目次
1. スコア配分
CDGA: 8 ポイント (8 つの単一選択肢)
CDGP:10点(エッセイ問題)
テストポイント:
推進力、目標、原則
基本的な考え方と取り組み
データセキュリティ評価指標
データセキュリティガバナンス
2. 重要な知識のまとめ
1 はじめに
コンテキスト図:
データ セキュリティ要件は次のことから生まれます。
- 関係者。
- 政府の規制。
- 特定のビジネス上の懸念事項。
- 正当なアクセス要件。
- 契約上の義務。
1.1 ビジネスの推進要因
ビジネスの推進力:リスクの軽減とビジネスの成長は、データ セキュリティ活動の主要な推進力です。
- リスクを軽減する
- 組織データを分類および分類する手順:
- 1) 機密データ資産を特定して分類します。
- 2) 企業内の機密データを見つけます。
- 3) 各資産を保護する方法を決定します。
- 4) 情報がビジネスプロセスとどのように相互作用するかを特定します。
- 組織データを分類および分類する手順:
- ビジネスの成長
- 資産としてのセキュリティ: メタデータは機密データを管理する方法の 1 つです。情報の分類とコンプライアンスの機密性は、データ要素および収集レベルでマークできます。
1.2 目的と原則
目標:
- 企業データ資産への適切なアクセスを可能にし、不適切なアクセスを防ぎます。
- プライバシー、保護、機密性に関するすべての規制とポリシーを理解し、遵守します。
- すべての関係者のプライバシーと機密保持のニーズが強制され、監査されるようにします。
原則:
- コラボレーション。データ セキュリティは、IT セキュリティ管理者、データ スチュワード/データ ガバナンス、内部および外部の監査チーム、法務部門が関与する共同作業です。
- 企業間の調整。データセキュリティ標準とポリシーを適用する場合は、組織の一貫性を確保する必要があります
- アクティブ経営。データ セキュリティ管理の成功は、積極的かつ動的であること、すべての利害関係者に注意を払うこと、変更を管理すること、そして情報セキュリティ、情報テクノロジー、データ管理、ビジネス利害関係者間の従来の職務分掌などの組織的または文化的ボトルネックを克服することにかかっています。
- 責任を明確にする。組織や役割を越えたデータの「保管の連鎖」を含め、役割と責任を明確に定義する必要がある
- メタデータ主導。データセキュリティの分類と分類はデータ定義の重要な部分です
- リスクを軽減するには、暴露を減らします。特に非実稼働環境での機密/機密データの拡散を最小限に抑えます。
1.3 基本概念
情報セキュリティ用語:
- 脆弱性: 攻撃を受けやすいシステムの弱点または欠陥、つまり危険にさらされること。
- 脅威: 組織に対して行われる可能性のある攻撃的な行動。内部でも外部でも構いません。必ずしも悪意があるとは限りません。
- リスク: 損失の可能性、潜在的な損失を構成する何かまたは状態。
- 以下からリスクを計算します。
- 1) 脅威が発生する確率とその頻度
- 2) 各脅威インシデントが引き起こす可能性のある損害の種類と規模 (風評被害を含む)。
- 3) 被害による収益や事業運営への影響
- 4) 破損後の修理費用
- 5) 脆弱性の修復方法を含む、脅威の防止にかかるコスト。
- 6) 攻撃者の考えられるターゲットの意図
- 以下からリスクを計算します。
- リスク分類:
- 1) 中リスクデータ
- 2) 強風除去データ。
- 3) 主要なリスクデータ。
セキュリティプロセス:
- データセキュリティの要件とプロセス:
- 4A:
- アクセス: 許可された個人がタイムリーにシステムにアクセスできるようにします。動詞としては、情報システムに積極的に接続してデータを使用することを意味し、名詞としては、その人がデータに対する有効な権限を持っていることを意味します。
- 監査: セキュリティ運用とユーザーのアクティビティをレビューして、規制への準拠と会社のポリシーと標準への準拠を確認します。情報セキュリティの専門家は定期的にログと文書をレビューして、セキュリティ規制、ポリシー、標準への準拠を確認します。これらのレビューの結果は定期的に公開されます。
