データセキュリティにおけるグラムリーチブライリー法(GLBA)の遵守
Thalesのソリューションがグラムリーチブライリー法(GLBA)の遵守をどのように支援するか
GLBA パート314:顧客情報保護基準
GLBAのセーフガード規則は、顧客情報を保護するために設計された管理、技術、物理的セーフガードを備えた情報セキュリティプログラムの策定、実施、維持を求めています。
グラムリーチブライリー法(GLBA)
グラムリーチブライリー法(GLBA)は1999年の金融サービス近代化法としても知られ、情報共有の慣行の顧客への説明し、センシティブデータの保護を金融機関に求めています。サイバー脅威の防止と軽減を主な目的としています。米国連邦取引委員会(FTC)のセーフガード規則は、対象企業に対し、顧客情報を保護するために設計された管理、技術、物理的セーフガードを備えた情報セキュリティプログラムの策定、実施、維持を求めています。
グラムリーチブライリー法(GLBA)は、金融機関が保有する機密性の高い消費者データのプライバシーと保護に関する以下の3つの主要規則から成ります:
- 金融プライバシー規則は、大半の個人情報(氏名、生年月日、ソーシャルセキュリティナンバー)の収集と開示、および金融機関が取得した取引データ(カード番号、口座番号)の収集と開示に適用されます。
- セーフガード規則は、金融機関が収集した情報の安全性を確保するために作成されています。これには、保存データおよび転送中データの暗号化、およびアクセス管理、認証などの、センシティブデータを保護するための具体的な技術要件が含まれます。
- プリテキスティング規則は、ソーシャルエンジニアリング技術に利用されるような偽の口実での従業員やビジネスパートナーによる顧客情報の収集を防止することを目的としています。
グラムリーチブライリー法(GLBA)の対象企業
グラムリーチブライリー法(GLBA)は、金融機関に分類される企業に幅広く適用されます。米連邦取引委員会(FTC)は、グラムリーチブライリー法(GLBA)は「規模にかかわらず、金融商品またはサービスの提供に『著しく関与している』すべての企業」に適用されると説明しています。これには、ローン、財務アドバイス、保険などの金融商品またはサービスを提供する企業に限らず、鑑定、仲介、ローンサービシング、小切手現金化、ペイデイローン、宅配便サービス、ノンバンク融資、税務申告準備サービスなどを提供する企業も含まれあす。
グラムリーチブライリー法(GLBA)の発効日
グラムリーチブライリー法(GLBA)は1999年に米連邦議会で制定され、完全に施行されています。米連邦準備制度理事会(FRB)および米連邦預金保険公社(FDIC)といった他の連邦機関や州政府も、保険業者を規制する責任を負いますが、規制の執行は主に米連邦取引委員会(FTC)が行います。
グラムリーチブライリー法(GLBA)違反に対する罰則
グラムリーチブライリー法(GLBA)に対する違反が発覚した場合、金融機関は違反1件につき10万ドルの罰金を科される可能性があります。当該機関の役員および取締役は、違反1件につき最高1万ドルの罰金、5年の禁固刑、またはその両方を科される可能性があります。
Thalesがグラムリーチブライリー法(GLBA)の遵守をどのように支援するか
Thalesは、企業が、顧客情報を保護するための必須要件に対応することによって、GLBAに準拠できるよう支援します。
Thalesは、以下によって、組織をサポートします:
- リスク評価のための、センシティブな顧客データの特定と分類
- センシティブデータへのアクセス制御とモニタリング
- 保存時、使用時、移動中のデータ保護
- アプリ開発の安全な保護
- 多要素認証の導入
- サードパーティリスクの管理
GLBA要件:
パート314. b:
「顧客情報のセキュリティに対するリスクを...特定するリスク評価」
Thalesのソリューション:
CipherTrust Data Discovery and Classification(データディスカバリーおよび分類)は、オンプレミスおよびクラウドにおいて、構造化および非構造化センシティブデータを特定します。内蔵テンプレートは、規制データの迅速な特定、セキュリティリスクの強調、コンプライアンスギャップの発見を可能にします。
パート314. c.1:
「アクセス制御を実施し、定期的に見直す。誰が顧客情報にアクセスできるかを定義し、業務上の正当な必要性を有しているかどうかを定期的に再考する。」
Thales OneWelcome Identity & Access Managementは、ロールとコンテキストに基づき、組織内外のユーザーによるアクセスを制限します。強力な多要素認証に支えられたきめ細かなアクセスポリシーと承認ポリシーによって、適切なユーザーが適切なリソースに適切なタイミングでアクセスできることを確実にする一方、不正アクセスリスクを最小限に抑えます。
Thales OneWelcome Consent & Preference Management(同意・設定管理)モジュールによって、金融機関が同意されたデータを明確に可視化できるように、企業が最終消費者の同意を収集したり、利用許可を得ているデータへのアクセスを管理したりすることが可能になります。
