インドのCSCRFに沿ったSEBIサイバーセキュリティコンプライアンス

SEBIによるサイバーセキュリティおよびサイバーレジリエンスフレームワーク（CSCRF）

インド証券取引委員会（SEBI）は2024年8月20日、インド証券市場における現行のサイバーセキュリティ対策、ならびにサイバーリスクや脅威に対処する仕組みを強化するため、SEBI規制対象事業体（RE）に対してサイバーセキュリティおよびサイバーレジリエンスフレームワーク（CSCRF）を発表しました。

CSCRFは、SEBIのREのサイバーレジリエンスを強化し、強固なサイバーセキュリティを維持するための基準とガイドラインを提供することを目的としています。CSCRFフレームワークは、既存のSEBIのサイバーセキュリティに関する通達/ガイドライン/勧告/書簡に取って代わるものです。

アプローチと構造

CSCRFは標準に基づいており、インドコンピューター緊急対応チーム（CERT-In）のサイバー危機管理計画（CCMP）から採用された「予測する」、「耐える」、「封じ込める」、「回復する」、「進化する」の5つのサイバーレジリエンス目標を幅広くカバーしています。これらのサイバーレジリエンス目標は、ガバナンス、特定、保護、検知、対応、回復のサイバーセキュリティ機能とリンクしています。

CSCRFは4つのパートで構成されています：

パート1：目的と基準
パート2：ガイドライン
パート3：コンプライアンスのための構造化フォーマット
パート4：付録および参考文献

スコープ

このフレームワークは以下のREに適用され、REをその業務規模、顧客数、取引量、運用資産に基づいて様々なカテゴリーにさらに細分化し、各カテゴリーに対する具体的なコンプライアンス要件を規定しています。

CSCRFの実施スケジュール

サイバーセキュリティおよびサイバーレジリエンスに関する通達が既に存在するRE - 2025年1月1日まで。
CSCRFが初めて発行されるその他のRE - 2025年4月1日まで。

コンプライアンス概要

サイバーセキュリティおよびサイバーレジリエンスフレームワーク（CSCRF）

フレームワークに定められた「ガバナンス」「ID」「保護」に関するサイバーセキュリティ機能ガイドラインに対応することで、CSCRFへの準拠を支援するソリューションをご覧ください。

コンプライアンス概要

CSCRFへの準拠達成のためにThalesがお手伝いできること

Thalesは、REがフレームワークに定められた「ガバナンス」「ID」「保護」に関するサイバーセキュリティ機能ガイドラインに対応することで、CSCRFに準拠できるよう支援します。

当社は「アプリケーションセキュリティ」、「データセキュリティ」、「IDおよびアクセス管理」のサイバーセキュリティの3つの主要分野でソリューションを提供しています。

CSCRFコンプライアンスソリューション

アプリケーションセキュリティ

クラウド、オンプレミス、ハイブリッドモデルのいずれにおいても、アプリケーションとAPIを大規模に保護します。市場をリードする当社の製品ポートフォリオには、Webアプリケーションファイアウォール（WAF）、分散型サービス拒否（DDoS）攻撃や悪意のあるボット攻撃に対する防御、APIセキュリティ、安全なコンテンツデリバリーネットワーク（CDN）、ランタイムアプリケーションセルフプロテクション（RASP）などがあります。

データセキュリティ

ハイブリッドIT全体で機密データを検出・分類し、暗号化、トークン化、鍵管理を使用して、保存中、通信中、使用中のどの状態でも機密データを自動的に保護します。また、Thalesのソリューションは、正確なリスク評価のために潜在的なリスクを特定、評価、優先順位付けするとともに、異常な行動を特定し、アクティビティを監視してコンプライアンスを検証します。これにより、組織はどこに注力すべきかを優先的に判断できます。

IDおよびアクセス管理

顧客、従業員、パートナーに対して、アプリケーションやデジタルサービスへのシームレスで安全かつ信頼性の高いアクセスを提供します。当社のソリューションは、きめ細かなアクセスポリシーと多要素認証を使用して、役割とコンテキストに基づいて内部ユーザーと外部ユーザーのアクセスを制限し、適切なユーザーに適切なリソースへの適切なタイミングでのアクセスを許可します。

CSCRF標準コードとガイドラインへの対応

GV.PO - 1.3.ii. ポリシー | S1、S2、S5

SafeNet Authentication Service Private Cloud Edition（SAS PCE：認証サービスプライベートクラウド版）は、費用対効果に優れた、使いやすいオンプレミス認証プラットフォームです。200以上のテスト済みのコンフィギュレーションがあり、サードパーティ製ソリューションをサポートし、様々なタイプのトークンを提供します。

CipherTrust Data Discovery & Classification（DDC：データ検出と分類）は、様々なデータストアにわたってデータを識別・分類し、オンプレミス、ハイブリッド、クラウド、マルチクラウド環境にわたって資産を管理することで、データのプライバシーとセキュリティを強化します。