- 認証: ユーザーのアクセス権を確認します。ユーザーがシステムにログインしようとすると、システムはそのユーザーが本物であることを確認する必要があります。パスワードに加えて、より厳格な認証方法には、セキュリティ トークン、質問への回答、指紋の送信などがあります。認証プロセス中、認証情報の盗難を防ぐためにすべての通信が暗号化されます。
- 承認: 個人の役割に適したデータの特定のビューへのアクセスを許可します。認可が取得された後、アクセス制御システムは、ユーザーがログインするたびに認可トークンの有効性をチェックします。
- 1E:
- 資格: 単一のアクセス許可決定によってユーザーに公開されるすべてのデータ要素の合計
- 4A:
- モニター:
- アクティブ モニタリング: アクティブ モニタリングは検出メカニズムです。
- パッシブモニタリング: システムは定期的にシステムのスナップショットを取得し、傾向をベースラインまたは他の標準と比較して、いつでも発生する変更を追跡します。システムは、担当のデータ管理責任者またはセキュリティ責任者にレポートを送信します。パッシブモニタリングは評価メカニズムです。
データの整合性: セキュリティの観点から見ると、データの整合性 (データの整合性) は、不適切な追加/削除による影響を回避するための全体的な状態要件です。たとえば、米国のサーベンス オクスリー法では、主に、財務情報の完全性を保護するために財務情報を作成および編集する方法に関するルールを特定することが含まれています。
暗号化: 特権情報を隠したり、送信の完全性を検証したり、送信者の身元を確認したりするために、プレーン テキストを複雑なコードに変換するプロセス
- タイプ:
- 1) ハッシュ
- MD5
- 社
- 2) 対称暗号化
- の
- 3DES
- AES
- DEA
- 3) 非対称暗号化
- RSA
- PGP
- 1) ハッシュ
難読化または非感作: 難読化または非感作は、データの意味や他のデータセットとのデータの関係が失われないようにしながら、データの可用性を低下させるために使用されます。
- Obfuscate : 曖昧または不明瞭になる
- 非感作: データの削除、スクランブル、またはその他の方法での外観の変更など。
- 減感作の種類:
- 静的脱感作: 永久的かつ不可逆的に更新されるデータ
- 非破壊的な非感作: 非感作データを含む中間ファイルやデータベースは残されず、非常に安全です。
- オンザグラウンド非感作: データ ソースとターゲットが同じ場合に使用されます。データ ソースからマスクされていないデータを読み取るか、データの別のコピーを安全な場所に保存し、安全でない場所に移動する前に感度解除を実行します。リスキーな。
- 動的マスキング: 基礎となるデータを変更せずに、エンド ユーザーまたはシステムに対するデータの外観を変更します。
- 静的脱感作: 永久的かつ不可逆的に更新されるデータ
- 減感作の種類:
- 減感作法:
- 1) 置換。検索または標準パターン内の文字または整数値を文字または整数値に置き換えます。
- 2) シャッフル。レコード内で同じタイプのデータ要素を交換するか、異なる行間で同じ属性のデータ要素を交換します。
- 3) 時間的差異。日付を認識できなくなる程度の日数(傾向を維持するのに十分な大きさ)だけ前後に移動します。
- 4) 値の差異。認識できなくなるほど重要なランダム係数 (傾向を維持するのに十分小さい、プラスまたはマイナスのパーセンテージ) を適用します。
- 5) 無効化または削除。テスト システムに存在すべきではないデータを削除します。
- 6) ランダム化。一部またはすべてのデータ要素をランダムな文字または一連の単一文字に置き換えます。
- 7) 暗号化技術。暗号コードを使用して、認識可能な意味のある文字のストリームを認識できない文字のストリームに変換します。
- 8) 式のマスキング。すべての値を式の結果に変更します。たとえば、単純な式を使用して、大規模な自由形式のデータベース フィールド (機密データが含まれる可能性がある) のすべての値を「これはコメント フィールドです」として強制的にエンコードします。