CipherTrust Transparent Encryption(透過的暗号化)は、センシティブデータを暗号化し、ユーザー、プロセス、ファイルタイプ、時間帯、その他のパラメーターによる適用が可能な、より細かい特権ユーザーアクセス管理ポリシーを実施します。 また、ロールの完全分離を実現し、許可されているユーザーおよびプロセスのみが非暗号化データを閲覧できるようにします。
パート314. c. 3:
「保有または伝送しているすべての顧客情報を暗号化することによって、外部ネットワーク経由の伝送中データと保存データの両方を保護する」
保存データの保護:
CipherTrust Data Security Platform(データセキュリティプラットフォーム)は、ファイル、ボリューム、データベース内の保存データを保護する複数の機能を提供します。以下はその一例です:
- CipherTrust Transparent Encryption(透過的暗号化)は、一元化された鍵管理と特権ユーザーアクセス制御によって、保存データの暗号化を提供します。これにより、データ保存先がオンプレミス、複数のクラウド間、ビッグデータ内、コンテナ環境のいずれであっても、データが保護されます。
- CipherTrust Tokenization(トークン化)は、集計分析機能を維持しつつ、データベース内のセンシティブ情報の仮名化を可能にします。
- CipherTrust Enterprise Key Management(鍵管理)は、さまざまなユースケースにおいて、クラウド環境およびエンタープライズ環境下の鍵管理を合理化かつ強化します。
鍵と証明書の保護:
Luna Hardware Security Modules(HSM)は、暗号鍵を保護するとともに、FIPS 140-2のレベル3に強化された耐タンパー性の環境を提供し、安全な暗号処理、鍵の生成と保護、暗号化などを実現します。Luna HSMは、オンプレミス、クラウド・アズ・ア・サービス、ハイブリッド環境で利用できます。
移動中データの保護:
Thales High Speed Encryptors(HSE)は、ネットワークに依存しない移動中データの暗号化(レイヤー2、3,4)を提供し、サイト間の移動またはオンプレミスとクラウド間の移動においてデータを確実に保護します。Thalesのネットワーク暗号化ソリューションによって、パフォーマンスに妥協することなく、データ、動画、音声、メタデータを盗聴、監視、公然または秘密裏の傍受からより良く保護することが可能です。
パート314 c, 4:
「社内開発アプリケーションのために、安全な開発手法を採用する」
CipherTrust Platform Community Edition(コミュニティ版プラットフォーム)を使用すれば、DevSecOpsは、ハイブリットアプリケーションとマルチクラウドアプリケーションにデータ保護制御を簡単にデプロイできます。このソリューションには、CipherTrust Manager Community Edition、Data Protection Gateway、CipherTrust Transparent Encryption for Kubernetesのライセンスが含まれます。
CipherTrust Secrets Management(シークレット管理)は、最先端のシークレット管理ソリューションで、シークレット、クレデンシャル、証明書、APIキー、トークンなどのDevOpsツールとクラウドワークロード全体にわたり、秘匿情報へのアクセスを保護および自動化します。
パート314. c, 5 :
「多要素認証の導入...」
SafeNet Trusted Accessはクラウドベースのアクセス管理ソリューションで、ハードウェアとソフトウェアの最も広範な認証方式とフォームファクターによって、市販の多要素認証を提供します。
パート314 c, 8:
「許可されたユーザーの行動ログを管理し、不正アクセスに目を光らせ続ける。」
Thales Data Security Solutions(データセキュリティソリューション)は、いずれも広範なアクセスログを保持し、不正アクセスを防止します。特に、CipherTrust Transparent Encryptionセキュリティインテリジェンスログおよびレポートは、トップレベルのセキュリティ情報と外部のSIEMシステムを使用して、コンプライアンスレポーティングの合理化と脅威検知の迅速化を実現します。
SafeNet Trusted Accessは、すべてのシステムに対するあらゆるアクセスイベントを対象に即時かつ最新の監査証跡を提供することによって、組織がデータ侵害リスクに対応し、これを軽減することを可能にします。
314. f, 2:
「サービスプロバイダーの監督:契約により、サービス提供事業者に対し、かかる予防措置の実施と維持を要求する...」
CipherTrust Cloud Key Manager(クラウド鍵管理)では、「BYOK(Bring Your Own Key)」システム下でサードパーティのクラウドプロバイダーがホストするセンシティブデータを保護する鍵を、金融機関の完全な管理下のオンプレミスに維持することによって、サードパーティのリスクを軽減することができます。
