シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

close search bar

申し訳ありませんが、この言語ではまだご利用いただけません

close language selection

機微データ保護に関するCISO向けガイド

Masato Matsuoka

Feb 07, 2022 / 1 min read

同社独自のソフトウェア更新プロセスを介して18,000を超える顧客に配信された、SolarWindsソフトウェアのサプライチェーン攻撃は、SolarWindsのOrionネットワーク監視ソフトウェアに導入された悪意のあるコードに起因するものでした。The Wall Street Journal は、攻撃によって企業および個人の機微データへの潜在的なアクセスをハッカーが得ることになったと報告し、The Verge は、「9つの連邦機関と約100の民間企業が侵害された」と報告しました。

SolarWindsサプライチェーン攻撃からの気づき

サプライチェーン攻撃は目新しいものではありませんが、サプライチェーン攻撃のニュースが増えてきていることもあり、組織がサプライチェーンのリスクをより綿密に調べるための重要なリマインダーになっていると言えるでしょう。これは、商用ソフトウェアの提供者(他の組織または一般の人々のために製品やサービスを開発・提供する企業)とソフトウェアサプライチェーンの消費者(さまざまなサードパーティの材料、製品、サービスを利用する企業)の両方に当てはまります。最近の攻撃からの気づきは次のとおりです。

  • ソフトウェアの提供者は、開発環境とDevSecOpsプロセスを最新化して保護する方法を改善する必要があります。
  • ソフトウェアの消費者は、信頼できる提供者/サードパーティの認定された合法的なサプライチェーンのソフトウェアを使用していることを確認する必要があります。また、ソフトウェアの受け入れ基準を改善する必要があります。
  • 企業は、ますます高度化するサイバー攻撃から身を守るために、システムとソフトウェアの設計と実装の方法を再評価する必要があります。

これは、機微データの保護と、アプリケーションのセキュリティに重点を置いて組織が機微データと企業の知的財産をより適切に保護する方法に焦点を当てた一連のブログ投稿の最初のものです。

コラボーレションにはデータ保護が必要

CISOの主な責任の1つは、自社の重要なデジタル資産を保護することです。これには、独自のソースコードやその他の特許技術や機密情報などの企業の知的財産が含まれる場合があります。ただし、プライバシーと規制に関する法律や基準が新たに登場したため、CISOとデータ保護責任者は、ユーザーデータ(個人識別情報(PII)、個人健康情報(PHI)、およびペイメントカード業界(PCI)データ)も保護する必要があります。

これらの新しいプライバシー法は、ユーザーデータの使用、保持、および地理的居住に関する制限を強化しています。また、多くの組織がこのデータを保護し、内部およびこのデータを処理するサードパーティベンダーとの両方で使用する必要があります。CISOは、データ保護、プライバシー保護、ITインフラストラクチャ、コンプライアンス、およびソフトウェア開発において同僚と協力して、これらのデータ保護およびプライバシーに関する法律、標準、およびガイドラインへの準拠を確保する必要がありますが、ハイブリッドクラウドとマルチクラウドサービスの出現と採用がデータセキュリティに新たな課題をもたらしています。その他の要因(データの地理的な起源、ストレージの場所、ユーザーアクセスの場所のポイント)は、サービスプロバイダーと主要なクラウドインフラストラクチャプロバイダーがデータを保護するために必要なことをさらに複雑にします。

消費者はデータのプライバシーを心配している

消費者は、個人情報がどのように使用されるかについてより慎重になっています。全米州議会議員会議は、Pew Research Centerのレポートを引用して、次のように述べています。「アメリカ人の80%以上が、毎日オンラインにアクセスしていると言っています。 これらのうち、28%はほぼ常にオンラインになり、45%は1日に数回オンラインになります。消費者は、企業、ソーシャルメディアサイト、およびその他のWebサイトが個人情報を収集し、第三者と共有する可能性があることを今まで以上に認識しています。また、セキュリティ侵害、サイバー攻撃、個人情報の不正共有についても耳にします。」

同様に、Entrustが実施した米国と英国の1,000人の消費者の調査によると、消費者の79%がデータのプライバシーについて懸念しており、64%が過去12か月で懸念が高まっていると述べています。Security Boulevardの記事によると、消費者の懸念が高まった主な理由は、データ侵害に関するニュース記事とソーシャルメディアでのターゲット広告の増加でした。

digital commerce gartner

最近のリモートワークの急増により、従業員データのプライバシーに関する懸念も高まっています。

「およそ2年前には、ほとんどの企業にはプライバシーの専門チームがほとんどありませんでした。法務部に属していたからです」とシスコのデータプライバシー担当ディレクターであるロバートウェイトマンは述べています。

「しかし、パンデミックのためにリモートワークに移行するにつれて、プライバシーはより重要になりました。これは主に、従業員が利用可能なツールのプライバシーと企業が安全な職場を提供する必要性に不快感を覚えたためです。」

データ保護におけるアプリケーションセキュリティの役割

アプリケーションのセキュリティがデータとプライバシーの保護にどのように関係しているかを理解することが不可欠です。多くの業界でデジタル・トランスフォーメーションが推進されているため、組織はウェブサイトを通したビジネスのデジタル化を推進し、競合他社よりも迅速に新しい顧客を獲得して維持することが当たり前になりつつあります。これは、モバイルやウェブアプリケーションとウェブサイトの使用が大幅に増加している金融サービス業界ヘルスケア、eコマース/小売市場セグメントに特に当てはまります。ただし、これらのWebサイトとアプリケーションは、ダークWebで収益化できる機微なユーザーデータを含む組織のデータベースへのアクセスに、それらを悪用するハッカーの攻撃ベクトルとしても機能します。

このホワイトペーパーでは、最近のプライバシー法の概要を示し、さまざまなフレームワークとセキュリティツール(アプリケーションセキュリティツールを含む)がデータ保護とプライバシーの確保にどのように役立つかについて説明します。ソフトウェアセキュリティサービス、アーキテクチャ・リスク分析、セキュリティとシステムエンジニアリングの両方の観点からの新しいシステムの脅威モデリングも同様に重要です。CISOは、ソフトウェアアプリケーション開発、サードパーティアプリケーション調達、およびシステムエンジニアリングの責任者と協力して、コストのかかるデータ侵害につながる可能性のある潜在的なサイバーセキュリティ攻撃から機密データをより適切に保護する必要があります。たとえば、SolarWindsソフトウェアのサプライチェーン侵害は、ソフトウェア開発ライフサイクルの各段階を通じて、DevSecOpsプロセス、機密管理、機微データの検出を改善する緊急の必要性を示しています。

Continue Reading

トピックを探索する