コンプライアンスは進化しています — あなたのレジリエンスは万全ですか?
NIS2やDORAは、より幅広い業界に対して大きな責任を課しています
10年前、私たちが重視していたのは、組織が個人データの収集において透明性を持ち、慎重に考慮し、個人データの取り扱いに関する選択肢を提供し、データを細心の注意を払って保護し、万一漏えいが起きた場合の義務やベストプラクティスについて助言することでした。
現在もこれらは引き続き重要ですが、改正ネットワークおよび情報セキュリティ指令(NIS2)のような新しい規制が登場したことで、サイバーセキュリティに関する規制環境は大きく変わりました。いまや私の役割は「個人データをプライベートに保つこと」にとどまらず、「そのデータを処理するサービスの完全性や可用性をどう守るか」まで広がっています。そのため私は、Cloudflareの製品チームやエンジニアリングチームと共に、サービスの可用性やレジリエンスに関する課題に多くの時間を費やしています。私たちは、障害の影響を測定する方法を開発したり、報告すべきインシデントを特定したり、必要に応じて報告や対応の内容を実際に作り上げたりしています。
プライバシーとコンプライアンスの世界で変化を感じているのは、私だけではありません。国際プライバシー専門家協会の2024年プライバシーガバナンスレポートによると、プライバシー専門家の80%以上が、従来のプライバシー業務を超えた業務を任されています。その中でも「サイバーセキュリティ規制への対応」は、職務範囲が拡大している回答者の間で2番目に多い新たな責任となっています。私たちは今、プライバシーの保護だけでなく、サイバーリスクを減らし、組織のレジリエンスを高めることが求められているのです。
新しい規制への対応
このプライバシー専門家の役割の変化は、データ規制環境の大きな転換を示しています。過去2年間で相次いで施行された新しい規制により、コンプライアンスにおいては、従来のデータプライバシーと同じくらいレジリエンスとリスク管理が不可欠なものとなりました。
欧州連合の一般データ保護規則(GDPR)を始まりとする主要なデータプライバシーおよびセキュリティ規制の最初の波は、個人データが侵害されることによる被害から人々を守ることに重点を置いていました。GDPRやカリフォルニア州消費者プライバシー法などの規制に準拠することは、データ主体の権利を尊重し、組織が収集する個人データの量を制限し、収集する個人データを最小限にとどめ、不正な開示や攻撃者から守ることを意味していました。
2023年以降に施行された新たな3つの規制である、「改正ネットワークおよび情報セキュリティ指令(NIS2)」、「デジタル運用耐性法(DORA)」、「米国証券取引委員会(SEC)のサイバーセキュリティ規則」は、コンプライアンスの変化を象徴していますヨーロッパでは、NIS2が18のセクターにおけるデジタルレジリエンスとセキュリティの実践を向上させることを目指しており、DORAは金融セクターにおけるITリスク管理に焦点を当てています。SECの新しい規則は、アメリカの上場企業に対するセキュリティと報告基準を引き上げます。
NIS2はヨーロッパ全体の多くの産業をカバーしているため、3つの中で最も広範な影響を与える可能性があります。NIS2は組織に対して、より徹底的なリスク評価、迅速なインシデント対応、そして事業継続の確保を求めています。
NIS2は、組織に対して以下の事項に取り組むことを求めています。
環境全体のすべてのIT資産を可視化することで、包括的なリスク評価と積極的なインシデント対応を可能にすること。
重要なシステムを支えるソフトウェアサプライチェーンのセキュリティ。
ネットワークおよび情報システムのライフサイクル全体にわたるセキュリティ。
サードパーティの脅威に対するミッションクリティカルなWebアプリケーションの脆弱性。
さまざまなユーザー、デバイス、システムに対する暗号化、アクセス制御、認証。
NIS2は、前身であるネットワークお��よび情報セキュリティ指令(「NIS」)よりも多くの業界や組織に対して、セキュリティ、プライバシー、レジリエンスの要件を課しています。NISは、エネルギー、交通、銀行・金融、水道、医療などの重要な国家インフラを担ういくつかの分野に適用されていました。NIS2では、これに加えて、下水処理、宇宙産業、公共行政、およびマネージドB2B ITサービスが対象となります。また、「important(重要)」カテゴリーに、廃棄物管理、食品加工、研究、郵便・宅配サービス、化学製品の生産と流通、特定の製造業種の6つの新しい業種が追加されました。
両カテゴリの企業は基本的な要件は同じですが、NIS2はessential(必要不可欠)部門の組織に対してコンプライアンスを積極的に実証することを義務付けています。NIS2の要件は対象組織だけでなく、同組織が利用するサードパーティのデータ処理業者にも適用される点です。
NIS2の下では、EU内の「essential(必要不可欠)」または「important(重要)」部門に属する中規模組織(従業員50名以上または年間売上高1,000万ユーロ以上の企業)は、厳格なセキュリティ基準の対象となります。遵守しなかった場合の影響は非常に大きく、「essential(必要不可欠)」部門の企業では世界売上高の最大2%、「important(重要)」部門では1.4%の罰金が科される可能性があります。さらに、コンプライアンス違反が継続すると、サービスの停止や責任者の処分につながる可能性があります。