CipherTrust Transparent Encryption(透過的暗号化)は、管理ロールの完全な分離を実現し、許可されているユーザーおよびプロセスのみが非暗号化データを閲覧できるようにします。データにアクセスする正当な理由が示されない限り、サードパーティのクラウドに保存されたセンシティブデータに権限のないユーザーが平文でアクセスすることはできません。
Thales Data Security(データセキュリティ)ソリューションは、最も総合的なデータ保護を提供します。これには、内蔵された高度な可用性を提供するThales Data Protection on Demand(DPoD)、クラウドベースのLuna Cloud HSMおよびCipherTrust Key Managementサービスへのバックアップ、ゼロ化オプションを提供するHSEネットワーク暗号化アプライアンスなどがあります。
関連リソース
SafeNet Trusted Access Brings Security to Authentication and Access - Product Review
Product review of SafeNet Trusted Access. Explore the options of authentication security that STA offers, to bridge the MFA, SSO and access management worlds in a single, well-integrated package. Discover how your business can bring security to access management.
Thales Converged Badge Solutions - Solution Brief
In today’s ever increasing digital world, protecting critical data and ensuring the identity of those accessing data is essential. The standard measures once thought to be strong enough are simply insufficient when compared to the sophistication and persistence of today’s...
Data Security Compliance and Regulations - eBook
This ebook shows how Thales data security solutions enable you to meet global compliance and data privacy requirements including - GDPR, Schrems II, PCI-DSS and data breach notification laws.
Thales CipherTrust Data Discovery and Classification(データ検出と分類)- Product Brief
プライバシーとデータ保護規制に対するコンプライアンスにおいて 極めて重要な最初のステップは、機密データの構成要素、その保 存場所、その使われ方を把握することです。所有しているデータ、デ ータの場所、データを所有している理由を知らなければ、データを 保護するための効果的なポリシーと制御を適用することはできま せん。
CipherTrust Transparent Encryption - White Paper
Enterprise digital transformation and increasingly sophisticated IT security threats have resulted in a progressively more dangerous environment for enterprises with sensitive data, even as compliance and regulatory requirements for sensitive data protection rise. With attacks...
CipherTrust Transparent Enctyption (透過暗号化) - Product Brief
CipherTrust Transparent Encryptionは、鍵の一元管理、特権ユーザーアクセス制御、詳細なデータアクセス監査ロギングを備えた保存データ暗号化を提供します。これにより企業は、データがどこに保存されていても、データ保護に関するコンプライアンス要件やベストプラクティス要件に対応できます。FIPS 140-2準拠のCipherTrust Transparent Encryptionエージェントは、オペレーティングファイルシステムやデバイス層に常駐し、その上で実行されるすべてのアプリケーションは暗号化と復号化が透過的に実行されます...
