データセキュリティコンプライアンスとは?
データセキュリティコンプライアンスは、データガバナンスの重要な側面であり、連邦政府機関を含む監督機関や規制機関が定めたセキュリティ中心のルールや規制を遵守する必要があります。 これらの規則と規制は、技術的および組織的なセキュリティ対策、データセキュリティツールとソリューション、データ侵害防止の手法と戦略など、幅広いデータセキュリティをカバーしています。
The Data Security Best Practices [Cheat Sheet]
No time to sift through lengthy guides? Our Data Security Best Practices Cheat Sheet condenses expert-recommended tips into a handy, easy-to-use format. Get clear, actionable advice to secure your cloud data in minutes.
Download cheat sheet
データコンプライアンスとデータセキュリティコンプライアンス
多くの人が、データセキュリティコンプライアンスとデータコンプライアンスを混同しています。 規制コンプライアンスの両分野の基本原則は同じですが、重要な違いがあります。 データセキュリティコンプライアンスは、データコンプライアンスの構成要素であることを覚えておくことが重要です。
データコンプライアンスには、データライフサイクル全体を網羅する法律や規制が含まれます。 これには、インジェスト、ストレージ、管理、スチュワードシップ、検出可能性、透明性が含まれます。 つまり、データコンプライアンス規制は、企業が何を所有し、そのデータをどこから取得し、それをどのように使用するかをカバーしています。
一方、データセキュリティコンプライアンスは、セキュリティに焦点を合わせます。 コンプライアンスの他の側面もセキュリティに関連していますが、これらの法律や規制は、特に企業がデータをどの程度保護しているか、ひいては貴重な機密データを共有する顧客や協力者をどの程度保護しているかに注目しています。
データセキュリティコンプライアンスがビジネスにとって重要なのはなぜですか?
聞いたところでは IBMの データ侵害のコスト 2023 レポートでは、コンプライアンス規制の遵守がデータ侵害コストの最大の増加要因の 1 つでした。 データセキュリティのコンプライアンスにも影響を与える要因として、企業が規制の高い環境で事業を行っているか、低い環境で事業を行っているかが関係しています。 規制の少ない地域やセクターでは、企業はデータ侵害後1年以内にコンプライアンスコストの64%を解決しています。 しかし、規制の厳しい環境では、最初の1年でコストが58%増加します。
それでは、データセキュリティコンプライアンスが比類のない重要性を持つ6つの重要な理由を見てみましょう。
進化する脅威の状況: 脅威の状況は、かつてないほど危険です。 聞いたところでは インディペンデント紙、脅威アクターは 2023 年に 2 億 9,000 万件以上のデータ漏洩を引き起こし、データ侵害は 3 億 6,400 万人以上に影響を与えました。 トレンドと軌道は、サイバー犯罪が驚異的な速度で増加し続けることを示唆しています。 サイバー犯罪者の主な標的は、ほとんどの場合、エンタープライズデータであり、データセキュリティのコンプライアンスはますます複雑で困難になっています。
クラウドコンプライアンス: ほとんどの企業は、複雑なクラウド環境で運営されています。 クラウド環境をセルフホストする企業もあれば、AWS、GCP、Azure、Alibaba などのプロバイダーが提供するサードパーティの IaaS、PaaS、SaaS 製品を使用する企業もあります。 データセキュリティコンプライアンスの観点から見ると、主な課題は、共有責任モデルの複雑さを特定することにあります。 (責任共有モデル は、クラウドプロバイダーがどのようなデータセキュリティの責任を負っているかを強調しています。 さらに、異なるクラウドプロバイダーのサービスを使用している企業は、複数のデータセキュリティ関連をナビゲートしなければならない場合があります クラウドコンプライアンス 課題。
新しい法律と規制: 企業が既存のコンプライアンス規制を遵守することは、十分に困難です。 現在、サイバー犯罪の増加と業界特有の無数のコンプライアンスの大惨事により、規制当局は攻勢に出て新しいルールを実施しています。 組織は、新しいルールがいつ適用され始めるのか、既存のルールとどのように重複するのか、増大するコンプライアンスのニーズを満たすためにどのようなデータセキュリティ対策を実装する必要があるのかを理解する必要があります。
複雑なデータエコシステム: データエコシステムの複雑さは、企業の規模、業界、および包括的な目標によって異なります。 企業が新しい方法でデータを解放し、使用しようとしているため、データエコシステムはより複雑で複雑になっています。 複雑なデータエコシステムでは、 シャドウデータこれは、IT部門とセキュリティ部門の可視性と管理の範囲外にあるデータです。 複雑なデータエコシステムは、組織のデータプロジェクトの強力な出発点となる可能性がありますが、データセキュリティのコンプライアンスも必要とします。