- 9) キーのマスキング。指定されたマスキング アルゴリズム/プロセスの結果は、データベース キー フィールド (または同様のフィールド) のマスキングに対して一意であり、再現可能である必要があります。
サイバーセキュリティ用語:
- バックドア: コンピュータ システムまたはアプリケーションへの隠れた侵入口。
- ボットまたはゾンビ: トロイの木馬、ウイルス、フィッシング、または感染ファイルのダウンロードを使用する悪意のある攻撃者によって乗っ取られたワークステーション
- Cookie: 通常のユーザーを識別し、ユーザーの好みを分析するために、Web サイトがユーザーのコンピューターのハード ドライブに配置する小さなデータ ファイル。
- ファイアウォール: ネットワーク トラフィックをフィルタリングして、単一のコンピュータまたはネットワーク全体を不正アクセスやシステムへの攻撃の試みから保護するソフトウェアおよび/またはハードウェアです。
- 境界: 組織環境と外部システムの間の境界を指します。ファイアウォールは通常、すべての内部環境と外部環境の間に展開されます。
- DMZ: 組織の端または周辺ゾーンを指します
- スーパーユーザーアカウント
- キーロガー
- 侵入テスト
- 仮想プライベートネットワーク
データセキュリティのタイプ:
- ファシリティ セキュリティ: ファシリティ セキュリティは、悪意のある攻撃者に対する防御の最前線です。
- デバイスのセキュリティ: ラップトップ、タブレット、スマートフォンなどのモバイル デバイスは、紛失、盗難、犯罪ハッカーによる物理的/電子的攻撃の可能性があるため、本質的に安全ではありません。
- 標準:
- 1) モバイルデバイス接続を使用してポリシーにアクセスします。
- 2) ラップトップ、DVD、CD、USB ドライブなどのポータブル デバイスにデータを保存する
- 3) 記録管理ポリシーに従ったデバイスデータの消去と廃棄。
- 4) マルウェア対策および暗号化ソフトウェアのインストール
- 5) セキュリティの脆弱性に対する認識。
- 標準:
- 資格情報のセキュリティ:
- ID 管理システム: ユーザーの観点からはシングル サインオンが最適です
- 電子メール システムのユーザー ID の標準。
- パスワード標準: パスワードはデータ アクセスを保護するための防御の最前線です。
- 多要素の識別。
- 電子通信のセキュリティ。
データセキュリティの制約:
- 機密レベル。
- 機密データの分類:
- 1) 一般視聴者向け。
- 2) 内部使用のみ。従業員またはメンバーのみに制限されている情報ですが、情報を共有するリスクは最小限です。この情報は内部使用のみを目的としており、組織外で表示または議論することはできますが、複製することはできません。
- 3) 機密。適切な機密保持契約などを締結しない限り、組織外に情報を共有してはなりません。機密の顧客情報を他の顧客と共有することはできません。
- 4) 機密情報。制限付き機密保持では、個人が許可を得る必要があり、特定の「知る必要がある」個人に限定されます。
- 5) 登録された秘密。情報の機密性は非常に高いため、情報への訪問者はデータにアクセスし、機密保持義務を負うための法的契約に署名する必要があります。
- 機密データの分類:
- 規制要件。
- 規制カテゴリー
- 1) 規制シリーズの例
- 個人を特定できる情報
- 財務上の機密情報
- 医療上の機密データ/個人の健康情報
- 2) 業界規制または契約に基づく規制
- ペイメントカード業界のデータセキュリティ基準
- 競争上の優位性または企業秘密
- 契約上の制限
- 1) 規制シリーズの例
- 規制カテゴリー
機密保持と監督の主な違いは、それらが異なるソースから得られることです。機密保持要件は内部ソースから得られるのに対し、監督要件は外部ソースから得られます。
システム セキュリティ リスク: リスクを特定するための最初のステップは、機密データが保存されている場所と、このデータにどのような保護が必要かを判断することです。
- カテゴリー:
- (1) 特権の乱用: データ アクセス権については、最小特権の原則が採用されるべきであり、ユーザー、プロセス、またはプログラムのみが、正当な目的で許可されている情報へのアクセスを許可されるべきです。過剰なアクセス許可の解決策は、クエリ レベルのアクセス制御です。制御の粒度は、テーブル レベルのアクセスから特定の行および特定の列までにする必要があります。
- (2) 正当な特権の乱用: 意図的および非意図的乱用。正当な権限の乱用に対する解決策の 1 つは、データベース アクセス制御です。
- (3) 不正な権限昇格。
- (4) サービスアカウントまたは共有アカウントの悪用。
- サービスアカウント
- 共有アカウント。
- (5) プラットフォーム侵入攻撃。
- (6) インジェクションの脆弱性。
- (7)デフォルトのパスワード。
- (8) バックアップデータの悪用。
フィッシング/ソーシャル エンジニアリングの脅威:
- ソーシャル エンジニアリングとは、悪意のあるハッカーが人々をだまして情報を提供したり、情報にアクセスさせたりする手法を指します。ハッカーたちは、入手したさまざまな情報を利用して、関係する従業員に正当な要求があると信じ込ませました。場合によっては、ハッカーは複数の人物に順番に連絡し、各段階で次の上位の従業員の信頼を得るために使用できる情報を収集します。
- フィッシングとは、受信者をだまして、電話、インスタント メッセージ、または電子メールを通じて、知らないうちに貴重な情報や個人のプライバシーを提供させる行為です。多くの場合、これらの通話やメッセージは正当な発信元から送信されているように見えます。
マルウェア:
- タイプ:
- アドウェア。
- スパイウェア。
- トロイの木馬。
- ウイルス。
- ワーム。
- ソース:
- インスタントメッセージング
- ソーシャルネットワーク
- スパム
2. 活動内容
安全監督は、安全を達成する手段ではなく、安全の結果に焦点を当てます。組織は独自のセキュリティ管理を設計し、法律や規制の厳格な要件を満たしているか、それを超えていることを実証する必要があります。
2.1 データセキュリティのニーズを特定する
- ビジネス ニーズ: 組織のビジネス ニーズ、使命、戦略、規模、および業界によって、データ セキュリティに必要な厳密さのレベルが決まります。データプロセスマトリックスとデータ役割関係マトリックスは非常に効果的なツールです。
- 規制要件。規制のリストを作成し、影響を受けるデータの対象領域、関連するセキュリティ ポリシー、および制御手段を明確に説明します。
2.2 データセキュリティシステムの開発
組織は、独自のビジネス要件と規制要件に基づいてデータ セキュリティ ポリシーを作成する必要があります。システムとは、選択された行動方針の記述であり、目標を達成するために期待される動作の最上位の記述です。データ セキュリティ ポリシーは、データを保護するために組織にとって最善であると判断されたアクションを記述します。これらのシステムが測定可能な影響を与えるには、システムが監査可能であり、監査可能である必要があります。
- さまざまなレベルのシステム:
- 1) 企業安全システム。
- 2) ITセキュリティシステム。
- 3) データセキュリティシステム。
データ ガバナンス委員会は、データ セキュリティ システムの審査および承認機関です。データ管理スペシャリストはシステムの責任者および保守者です
2.3 データセキュリティルールの定義
- 1 データの機密性レベルを定義します。プライバシー分類は、ユーザーにアクセス方法を案内する重要なメタデータ機能です。
- 2 データ ガバナンスのカテゴリを定義します。
- 3 セキュリティ ロールを定義します。役割グループにより作業負荷が軽減されます。
- ロールを定義して編成するには 2 つの方法があります。
- ネットワーク(データから始まる)
- 階層 (ユーザーから始まる)
- 2 つのツール:
- 役割割り当てマトリックス。
- 役割の割り当て階層。
- ロールを定義して編成するには 2 つの方法があります。
2.4 現在のセキュリティリスクを評価する
- 1) 保存または送信されるデータの機密性。
- 2) データ保護の要件。
- 3) 既存のセキュリティ保護対策。
2.5 管理と手順の実装
主な責任はセキュリティ管理者であり、データ管理スペシャリストおよび技術チームと協力します。