機密データ保護に必用とされる 組織の重要な柱とは - White Paper
従来、組織のITセキュリティは主に境界防御に焦点を置き、壁 を築くことで外部からの脅威がネットワークに侵入するのを防 いでいました。これは依然として重要ではあるものの、十分では ありません。サイバー犯罪者は境界防御を頻繁に突破しており、 データはこうした防御の外側のクラウドなどに存在することが 多いため、組織は場所を問わずにデータを保護するデータ中心 のセキュリティ戦略を適用する必要があります。今日のデータ急 増や、世界と地域のプライバシー規制の進化、クラウド導入の拡 大、APT(持続的標的型攻撃)などに対応するため、データ中心...
全社レベルの情報セキュリティ戦略の 青写真 - White Paper
企業規模の暗号化戦略の設定と実装を任されているあなたは幸運です。その戦略を使用することで、あなたが組織のモデルとして定義し示した目標とセキュリティ要件を達成するよう、各事業部門(LoB)、アプリケーションオーナー、データベース管理者(DBA)、開発者を導き、連携させることができるのですから。確かに困難な任務ではありますが、確実に達成できます。 このガイドには、セキュリティの誇大宣伝、侵害件数とそれによる財務的損失、ビジネス上の評判に対する損失を示すマーケティング記事は含まれません。こうした情報はほぼ毎週のように...
Luna Network HSM - プロダクトブリーフ
タレスLuna Network HSM(ハードウェアセキュリティモジュール)で暗号鍵を保管、保護、管理することで、機密デー タや重要なアプリケーションを保護できます。Luna Network HSMは、高保証の、耐タンパ性を備えたネットワー ク接続アプライアンスであり、市場で最高クラスのパフォーマンスとクリプトアジリティ(暗号の俊敏性)を提供します。
Encrypt Everything 組織が機密データを保護する ための実践ガイド - eBook
エンタープライズデータセキュリティを担うエキスパート は、組織の貴重なデータを保護するために、エンタープラ イズ規模の暗号化戦略を策定し実施することが求められ ています。しかし、重要なデータはどこにでも流れていま す。境界はもはや存在しません。データは運用システムか ら分析システムへ、オンプレミスからクラウドへ、データベ ースからデータレイクへと移行しています。データの世界 はかつてないスピードで変化しています。ビッグデータやマ イクロサービスなどの新しいテクノロジーが同時にさまざ まな形で採用されています。
タレス 高速ネットワーク暗号化 ソリューション - Solution Brief
ネットワークは絶えず攻撃を受けており、機密資産の漏洩は 繰り返し発生しています。暗号化を活用することは、データが ネットワークを通過する際にもたらされるデータへの脅威に 対処するために、これまで以上に重要な義務となっています。 タレスの高速ネットワーク暗号化ソリューションは、データセ ンターと本社間のネットワークトラフィックから、オンプレミス やクラウドのバックアップ、ディザスタリカバリサイトまで、「あ らゆる場所で暗号化」を実行する単一のプラットフォームを提 供します。
その他の主要なデータ保護とセキュリティ規制
GDPR
規制
アクティブ ナウ
これまでで最も包括的なデータプライバシー基準とされるGDPRは、組織がどこの国にあろうとも、EU市民の個人データを保持する全ての組織に対応を求められます。
PCI DSS
必須
アクティブ ナウ
クレジットカード及びデビットカードの決済処理事業者は、アカウントデータの処理、保存および送信に関する厳格なPCIDSSコンプライアンス要件に準拠する必要があります。
データ漏えい通知法
規制
アクティブ ナウ
個人情報漏えいが発生した場合に、データ侵害報告義務の要件は、世界中の国々によって制定されています。それは管轄国で違いはありますが、ほぼ全てに「セーフハーバー」条項が含まれています。