その結果、より多くの業界の企業が厳格なセキュリティおよびレジリエンス基準の対象となります。そして、プライバシーチームは、その要件を満たす上で重要な役割を果たします。
既存のプライバシー投資を基に構築する
NIS2の対象となる多くの組織は、厳しいサイバーセキュリティ規制に初めて対応しています。しかもそれは、オンプレミス、ハイブリッドクラウド、エッジデバイスといった複雑なIT環境を運用しながら行わなければなりません。
NIS2は、対象事業体が実施すべき10のリスク(サプライチェーンの脆弱性や自然災害、ネットワーク障害、人為的ミスなど、幅広いリスクの評価と計画などを含む、物理的な世界とデジタルの世界の両方にまたがる複雑なリスク)に対する管理措置を示しています。
しかし朗報があります。対象となる組織や、対応に追われるプライバシー担当チームにとって、多くの場合すでに整備してきた成熟したプライバシープログラムを、サイバーセキュリティ規制への対応にも活用できるのです。
例えば、NIS2のリスク評価義務では、対象企業がIT資産のすべての資産をリスト化することを要求しています。金融業界の企業については、DORAも同様の要件を課しています。プライバシー目的で作成された既存のデータマップは、組織が自社の資産とそれに伴うリスクを理解する上で、良い出発点となります。
プライバシーチームは、NIS2やその他の新しい規制のインシデント対応要求に応える上で重要な役割を果たします。例えば、インシデントが報告の閾値に達したかを判断したり、可観測性チームと協力して、規制当局や公衆に共有すべきデータを確保します。
複雑さを増さずにコンプライアンスを達成する
基盤がどれだけしっかりしていても、NIS2の要件を満たすには新たな技術的課題があります。多くの企業にとって、事業の継続性はWebアプリケーションの継続的な可用性にかかっています。つまり、ネットワーク層、トランスポート層、アプリケーション層に対する分散型サービス拒否(DDoS)攻撃からの保護が必要です。
対象企業は、自社で利用するサードパーティアプリやスタックの基盤となるソフトウェアサプライチェーンのセキュリティに対して、新たに高い責任を負うことになります。違反した場合の厳しい罰則により、フィッシングやマルウェア攻撃の事前予防、アクセス制御と管理、暗号技術、暗号化、多要素認証(MFA)の適切な使用といった、サイバーセキュリティの基礎がこれまで以上に重要になっています。
これらの課題に対処できる単一のシステムやソフトウェアは存在しません。重要なのは戦略であり、技術、方針、手順、創意工夫を組み合わせることが求められます。しかし、ツールも重要です。変化する規制環境に適したセキュリティソリューションを選択することで、コンプライアンス対応の複雑さとコストを削減することができます。
ここでは、NIS2に基づいてサイバーセキュリティソリューションを評価する際に考慮すべき3つの重要な質問を紹介します。
これらのソリューションに、複雑なIT環境に対応できる柔軟性はあるか?一部のポイントソリューションはNIS2の特定の要件には適していますが、複数をハイブリッド環境で組み合わせると管理が複雑になり、セキュリティギャップが生じる可能性があります。
可視化が簡単になるか?NIS2準拠には、IT資産のインベントリ化、潜在的なセキュリティ問題の特定、脅威の迅速な調査が不可欠です。適切なセキュリティプラットフォームは、オンデマンドの可視性とレポートを提供します。
事業継続性を考慮して構築されているか?Webアプリケーションの中断は、重要なサービスを脅かします。攻撃に対する多層防御でWebのダウンタイムを短縮するソリューションを探してください。
Cloudflareのコネクティビティクラウドは、セキュリティとネットワーキングサービスを統合したインテリジェントなプラットフォームで、組織のレジリエンス強化や既存・新規のセキュリティ規制への対応を支援します。このプラットフォームは、NIS2、DORA、SECサイバーセキュリティ規則の報告要件に必要な、セキュリティインシデントのプロアクティブな監視やアラート機能を提供します。Cloudflareサービスは、組織がソフトウェアサプライチェーンの潜在的な脆弱性を特定し、Webトラフィックをスキャンして機密データや悪意のあるユーザーを検出するのに役立ちます。当社の製品には最先端の暗号化が標準装備されており、ご自身でアクセス制御、アセット管理、認証を設定することも可能です。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズ��の一環です。
このトピックを深く掘りさげてみましょう。
NIS2コンプライアンスの厳格なリスク管理要件を満たす方法について詳しくは、ホワイトペーパー「EUにおけるNIS2のサイバーセキュリティリスク管理義務への対応」をご覧ください。
著者
Emily Hancock — @emilyhancock、
Cloudflare最高個人情報責任者
記事の要点
この記事では、以下のことがわかるようになります。
変化する規制の中でのプライバシーの役割
NIS2、DORA、SECのサイバーセキュリティ規則などのポリシーによって、コンプライアンスとしてのレジリエンスが必須要件として重視されるようになった理由
複雑さを増すことなくコンプライアンスを達成する方法