EU一般データ保護規則(GDPR)には、データへの侵害が発生した際の報告義務があり、これが組織の情報セキュリティプログラムに影響を与えるのは間違いありません。GDPRでは、侵害が発見された場合、組織は、侵害されたデータの種類、影響を受けたユーザー、現在行っている対応措置などを含め侵害の状況を72時間以内に監督機関へ詳細に報告しなければなりません。莫大な額の制裁金を科されることのないよう期限内に報告を行うために企業が取るべき対策を、このブログ記事では、技術的な側面、体制および手続き上の側面から説明します。

GDPRの概要

EU一般データ保護規則は、2018年5月25日に施行されたヨーロッパ連合のデータ保護法です。GDPRは、EU市民の個人情報を保護することを目的として、企業がそのデータを扱う際に遵守すべき規則を定めており、本人確認で使用するあらゆる情報をその対象としています。

これらの情報には、たとえば、従業員の個人情報、パートナー企業の個人情報、顧客の個人情報などがあります。GDPRでコアの概念となっているのは、データのプライバシーの保護は個人の権利であるという考え方です。

GDPRはEUの規則ですが、EU市民の個人情報を扱う組織であれば、その国籍に関係なくGDPRが適用されます。つまり、GDPRの効力は欧州域内にとどまらず、EU市民を顧客、クライアント、ユーザーに持つあらゆる企業が、その所在地に関係なくGDPRの影響を受けることになるのです。

また、EU域内以外の国も、GDPRほど包括的ではないものの、自国のプライバシー保護法をGDPRを基準に定めるものと予想されます。企業は今、GDPR対応の措置を取れば、個人情報を扱う将来の規制にも対応できるようになります。

GDPRにおいて重要となる要素の1つにデータの透明性があります。たとえば、企業のWebサイトであれば、そのサイトが訪問者からどのようなデータを集め、どのように使用しているのかを明確に示す必要があります。

収集したデータはマーケティングキャンペーンに使用すると曖昧に述べただけでは、GDPRの場合、不十分で、収集したデータを使って行う内容を正確に述べる必要があります。たとえば、メールキャンペーンでの利用や第三者への販売などといったことを行うのであればその旨を明確にします。

データの透明性の確保には、企業が収集した自身の個人情報をEUの市民がより適切に管理できるようにすることが意図されています。GDPRのもとでは、EUの市民は、企業が収集した自身の個人情報の提示や競合他社への譲渡、削除などを企業に求めることができます。

データが組織内でどのように流通しているのか把握すれば、組織のセキュリティ能力を高めることが可能です。たとえば、カスタマーサクセス部門の誰かが従業員の給与データにアクセスできるようになっていることがわかり、これが望ましい状態でないとしたら、このアクセスを遮断します。

データへのアクセスの許可を適切なユーザーだけに制限すれば、攻撃者から不正アクセスを受けるリスクを減らすことができます。また、組織内におけるデータの流通経路を把握していれば、仮に侵害が発生したとしても、GDPRが求める侵害報告の要件を満たすことが可能です。

数あるGDPRの要素のなかでも、組織の情報セキュリティプログラムに大きな影響を及ぼす可能性の高い要素となるのは侵害の報告です。いずれにせよ、侵害によって誰が影響を受けるのか、どのよう対策を採っているのかなどを含め、企業は侵害の詳細を3日以内に監督機関に報告しなければなりません。

この点が最も重要なポイントになります。

GDPRの遵守に向けた企業のセキュリティプラクティス強化の方法についてWebセミナーを開催したところ多数の質問を受けましたが、ここから判断すると、読者の皆様も同じ疑問を抱いているのではないでしょうか。サイバーリーズンのバイスプレジデント兼セキュリティおよび人事担当のShlomi Aviviが、こちらのブログ(英語)でGDPRの遵守に関するいくつかの質問にお答えしています。是非ご覧ください。Shlomi Aviviは、サイバーリーズンにおけるGDPR対応の体制を整備しました。

