必然性の音: サイバー攻撃とGDPR

必然性の音: サイバー攻撃とGDPR

映画マトリックスでは、エージェント・スミスが地下鉄の列車が近づくときにネオの首を絞める重要なシーンがあります。そのあとの対話は秀逸です。「聞いたか、アンダーソン君?それが必然性の音だ (You hear that Mr. Anderson? That is the sound of inevitability.)」映画では、ネオは列車から脱出することができましたが、サイバー攻撃とEUのGDPR (一般データ保護規則) という2つの「必然性」のため、多くの組織が回避できるとは限りません。ロンドンの地下鉄で列車が風を推し進める音のように、この2か月間で2つの重大なサイバー攻撃が発生し、GDPR施行が1年後になることが決まりました。ここで「組織はサイバー攻撃とGDPRの必然性に対処するために、何をすることができますか?」という疑問が残ります。

準備なし=復旧できない
サイバー攻撃やGDPRに取り組んでいるかどうかにかかわらず、成功するか失敗するかは準備次第になります。あまり検討せずに、ベンチャー企業から提供される大量の最新セキュリティ技術を考え始める前に、最も重要な資産が何かを思い直してください。それは「データ」です。組織がデータを保護しなかったとすると、世界中のすべてのセキュリティ機能は実際にはあまり重要にはなりません。それがWannaCryやNotPetya (ランサムウェア)、または「個人データ対象者からの削除権行使要求への回答 (GDPRの要件)」のいずれであっても、データの制御が行えない場合、組織は負けます。

必然性への対処
必然的なサイバー攻撃を対処し、最新のコンプライアンス規制を満たすようにするには、ほぼ同じレベルの準備と計画が必要です。組織はまず、データ攻撃面の全範囲を可視化するために、クラウドアプリやモバイルデバイスのデータを含む、すべての企業データがどこにあるのかを正確に理解する必要があります。組織がデータ攻撃面を理解すると、2つのメリットが得られます。第一に、さまざまなコンプライアンス規制の下で、組織の責任に対して包括的なレベルの可視化が得られます。第二に、データを保護するために必要とされるセキュリティ制御を理解することができます。

たとえば、GDPRの第17条 (忘れられる権利) に準拠するために組織がEU関連データの保存にクラウドサービスを利用するデータコントローラーである場合、EU市民が要求したときにそのデータを識別、アクセス、削除することが必要になります。また徹底的な見直しを行った後、適切なセキュリティコントロールを講じることで、企業は第25条 (GDPR要件を満たすために適切な対策を実施) を遵守することができるようになります。さらにGDPR第30条では、クラウドアプリケーションで処理されるすべてのデータ処理に関する監査ログを保持することが要求されます。GDPRが要求するセキュリティ管理の多くは、企業データをランサムウェアのようなサイバー攻撃から保護する上で非常に役立ちます。

適切な準備が必要
サイバー攻撃からの復旧や、GDPR遵守を行えるようにするための適切な準備には、技術とプロセスを組み合わせて使用する必要があります。特効薬や、すべての問題を解決できるベンダー製品はありませんが、Druvaは破壊的なサイバー攻撃からの復旧、セキュリティ侵害からの復旧、GDPR準備のそれぞれについて支援します。

0 Comments

Leave a reply

Your email address will not be published. Required fields are marked *

*