コントロールと手順:
- 対象となる内容
- 1) ユーザーがシステムやアプリケーションへのアクセスを取得および終了する方法。
- 2) ユーザーにロールを割り当て、ロールからユーザーを削除する方法。
- 3) 許可レベルを監視する方法。
- 4) アクセス変更リクエストを処理および監視する方法。
- 5) 機密性と適用される規制に従ってデータを分類する方法。
- 6) データ漏洩検知後の対処方法。
- コントロールと手順:
- (1) 機密レベルを割り当てます。
- (2) 規制カテゴリーを割り当てます。
- (3) データのセキュリティを管理および維持します。
- 1) データの可用性/データ中心のセキュリティを制御します。
- 2) ユーザー認証とアクセス動作を監視します。
- (4) 安全システムの遵守を管理する。
- 1) 規制遵守を管理します。
- 2) データセキュリティとコンプライアンス活動を監査します。
- 自動監視が欠如していると、次のような深刻なリスクが生じます。
- 1) 規制上のリスク。
- 2) リスクを検出して回復します。
- 3) 管理および監査責任のリスク。
- 4) 不適切なローカル監査ツールに依存するリスク。
- ネットワークベースの監査装置には次のような利点があります。
- 1) 高性能。
- 2) 職務の分離。
- 3) 細かいトランザクション追跡。
- 規制遵守の管理には次のものが含まれます。
- 1) 規制遵守を管理する:
- ①認可ルールと手順の遵守を測定する。
- ② すべてのデータ要件が測定可能であり、したがって監査可能であることを確認します。
- ③ 標準ツールとプロセスを使用して、保管および運用中の規制対象データを保護します。
- ④ 潜在的な不遵守問題や規制遵守違反が発見された場合は、報告手順と通知メカニズムを使用します。
- 2) データセキュリティおよびコンプライアンス活動の監査: データセキュリティシステムの説明、標準文書、実装ガイドライン、変更要求、アクセス監視ログ、レポート出力およびその他の記録 (電子またはハードコピー) が監査の入力ソースを構成します。テストとチェックを実行します
- 監査テストと検査内容の例:
- ① システムとルールを評価して、コンプライアンス管理が明確に定義され、規制要件が満たされていることを確認します。
- ②導入手順とユーザー認証の実践を分析し、規制目標、システム、規則、および期待される結果への準拠を確保します。
- ③認可基準や手続きが十分であり、技術的要件を満たしているかを評価する。
- ④違反または違反の可能性が発見された場合、実施される報告手順と通知メカニズムを評価します。
- ⑤ アウトソーシングおよび外部サプライヤーの契約、データ共有契約、コンプライアンス義務を見直し、ビジネスパートナーが義務を履行し、組織が規制データを保護する法的義務を確実に履行するようにします。
- ⑥組織内のセキュリティ慣行の成熟度を評価し、経営幹部やその他の関係者に「法規制遵守状況」を報告する。
- ⑦コンプライアンス体制の変更と運用のコンプライアンス改善を推奨。
- 監査テストと検査内容の例:
- 1) 規制遵守を管理する:
3. ツール
4. 方法
詳細についてはコンテキスト図を参照してください
5. 導入ガイド
5.1 準備状況評価/リスク評価
組織は次の方法でコンプライアンスを向上できます。
- 1) トレーニング。このようなトレーニングとテストは必須であり、従業員のパフォーマンス評価の前提条件であるべきです。
- 2) 制度上の一貫性。企業システムの改善を目的として、作業グループや部門向けのデータ セキュリティ システムと法規制遵守システムを開発します。
- 3) セキュリティの利点を測定します。組織は、データ セキュリティ活動の客観的な指標をバランスド スコアカードの指標とプログラムの評価に含める必要があります。
- 4) サプライヤーに対するセキュリティ要件を設定します。サービス レベル アグリーメント (SLA) およびアウトソーシングの契約上の義務にデータ セキュリティ要件を含めます。SLA 契約には、すべてのデータ保護オペレーションが含まれている必要があります。