侵害発生時の監督機関への報告は短期間での対応が必要

データ侵害を受けた場合、その対応で企業はどのような影響を受ける可能性があるのでしょうか。これは、GDPRについて特に多く議論されている点の1つです。GDPRでは、データ侵害を受けた企業はその旨を、問題に気付いてから72時間以内に「監督機関」まで報告する義務があります。ここでの報告では、監督機関にただ侵害の発生を知らせるにとどまらず、その内容を詳細に伝えねばなりません。提供が必要な情報には、以下のようなものがあります。

  • 個人データが漏洩した被害者と侵害を受けた組織との関係。被害者は従業員か?あるいは、顧客、またはサードパーティのベンダーか?
  • 盗まれた情報の種類や盗まれた情報の規模。盗まれた情報は医療機関の受診記録か?それとも、銀行の口座情報やクレジットカードの番号か?あるいは、ユーザー名やパスワードか?
  • 組織内の情報セキュリティ責任者とはどのようにコンタクトを取っているか。情報セキュリティ責任者のいない組織の場合は、侵害に関する情報を提供できる別の人間を報告に記載する必要があります。
  • 侵害の結果予想される影響。侵害の結果、今後どのようなセキュリティ上の問題が発生すると予想されるか?銀行の口座情報が漏洩した場合、認証情報の不正使用による被害が発生するおそれはないか?漏洩したのがユーザー名やパスワードの場合は、ログイン情報が不正利用されてアカウントの侵害が発生する可能性はないか?
  • 問題修復の措置と影響緩和の措置の内容。脅威の拡大を抑え、脅威の影響を緩和するうえでどのような措置を行ったか、あるいは行う予定か?

これらの情報すべてをまとめるうえで非常に大きな負荷となるのは、影響のあったデータを72時間以内に特定する作業です。IT環境が複雑になっている現状を考えれば、これには少なくとも数日はかかります。

さらに侵害の検知の問題もあります。Ponemon Instituteによれば、2017年に米国の企業は侵害を検知するのに平均で191日かかっており、この事実を見れば、侵害の検知が組織にとって難題であるのは明らかです。ここで注意しておきたいのは、GDPRが対象としている情報はあくまで個人情報であるという点です。つまり、知的財産の漏洩に関するデータ侵害は報告の必要がありません。企業は一般に、以下の2つの理由から侵害の検知に時間を要しています。

  • セキュリティツールの提供する情報を活用してセキュリティチームが侵害を検知できる適切な管理体制やプロセスが欠如している。これには、セキュリティプログラムが生成したアラートに対応する方法を熟知したスキルの高いセキュリティアナリストを見つけるのが困難であるという課題も含まれます。この問題にはあるゆる組織が直面しています。
  • セキュリティツールが組織内に十分にいきわたっておらず、エンドポイントなど、適切な保護が行われていない領域で侵害が発生している。エンドポイントには、クレジットカード番号や銀行の口座情報、知的財産、その他の個人情報が存在するため、通常、攻撃者の究極の目的は、エンドポイントへの侵入です。一般にエンドポイントはアンチウイルスソフトウェアを実行しますが、ハッシュを変更して古いマルウェアを新しく見せ、アンチウイルソフトウェアの検知をすり抜ける手口を攻撃者が知っていたとしたら、アンチウイルソフトウェアではこのような攻撃者からコンピューターを守ることはできません。

しかし、GDPRの施行により、個人情報データを保護するうえで、組織は別のアプローチを取るようになるでしょう。GDPRでは、その趣旨として、プライバシーの保護を求めていますが、これにより、企業は、個人情報データを保護するためにセキュリティツールを導入しなければなりません。また、侵害が発生した際にこれを検知して侵害の影響範囲を特定できるようにするプロセスも必要になっています。

GDPRに違反した場合、すぐに制裁金を科されるわけではありませんが、EU域外の企業もGDPRへの遵守で危機感を抱いており、PwCが米国の多国籍企業200社を対象に行ったアンケート調査によれば、92%の回答者がGDPR対応の準備を最優先の課題に考えていると述べており、その対応に100万ドル以上を投資していると77%が回答しています。