Imperva Data Security Fabric Data Activity Monitoring（DAM：データアクティビティ監視）は、データストアのアクティビティを継続的に監視し、詳細な監査証跡を提供することで、REが重要なデータに関連するリスクを特定できるようにします。

ID.AM - 2.1.ii. 資産管理 | S1、S4

Imperva Data Security Fabric Data Activity Monitoring（DAM）は、リレーショナル、NoSQL、メインフレーム、ビッグデータ、データウェアハウスなど、様々なプラットフォームにわたる監査を合理化し、Microsoft AzureとAWSをサポートし、詳細なデータアクティビティを自動的に取得します。

ID.RA - 2.2.ii. リスク評価 | S1、S2

Thales Luna HSMと高速暗号化システムは、REによる確実なPQC対応を可能にする暗号アジャイルアプローチを提供します。

量子耐性のあるThales Luna HSMは、NISTによって最終候補に選ばれた耐量子アルゴリズムを組み込んで市販されており、暗号鍵を強化します。
- ハッシュベース署名とPQC FM採用の量子耐性アルゴリズム（QRA）（SP800-208）
- 統合/カスタムメイドPQC：Lunaの機能モジュール（FM）、または様々なパートナーFM/統合を使用することで、独自のポスト量子暗号を実装することができます。
- QRNG：QRNGとLuna HSMの安全な鍵ストレージで量子エントロピーを注入
Thalesの高速暗号化（HSE）ネットワーク暗号化ソリューションは、転送中データの保護、暗号アジャイルなFPGAベースのアーキテクチャによるポスト量子暗号（PQC）のサポート、量子攻撃に対する長期的な保護、あらゆる場所での暗号化を実行します。

PQCスターターキットは、REが耐量子ソリューションを信頼できる環境で安全にテストできるようにするものであり、Quantinuumと提携してPQC対応鍵用のLuna HSMをセットアップします。

ID.RA - 2.2.ii. リスク評価 | S4

Imperva Web Application Firewall（WAF：Webアプリケーションファイアウォール）は、Webアプリケーションに対する包括的なセキュリティを提供し、サイバー脅威を検知・防止します。リアルタイムで攻撃をブロックし、毎日ルールを更新します。

Imperva Data Security Fabric Data Risk Analytics（データリスクアナリティクス）は、データアクセスとアクティビティを監視し、すべてのユーザーに対して可視性を確保します。セキュリティに関する深い専門知識と機械学習を用いて、不審な行動を特定します。

SafeNet Authentication Service Private Cloud Edition（SAS PCE：認証サービスプライベートクラウド版）により、組織は機密リソースへのアクセスを制限することができます。SAML、RADIUS、エージェント、またはAPIを介してサードパーティ製ソリューションをサポートします。

PR.AA - 3.1.ii. ID管理、認証、アクセス制御 | S1、S2、S3、S7、S9

Imperva Web Application Firewall（WAF：Webアプリケーションファイアウォール）は、包括的なWebアプリケーションセキュリティを提供し、クロスサイトスクリプティングやリソースへの不正アクセスなどのサイバー脅威を検知・防止します。脅威調査チームが毎日更新する情報をもとに、リアルタイムで攻撃をブロックします。

Imperva API SecurityはAPIを完全に可視化し、自動的にエンドポイントを検出し、リスクを評価します。コールデータを使って機密性の高いAPIを分類し、プロアクティブなセキュリティ対策を可能にします。継続的な監視により、より迅速で安全なソフトウェアリリースが促進されます。アドオンとして、またはAPI Security Anywhereの一部として利用できます。

CipherTrust Transparent Encryption（透過的暗号化）は継続的なファイルレベルの暗号化、鍵の一元管理、特権ユーザーアクセス制御を提供し、物理、仮想、クラウド環境での不正アクセスを防止し、シームレスな実装を実現します。

CipherTrust Enterprise Key Management（エンタープライズ鍵管理）は、クラウドおよびエンタープライズ環境における鍵管理を強化します。FIPS 140-2に準拠した仮想アプライアンスまたはハードウェアアプライアンスを使用して、自社開発の暗号化およびサードパーティ製アプリケーションの高いセキュリティと一元化を実現します。

SafeNet Authentication Service Private Cloud Edition（SAS PCE：認証サービスプライベートクラウド版）は、OTP、PKIクレデンシャル、Kerberos、様々なフォームファクターといった様々な認証方法を通じて、企業アプリケーションへの一元化された安全なアクセスを提供します。

PR.AA - 3.1.ii. ID管理、認証、アクセス制御 | S10、S11、S12

Thales OneWelcome IDおよびアクセス管理ソリューションは、複数のアプリケーションに多要素認証デバイスを利用することで、包括的なセキュリティ対策とレポート機能を組織に提供します。

Thales OneWelcome 同意およびプリファレンス管理モジュールにより、金融機関は消費者の同意を収集し、データアクセスを管理し、ユーザーの役割と責任に基づいてB2B委任を管理することができます。