- 5) 緊迫感を高める。データ セキュリティ管理における緊迫感を高めるために、法的、契約的、規制上の要件を強調します。
- 6) 継続的なコミュニケーション。
5.2 組織および文化の変化
コンプライアンスを促進するには、データとシステムを使用する人の観点からデータ セキュリティ対策を開発する必要があります。慎重に計画された包括的な技術的セキュリティ対策により、関係者は安全なアクセスを容易に得ることができるはずです。
5.3 アウトソーシングの世界におけるデータセキュリティ
- 責任を除いてすべてをアウトソーシングできる
- どのような形式のアウトソーシングも、テクノロジー環境や組織のデータを使用するユーザーに対する制御の喪失など、組織のリスクを増大させます。データ セキュリティ実装プロセスでは、アウトソーシング ベンダーのリスクを外部リスクと内部リスクの両方として考慮する必要があります。データ セキュリティ アーキテクチャを含む IT アーキテクチャと所有権は社内の責任である必要があります。言い換えれば、内部組織がエンタープライズ アーキテクチャとセキュリティ アーキテクチャを所有および管理します。アウトソーシング パートナーがアーキテクチャの実装を担当する場合があります
6. データセキュリティ管理
6.1 データセキュリティとエンタープライズアーキテクチャ
セキュリティ アーキテクチャには次のものが含まれます。
- 1) データのセキュリティを管理するためのツール。
- 2) データ暗号化の標準とメカニズム。
- 3) 外部ベンダーおよび請負業者のためのデータ アクセス ガイドライン。
- 4) インターネット経由のデータ転送プロトコル。
- 5) 文書要件。
- 6) リモートアクセス規格。
- 7) セキュリティ侵害インシデントの報告手順。
セキュリティ アーキテクチャは、以下を統合する場合に特に重要です。
- 1) 社内システムと事業部門。
- 2) 組織およびその外部ビジネスパートナー。
- 3) 組織および規制当局。
6.2 指標
メトリクス:
- セキュリティ実装インジケーター。
- 1) 最新のセキュリティ パッチがインストールされている企業コンピュータの割合。
- 2) 最新のマルウェア対策ソフトウェアがインストールされ実行されているコンピューターの割合。
- 3) 身元調査に合格した新入社員の割合。
- 4) 年次セキュリティ実践テストで 80% 以上のスコアを獲得した従業員の割合。
- 5) 正式なリスク評価分析を完了したビジネスユニットの割合。
- 6) 火災、地震、嵐、洪水、爆発、その他の災害が発生した場合の災害復旧テストに合格したビジネス プロセスの割合。
- 7) 監査によって特定された問題のうち、正常に解決された問題の割合
- セキュリティ意識の指標。
- 1) リスク評価の結果。
- 2) リスク事象とプロファイル。
- 3) 正式なフィードバック調査とインタビュー。
- 4) 事故のレビュー、学んだ教訓、被害者のインタビュー。
- 5) パッチの有効性監査。
- データ保護インジケーター。
- 1) 特定のデータタイプと情報システムの重要度のランキング。これを怠るとビジネスに重大な影響を及ぼします。
- 2) データの損失、侵害、損傷に関連する事故、ハッカー攻撃、盗難、または災害による年間損失予測。
- 3) 特定のデータ損失のリスクは、特定のカテゴリの規制情報と修復の優先順位に関連しています。
- 4) データの特定のビジネス プロセスへのリスク マッピング。POS 機器に関連するリスクは、金融決済システムのリスク プロファイルに含まれます。
- 5) 特定の貴重なデータリソースとその伝送メディアに対する攻撃の可能性について脅威評価を実施します。
- 6) 機密情報を偶発的または意図的に開示する可能性のあるビジネス プロセスの特定の部分の脆弱性評価を実施します。
- セキュリティインシデントのインジケーター。
- 1) 侵入試行回数を検出してブロックします。
- 2) 侵入を防ぐことで節約されるセキュリティ コストへの投資収益率。
- 機密データの拡散。
- 拡散を減らすために、機密データのコピーの数を測定する必要があります。機密データの保管場所が増えるほど、漏洩のリスクが高まります。