政府機関向け公共部門データセキュリティ
シンガポールにおける推奨事項

規制の概要

シンガポール政府は、データセキュリティの重要性を再確認すると同時に、「データ保護を強化するための一連の技術的対策を推奨するために、業界および世界の専門家の意見を求めています」。

この発言は、2019年3月にリー・シェンロン首相が招集した公共部門データセキュリティレビュー委員会によって行われました。同委員会は、リスク領域とデータ侵害の一般的な原因を特定するために、94の公的機関にわたって336のシステムの包括的なレビューと検査を実施しました。同委員会は2019年11月に作業を完了し、公共部門データセキュリティレビュー委員会（PSDSRC）の報告書には、公共部門に対する5つの重要な推奨事項が記されました。これらの推奨事項が実施されることで、以下が予想されます。

1. データセキュリティの脅威から効果的に保護し、データインシデントの発生を最小限に抑える
2. データインシデントを迅速かつ確実に検知および対応し、各インシデントから学ぶ
3. データセキュリティのコンピテンシーを構築し、データの安全な共有と使用に関する優れた文化を植え付ける
4. 公共部門データセキュリティ体制の説明責任と透明性を高める
5. 高水準のセキュリティを維持し、新たな課題に対応できるような組織構造を整える

同委員会の推奨事項により、テクノロジーの進歩、システムの統合化、リスクの多面化が進む中で、既存のギャップに対処し、強靭なデータセキュリティ体制を構築することとなるでしょう。

同政府は、2021年末までに政府システムの80%において、この対策を実施することを目標としています。残りの20%は、複雑なシステムや大幅な再設計が必要なシステムで、2023年末までの対策の実施を予定しています。それまでの間、政府機関は関連するデータリスクを管理するために適切な対策を講じる予定です。

推奨事項の内容

1.1：データ収集、データ保持、データアクセス、データダウンロードを最小限に抑えることで、攻撃対象領域を減らす。

• 必要な場合にのみデータを収集および保持する
• エンドポイントデバイスへのデータ拡散を最小限に抑える
• 当面のタスクに応じてデータにアクセスし使用する

1.2：データトランザクションの記録と監視を強化し、高リスクまたは不審な活動を検出する。

• ログと記録を強化することで、高リスクの活動をより正確に特定し、対応と修復を支援する
• 不審な活動を検出し、ユーザーに警告する、または不正な活動を自動的に停止する

1.3：保存時および配布時にデータを直接保護し、データの抜き取りや傍受が発生した場合でもデータを使用できないようにする。

• データがストレージから流出した場合でもデータを使用できないようにする
• フルデータを部分的に隠す
• 配布時にデータを保護する

1.4：高度な技術的対策の専門知識を開発および維持する。

1.5：データセキュリティ監査のフレームワークを強化し、データインシデントにつながる前に、慣行とポリシー間のギャップを検出する。

1.6：サードパーティ管理のフレームワークを強化し、サードパーティが適切な保護を行って政府関連データを取り扱うことを保証する。

また同委員会は（i）準同型暗号、（ii）多者間認証、（iii）差分プライバシー、（iv）動的データ難読化およびマスキング、（v）データファイルのデジタル署名、（vi）安全なファイル形式の6つの高度な技術的対策を特定していますが、これらは十分に成熟しておらず、広く実施するには統合の準備が整っていません。

タレス CPLは以下の機能を通して、組織が政府機関向け公共部門データセキュリティに準拠できるよう支援します。

• データアクセス制御
• 保存データの暗号化とトークン化（仮名化）
• ユーザーアクセスログの保持と監視

これらの推奨事項は、公共サービスの提供、運用プロセスの実行、または政策立案のためのコンサルティングサービスの提供を目的として公共部門データを処理する政府機関および非政府機関を対象としています。

データアクセス制御

• タレス CPLのCipherTrust 透過的暗号化（CTE）を使用することで、組織は機密情報を含む情報システムへのユーザーアクセス権を制限できます。CTEは、最小限の中断、労力、コストで、データセキュリティコンプライアンスとベストプラクティスの要件に対応します。このソリューションは、FIPS 140-2の最大レベル3の認証を受けたCipherTrust Managerと連動し、CipherTrust データセキュリティ プラットフォーム用の暗号鍵とポリシー管理を一元化します。
• SafeNet Trusted Access（STA）は、クラウドおよびWebシングルサインオン（SSO）の利便性ときめ細かなアクセスセキュリティを組み合わせた、クラウドベースのアクセス管理サービスです。IDを検証し、アクセスポリシーを適用し、スマートシングルサインオンを採用することで、簡単にナビゲートできる1つのコンソールから、多数のクラウドアプリケーションに安全かつ便利にアクセスできるようになります。
• タレスのSafeNet 証明書ベース認証（CBA）スマートカードソリューションをITインフラストラクチャの不可欠な部分として追加することで、多要素認証が必要となり、クライアントのログオンセキュリティが大幅に向上します。多要素を追加することにより、ワークステーションや企業ネットワークへの安全なログインが保証されるほか、複雑でコストのかかるパスワードを排除し、ヘルプデスクへの問い合わせを大幅に削減することができます。
• SafeNetの認証およびアクセス管理ソリューションにより、オンプレミスとクラウドベースサービスの両方に統合認証インフラストラクチャを活用して、アクセスポリシーを一元化した包括的方法で管理することができます。ユーザーは組織の既存のSafeNet認証メカニズムを介して、Office 365、Salesforce.com、GoogleAppsなどの企業向けクラウドサービスにログインできます。

暗号化とトークン化

• CipherTrust 透過暗号化（CTE）は、一元化された鍵管理、特権ユーザーアクセス制御、詳細なデータアクセス監査ログを備えた保存データ暗号化を提供します。これにより、オンプレミス、複数のクラウド間、ビッグデータ内、コンテナ環境のいずれにデータが存在していてもデータが保護されます。CTEは、最小限の中断、労力、コストで、データセキュリティコンプライアンスとベストプラクティスの要件に対応します。このソリューションは、FIPS 140-2の最大レベル3の認証を受けたCipherTrust マネージャーと連動し、CipherTrust データセキュリティ プラットフォーム用の暗号鍵とポリシー管理を一元化します。
  さらに、Kubernetes用 CTEを利用することで、暗号化、ユーザーおよびプロセスベースのアクセス制御、データアクセスロギングによって、永続ボリューム上の機密データを保護することができます。開発者はこのソリューションにより、コンテナ内でセキュリティ制御を確立することができます。CTE用のこの拡張機能により、コンテナ内のデータとコンテナからアクセスできる外部ストレージの両方に対して、コンテナ単位でデータ保護を適用することができます。
• CipherTrust Tokenization (トークナイゼーション)は、