DevOpsイニシアチブ: ほとんどの企業は、俊敏で加速された運用モデルと方法論を採用しています。 開発者はソフトウェア開発ライフサイクル(SDLC)をオーバードライブに押し込み、データを活用する速度を上げます。 アプリケーションを迅速かつ大規模に開発および実装すると、データセキュリティが損なわれ、規制コンプライアンスの優先順位が下がる可能性があります。
国際的なデータプロジェクト: ビジネスの世界では、国境が曖昧になるにつれ、データセキュリティコンプライアンスに関する新たな課題が生じています。 たとえば、ヨーロッパに拠点を置き、主にヨーロッパの顧客を抱え、米国を拠点とするデータセンターでデータをホストしている企業のデータセキュリティコンプライアンスの問題について考えてみます。 このような場合、企業は、データセキュリティに対する独自のアプローチを持つ複数の国の異なる、重複する、時には矛盾するデータセキュリティ規制をナビゲートする必要があります。 さらに、地政学的な緊張や激しい政治現象は、国際的なデータプロジェクトのデータセキュリティコンプライアンスに大きな影響を与える可能性があります。
実際の例: 2023年4月、アイルランドのデータ保護委員会(DPC)は罰金を科しました メタ EUを拠点とする個人のデータを米国に拠点を置くサーバーに転送するために13億ドル。
8 データセキュリティの規制と基準
以下は、留意すべき10の重要な規制、業界標準、およびコンプライアンスフレームワークです。
GDPRの: 一般データ保護規則(GDPR)は、情報プライバシーを中心としたEUの法律です。
SOXの場合: サーベンス・オクスリー法(SOX)は、米国です。 財務報告に関する連邦法。
PCI-DSSの場合: Payment Card Industry Data Security Standard(PCI-DSS)は、米国の情報セキュリティ標準です。 クレジットカード情報。 PCI-DSSコンプライアンスの失敗は、企業に月額5,000ドルから100,000ドルの費用がかかる可能性があります。
CCPAの:カリフォルニア州消費者プライバシー法(CCPA)は、消費者保護を強化および確保するための州法です。
HIPAAの: 医療保険の相互運用性と説明責任に関する法律(HIPAA)は、米国を保護するための一連の国家基準です。 医療情報。
フィスマ: 連邦情報セキュリティ近代化法(FISMA)は、米国を保護するためのフレームワークを含む法律です。 政府のデータ。
ピペダ: 個人情報保護および電子文書法(PIPEDA) は、情報プライバシーを中心としたカナダの法律です。
ISO/IECの: 国際標準化機構/国際電気標準会議 (ISO/IEC) 規格は、情報の安全性を確保し、セキュリティ管理システムを最適化するための一連の国際標準です。
データセキュリティコンプライアンスを達成するための実践的なステップ
1. 規制要件の理解
適用される規制の特定: ビジネスセクターと場所に基づいて、データの取り扱い方法を規定する関連規制 (GDPR、HIPAA、CCPA、PCI DSS など) を特定します。
AI特有の規制: AI システムを使用している場合は、AI 主導の意思決定における公平性、透明性、バイアスに対処する規制など、特定の AI 規制を検討してください。 EUのAI法はその一例で、AIモデルのデータの責任ある使用を義務付けています。
セキュリティフレームワークとの整合性: ISO 27001、NIST Cybersecurity Framework、SOC 2 などの定評のあるフレームワークを採用して、データ セキュリティ コンプライアンスへのアプローチを標準化します。
2. データの可視性を獲得
データディスカバリー: まず、 データ検出ツール を使用して、組織内のすべての機密データと規制対象データを特定し、マッピングします。 データの保存場所を理解することは、コンプライアンスの取り組みにおける重要な第一歩です。
AIデータセット: AI モデルに使用されるデータを検出プロセスに含めます。 多くの場合、AIシステムはトレーニングと検証のために広範なデータセットに依存しており、その中には機密情報が含まれている可能性があります。
自動 データの分類: 機密性に基づいてデータを自動的に分類するツール(PII、財務データなど)をデプロイします。 この分類は、機密データをすぐに特定して保護できるようにすることで、コンプライアンスの管理に役立ちます。
継続的な可視性: 次のようなソリューションを実装する データセキュリティポスチャ管理(DSPM) AIトレーニングデータセットや運用データフローなど、データ環境の継続的な可視性を維持します。
3. データのカタログ化と管理
データ・カタログの実装: を確立する データカタログ をクリックして、すべてのデータ資産のインベントリを作成します。 このカタログは、モデルのトレーニングや意思決定に使用される機密情報やAI固有のデータなど、データセットの整理された検索可能なインデックスを提供する必要があります。
メタデータ管理: メタデータ管理を使用してデータを追跡する'のオリジン、使用、およびガバナンスのルール (特に AI モデルにフィードするデータセットの場合)。 データがどこから来て、どのように処理されているかを確実に把握することは、規制コンプライアンスに不可欠です。