侵害発生から72時間のうちに報告を完了するためには

技術的な側面からみた備え

3日間のうちに報告を完了するためには、侵害を検知できるテクノロジーが必要です。このテクノロジーには、EDRプラットフォームや振舞い検知ツール、SIEMなどのシステムが該当します。これらのツールがあれば、疑わしいパターンや侵害行為が発生したときに、それらを検知できます。

機密性の高いデータが存在する場所にはすべて、このようなツールを適用する必要があります。また、これらのツールでは、データを可視化したり、攻撃を時系列で把握したりできるほか、問題の影響範囲の特定が可能です。

つまり、あるサーバーで侵害が発生した場合、セキュリティチームは組織内のほかのマシンを調査して、これらのコンピューターやサーバーにラテラルムーブメントによる攻撃の被害が及んでいないか把握することができるのです。

限られた時間のなかで侵害に関する情報を広範に収集する必要があるので、手作業で調査の仕組を構築してそれを動かすといったようなことをしている余裕はありません。自動化されたツールを使って、情報収集と調査のプロセスを迅速化する必要があります。

体制および手続き上の側面からみた備え

いくら優れた検知ツールを用意しても、そこから得られた情報にもとづきどう行動すべきかわかる人間がいなければ、ツールの意味がありません。アラートの意味を理解しており、インシデントのトリアージや侵害の影響範囲の特定、攻撃の全容解明に精通したアナリストが組織には必要です。

しかし、GDPRに対応するうえで、その準備をアナリストだけに任せるわけにはいきません。GDPRを遵守するには、経営幹部に加え、マーケティング部門、法務部門などほかの部署からのサポートが必要です。

GDPRを遵守するための準備を企業における優先事項の1つにできる権限と予算があるのは経営陣です。GDPR対応の準備とコンプライアンスの遵守をビジネス上の重要な問題と捉えている役員は、GDPRには慎重な対応が必要であり適切なリソースを対応のために割り当てる必要があるとの考えを、従業員に示しています。

そして、ここで言う適切なリソースの配分には、攻撃の全容を時系列に把握できるEDRプラットフォームのようなセキュリティツールの購入予算を情報セキュリティ部門に割り当てることも含まれます。

さらに、法務部門は、GDPRに関する条項を、顧客との契約書やコンサルタントとの契約書に確実に盛り込む必要があります。また、企業の顧問弁護士は、サードパーティのベンダーにもGDPRを遵守させる必要があります。

GDPRでは、組織が外部に業務を委託している場合、その組織の責任のもとで、委託先業者にGDPRを準拠させなければなりません。一方、マーケティング部門は、企業Webサイトのクッキーを更新する必要があるほか、同意フォームにおいて、収集する個人情報の種類とその個人情報の利用目的を説明しなければなりません。

同時にマーケティング部門は、収集しているデータが実際に利用されているかどうかについても評価しなければなりません。そしてもしもデータが利用されていない場合は、データの収集を停止します。

GDPRの遵守において、サイバーリーズンのソリューションを活用する

GDPRの対応でパニックに陥る必要はありません。GDPRでは、この規則の遵守と個人情報の保護に向けてアクションを行っていることを示すよう組織に求めていますが、これはGDPRの重要なポイントの1つです。サイバーリーズンのソリューションを使用していればそれが、個人情報データの安全確保に取り組んでいる証になります。

データにもとづくセキュリティ

GDPRで基本的に重視しているのはデータの保護です。しかし、影響を受けたデータを判断する場合、どのセキュリティツールでもそれができるわけではありません。たとえば、アンチウイルスソフトウェアを例にとってみましょう。これらのプログラムは既知のマルウェアを検知、ブロックできますが、セキュリティインシデントの発生時にデータがリスクにさらされたかどうかを判断することはできません。