PR.AA - 3.1.ii. ID管理、認証、アクセス制御 | S13、S14

CipherTrust Managerは鍵の生成、バックアップと復元、無効化、削除などのアクティビティを含む鍵のライフサイクル管理を簡素化します。その鍵の破壊段階により、組織はデータのデジタルシュレッディングを達成することができます。

PR.AA - 3.1.ii. ID管理、認証、アクセス制御 | S16、S17

Imperva API Securityは、セキュリティチームが包括的にAPIを可視化できるようにし、より迅速で安全なソフトウェアリリースサイクルを可能にし、リソース集約的なワークフローを防止することで、新たなリスクに常に対応できるようにします。

PR.DS - 3.3.ii. データセキュリティ | S1、S2、S3

保存データ

Thalesは、クラウドサービスプロバイダー（CSP）が提供するネイティブ暗号化と共存可能な、様々な保存データ用ソリューションを提供しています。

CipherTrust Transparent Encryption（透過的暗号化）は物理環境、仮想環境、クラウド環境で不正アクセスを阻止するために継続的なファイルレベルの暗号化を実行します。AESやECCといった強力な標準ベースのプロトコルを使用し、FIPS 140-2レベル1認証を取得しています。
CipherTrust Tokenization（トークン化）はトークン化、ならびにデータの匿名化と非識別化のための動的データマスキングをクラウドで実行します。
CipherTrust Application Data Protection（アプリケーションデータ保護）は、RESTful APIを使用するアプリケーションにフォーマット保持暗号化または従来の暗号化を提供します。上記のソリューションはすべて、クラウド内の保存データの保護に使用できます。
CipherTrust Managerは、CipherTrust データセキュリティプラットフォームの中央管理ポイントです。鍵の生成、ローテーション、破棄、インポート、エクスポートを含む鍵のライフサイクルタスクを管理し、鍵やポリシーに対する役割ベースのアクセス制御を提供し、堅牢な監査とレポートをサポートし、開発者フレンドリーなREST APIを提供します。

転送中データ

Thales High Speed Network Encryption（HSE：高速ネットワーク暗号化）ソリューションは、データセンターと本社、支店とサテライトオフィス、バックアップサイトと災害復旧サイト、オンプレミス環境とクラウド間のネットワーク上を移動するデータを保護します。

CipherTrust Data Discovery and Classification（DDC：データ検出と分類）は、様々なデータストアにわたる機密データの特定と分類のプロセスを簡素化し、セキュリティリスクを低減し、クラウドトランスフォーメーションと修復のためのより良い意思決定を可能にします。

Imperva API Securityは、エンドポイントを自動的に検出し、機密データに関するリスクを判断することで、セキュリティチームが包括的にAPIを可視化できるようにします。これは「OWASP API Security Top 10 Risks for REs」に対する保護を強化し、開発者が異なる環境にまたがってマイクロサービスとAPIを構築することを可能にします。

付録G：アプリケーション認証セキュリティ

CipherTrust Secrets Management（CSM：シークレット管理）は、Akeyless VaultによりDevOpsツールおよびクラウドワークロード全体でシークレットへのアクセスを自動化し、GitHubやKubernetesなどのサードパーティ製アプリケーションと統合します。

付録I：データ伝送のセキュリティ

Thales High Speed Encryptor（HSE：高速暗号化システム）は、ネットワークに依存しない転送中データ暗号化を提供し、データ、動画、音声、メタデータを盗聴、監視、傍受から保護します。物理アプライアンスおよび仮想アプライアンスとして利用可能で、幅広いネットワーク速度をサポートしています。

付録J：クラウドサービス導入のためのフレームワーク | 原則6：セキュリティ管理

クラウドサービス導入のためのフレームワーク

CipherTrust Data Security Platformは、高度な暗号化と鍵の一元管理を利用し、複数のクラウドベンダー間でデータモビリティを確保しながら、REに安全なクラウドストレージを提供します。

CipherTrust Cloud Key Manager（CCKM）は、複数のクラウドインフラとSaaSアプリケーションにわたるBYOK（Bring Your Own Key：独自の鍵の持ち込み）のユースケースをサポートします。企業データに対して強固な保護措置を講じ、コンプライアンス遵守と暗号鍵のライフサイクル管理を可能にします。

CipherTrust Transparent Encryption（透過的暗号化）はAmazon S3、Azure Filesなどに存在するデータに対して透過的暗号化とアクセス制御を提供します。

CipherTrust Tokenization（トークン化）は、難読化された形式でクラウドに移行する前にデータをトークン化し、あらゆる侵害からデータを保護します。

Thales Luna ハードウェアセキュリティモジュール（HSM）は、暗号鍵管理専用のハードウェアを組織に提供し、安全に暗号処理、鍵生成、暗号化を実行するための耐タンパー環境を確保します。

その他の主要なデータ保護およびセキュリティ規制

コンプライアンス専門家に相談する

お問い合わせ

サイバーセキュリティおよびサイバーレジリエンスフレームワークの要件への対応