機密データにタグを付ける: データの機密性と規制要件に基づいて、データに適切なタグを適用します。 このタグ付けは、従来のデータとAIワークフローで使用されるデータセットの両方をカバーする必要があります。
自動更新: データ カタログが 動的に更新 新しいデータがシステムに入力されたり、変更されたりしたとき。 AIアプリケーションの場合、これはすべてのデータセット、入力、および出力の更新された記録を保持することを意味します。
4. データリネージとトレーサビリティの追跡
データリネージの追跡: データの収集から処理、および保存まで、システム内でデータがどのように移動するかを追跡します。 これは、コンプライアンスの証明やAIモデルの監査に不可欠であり、AI主導の意思決定がどのように行われるかを示すことができます。
AIトレーサビリティ: AI モデルとそのデータセットが完全に追跡可能であること、特に金融や医療などのコンプライアンスが重要なセクターで使用されることを確認します。
5. 強力なデータ暗号化とアクセス制御の実装
暗号化: 保存データと転送中の両方でデータを暗号化します。 AI アプリケーションの場合は、トレーニング データと機密情報を含むすべての出力も暗号化されていることを確認します。
アクセス制御:道具 ロールベースのアクセス制御 (RBAC) そして 最小特権アクセス を使用して、機密データにアクセスできるユーザーを制限します。 AI システムの場合は、許可された担当者のみがトレーニング データ、モデル、および出力にアクセスできるようにします。
多要素認証(MFA): AI ツールやモデルがトレーニングされる環境など、機密データを処理するシステムへのアクセスには MFA を使用します。
6. データの最小化と匿名化を確保する
データの最小化: 操作に必要な最小限のデータのみを収集して保存します。 この原則は AI モデルのトレーニングにも適用され、プライバシー リスクを最小限に抑えるために、可能な限り合成データまたは匿名化されたデータを使用します。
匿名化と仮名化: 匿名化技術を適用して、AI トレーニングやその他のデータ プロセスで使用されるデータセットから個人を特定できる情報 (PII) を削除し、プライバシー法の遵守を確保します。
7. AI固有のセキュリティ制御を実装する
AIモデルのセキュリティ保護: AIモデルは、以下の脆弱性に対して脆弱である可能性があります。 敵対的攻撃では、悪意のある入力により、モデルが誤った決定を下します。 これらの攻撃を検出して防止するためのセキュリティ対策を実装します。
データポイズニング保護: AI モデルのトレーニングに使用されるデータセットが保護され、監視されていることを確認して、次のことを防ぎます データポイズニング攻撃 これにより、AIの出力が損なわれ、コンプライアンス違反につながる可能性があります。
モデルのガバナンスと説明可能性: 医療や金融などのデリケートな分野で使用される AI モデルに、規制基準の信頼性とコンプライアンスを維持するための説明可能性と監査可能性のメカニズムがあることを確認します。
8. 引っ切り無し リスクの監視とデータアクティビティの監査
継続的な監視を実装する: システム間のデータアクセス、移動、使用状況をリアルタイムで監視します。 DSPMのようなクラウドネイティブ・ソリューションを使用して、AIデータ・パイプラインを含むデータ・フローを可視化します。
監査 AI モデル: AI システムを定期的に監査し、モデルとモデルが依存するデータの整合性を確保します。 トレーニング データの監査を含めて、セキュリティとコンプライアンスの基準を満たしていることを確認します。
データロギング: データへのアクセスと使用状況の詳細なログを保持します。 AI の場合は、トレーニング データセットにアクセスしたユーザー、どのデータセットでトレーニングされたモデル、生成された決定または出力のログが保持されていることを確認します。
インシデント対応計画: 明確に定義されている インシデント対応計画 AI固有のデータ侵害を含むデータ侵害に対処するため。 計画に役割、責任、コミュニケーション戦略が含まれていることを確認します。
Wizがデータセキュリティのコンプライアンスにどのように役立つか
WizのDSPMソリューション これにより、企業はデータランドスケープ全体のエージェントレススキャンを実行し、深く複雑なコンテキストに基づいてデータリスクに優先順位を付け、有害な組み合わせや攻撃経路に対処することでデータの漏洩を防ぐことができます。 Wizは、DSPM機能を拡張して、今日のAI主導の世界で最も重要なセキュリティ要件の1つであるAIデータを網羅しています。
で 幅広いクラウドカバレッジ 無数のクラウドプラットフォームおよびテクノロジーとの互換性を備えたWizは、包括的で統一されたデータセキュリティのための究極のツールです。 WizのDSPMツールを使用すると、最も複雑で困難なデータセキュリティおよびプライバシー法を簡単に遵守し、遵守できます。
デモを依頼する Wizがデータを保護し、コンプライアンスを確保する方法をご覧ください。
Protect your most critical cloud data
Learn why CISOs at the fastest companies choose Wiz to secure their cloud environments.