一方、Cybereasonプラットフォームは、データにもとづく保護が可能です。データに影響を及ぼした可能性のあるセキュリティインシデントを、振舞い分析を通じて自動的に検出します。たとえば、Cybereasonでは、DGA(ドメイン生成アルゴリズム)アクティビティを検知することができます。

このアクティビティは、攻撃者が侵入したネットワークとのあいだでコマンド&コントロール(C&C)の通信を行う際に不可欠なステップになります。C&Cの通信が行われているということは、組織のネットワークに攻撃者が侵入していることを意味し、攻撃者は個人情報データにアクセスしている可能性があります。このような情報をもとにインシデントの調査を行えば、組織が攻撃を受けているかどうか、個人情報データが危険にさらされているかどうかを判断できます。

さらに、Cybereasonプラットフォームは、悪意のあるPowerShellアクティビティを検知、ブロックすることも可能です。PowerShellはWindows環境で使用される強力なスクリプト言語ですが、攻撃者はこれを悪用してファイアウォールのような従来のセキュリティツールの検知を回避します。

PowerShellは管理者が使用する正規のツールであるため、セキュリティツールはそのコマンドを信用し、悪意のあるアクティビティを行う疑いがあるとは考えません。

しかし、悪意のあるPowerShellのアクティビティにフラグを付けることができれば、攻撃者が組織の環境内に侵入した場合にこれを検知することが可能になり、個人情報データにリスクが生じているとわかります。

Cybereasonでは、悪意のあるPowerShellを自動で検知でき、アナリストはCybereasonで得られた情報を足掛かりとして、個人情報データにどのような影響が生じているのかをさらに詳しく調査することが可能です。

攻撃の時系列分析と影響範囲の特定を自動化する

GDPRでは、侵害が発生した場合にその旨を報告するよう企業に求めていますが、これは、企業のセキュリティチームが攻撃の全容を完全に把握できなければならないことを意味します。

Cybereasonは、エンドポイントのデータを自動的に収集し、このデータをカスタム構成のインメモリグラフで分析して悪意のある振舞いを検出し、これにより、攻撃の全容を明らかにします。

組織内にあるあらゆるエンドポイントを活用して、一見無関係に見えるイベントを関連付け、攻撃の全体像がわかるようにします。攻撃の全体像が掴めれば、セキュリティチームは脅威に対して完全な対応措置が取れるようになり、攻撃者がネットワーク内にとどまり続けるリスクや新たな攻撃のリスクが減り、この結果、データの安全性も高まります。

また、Cybereasonは、アナリストが攻撃の影響範囲を特定するうえでも役立ちます。このプラットフォームでは、アナリストは、影響を受けたマシンやユーザー、攻撃の経緯を自動的に把握することができ、これをもとに、問題に対処することが可能です。

なお、GDPRでは、これらの情報をすべて報告する必要があります。セキュリティチームはこれらの情報を、直感的に操作できる単一のインターフェースで確認できます。このインターフェースでは、経験の浅いアナリストでも、攻撃の影響範囲を把握でき、ツールを複数使用せずにすばやく問題に対処することが可能です。

サイバーリーズンのEDRプラットフォームを利用すれば、アナリストはエンドポイントの状態を詳細に把握できるようになり、保存している個人情報データのセキュリティを高められるほか、企業がGDPRを遵守すべくアクションを取っていることを示せます。

ホワイトペーパー「GDPRへのコンプライアンス強化とセキュリティ対策の促進」

GDPR(General Data Protection Regulation)の侵害通知義務は、は、企業の情報セキュリティプログラムに影響を与える可能性があります。

GDPRの下では、侵害が検出された場合、企業はどのタイプのデータが盗まれたか、誰が影響を受けたか、どのような改善策が取られたかなど、そのインシデントの詳細を72時間以内に監督機関に通知する必要があります。

本資料では、この期限を守り、GDPRの多額の罰金を回避するために、企業に求められる技術的および手続的な手段を紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/2364/

GDPRへのコンプライアンス強化とセキュリティ対策の促進