過的暗号化(CTE)を使用することで、組織は機密情報を含む情報システムへのユーザーアクセス権を制限できます。CTEは、最小限の中断、労力、コストで、データセキュリティコンプライアンスとベストプラクティスの要件に対応します。このソリューションは、FIPS 140-2の最大レベル3の認証を受けたCipherTrust Managerと連動し、CipherTrust データセキュリティ プラットフォーム用の暗号鍵とポリシー管理を一元化します。
  • SafeNet Trusted Access(STA)は、クラウドおよびWebシングルサインオン(SSO)の利便性ときめ細かなアクセスセキュリティを組み合わせた、クラウドベースのアクセス管理サービスです。IDを検証し、アクセスポリシーを適用し、スマートシングルサインオンを採用することで、簡単にナビゲートできる1つのコンソールから、多数のクラウドアプリケーションに安全かつ便利にアクセスできるようになります。
  • タレスのSafeNet 証明書ベース認証(CBA)スマートカードソリューションをITインフラストラクチャの不可欠な部分として追加することで、多要素認証が必要となり、クライアントのログオンセキュリティが大幅に向上します。多要素を追加することにより、ワークステーションや企業ネットワークへの安全なログインが保証されるほか、複雑でコストのかかるパスワードを排除し、ヘルプデスクへの問い合わせを大幅に削減することができます。
  • SafeNetの認証およびアクセス管理ソリューションにより、オンプレミスとクラウドベースサービスの両方に統合認証インフラストラクチャを活用して、アクセスポリシーを一元化した包括的方法で管理することができます。ユーザーは組織の既存のSafeNet認証メカニズムを介して、Office 365、Salesforce.com、GoogleAppsなどの企業向けクラウドサービスにログインできます。

暗号化とトークン化

  • CipherTrust 透過暗号化(CTE)は、一元化された鍵管理、特権ユーザーアクセス制御、詳細なデータアクセス監査ログを備えた保存データ暗号化を提供します。これにより、オンプレミス、複数のクラウド間、ビッグデータ内、コンテナ環境のいずれにデータが存在していてもデータが保護されます。CTEは、最小限の中断、労力、コストで、データセキュリティコンプライアンスとベストプラクティスの要件に対応します。このソリューションは、FIPS 140-2の最大レベル3の認証を受けたCipherTrust マネージャーと連動し、CipherTrust データセキュリティ プラットフォーム用の暗号鍵とポリシー管理を一元化します。
    さらに、Kubernetes用 CTEを利用することで、暗号化、ユーザーおよびプロセスベースのアクセス制御、データアクセスロギングによって、永続ボリューム上の機密データを保護することができます。開発者はこのソリューションにより、コンテナ内でセキュリティ制御を確立することができます。CTE用のこの拡張機能により、コンテナ内のデータとコンテナからアクセスできる外部ストレージの両方に対して、コンテナ単位でデータ保護を適用することができます。
  • CipherTrust Tokenization (トークナイゼーション)は、

おすすめのリソース

A Compilation of Regulatory Mandates in Singapore - eBook

A Compilation of Regulatory Mandates in Singapore - eBook

This eBook details how an organization addresses compliance requirements with Thales Data Security Solutions, it covers the following requirements: Public Sector Data Security For Government Agencies The Notice On Cyber Hygiene For Financial Industry (FI) Cybersecurity Act...

A Review of the Monetary Authority of Singapore (MAS) Advisory on Addressing the Technology and Cyber Security Risks Associated with Public Cloud Adoption - eBook

A Review of the Monetary Authority of Singapore (MAS) Advisory on Addressing the Technology and Cyber Security Risks Associated with Public Cloud Adoption - eBook

This eBook illustrates how a financial institution addresses advisory from the Monetary Authority of Singapore with Thales Data Security Solutions, it covers the following requirements: What is the Advisory on Addressing the Technology and Cyber Security Risks Associated with...

Data Security Compliance and Regulations - eBook

Data Security Compliance and Regulations - eBook

This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.

SafeNet Trusted Access - Solution Brief

SafeNet Trusted Access - Solution Brief

More and more cloud-based services are becoming an integral part of the enterprise, as they lower costs and management overhead while increasing flexibility. Cloud-based authentication services, especially when part of a broader access management service, are no exception, and...

その他の主要なデータ保護とセキュリティ規制

GDPR

規制
アクティブ ナウ

これまでで最も包括的なデータプライバシー基準とされるGDPRは、組織がどこの国にあろうとも、EU市民の個人データを保持する全ての組織に対応を求められます。

PCI DSS

必須
アクティブ ナウ

クレジットカード及びデビットカードの決済処理事業者は、アカウントデータの処理、保存および送信に関する厳格なPCIDSSコンプライアンス要件に準拠する必要があります。

データ漏えい通知法

規制
アクティブ ナウ

個人情報漏えいが発生した場合に、データ侵害報告義務の要件は、世界中の国々によって制定されています。それは管轄国で違いはありますが、ほぼ全てに「セーフハーバー」条項が含まれています。