CASBWGリレーコラム(第3回)「GDPRとCASB」

GDPRCASB

CASBワーキンググループ
橋本 知典

 EU一般データ保護規則(General Data Protection RegulationGDPR)は2018525日から施行される。今回はCASBGDPRで対応できる支援領域や機能等を紹介していく。

 GDPRは簡単に言うとEUの個人情報保護法であり、EU内だけではなく日本企業においても影響があり、EUに支店、営業所や子会社を有していたり、日本からEUにサービス(商品)提供をしている場合は対象となる。罰金が非常に高く、関連する日本企業は施行に向け対応に追われている状況である。企業が使用しているクラウドサービスプロバイダーもGDPRの範囲内となり、企業とクラウドサービスプロバイダー間のデータの安全性、情報漏えい防止対策(DLP)を実現するにあたり、CASBが監査や企業のデータ保護にどのように役立つかを紹介する

■CASBが提供するGDPR対応支援領域

  • クラウドサービスにアップされている個人情報の把握ができる。
    個人を特定することができるデータ(名前、住所、電子メール、電話番号、パスポート番号など)の保護をするために必要なのは、それがどこにあるのかを特定することである。CASBは、さまざまなクラウドアプリケーションに対して、転送中のデータと既にクラウドアプリケーションに格納されているデータの両方をスキャンできる。
  • クラウドサービス内個人情報の保護ができる。
    機密データがどこにあるのかを特定したら、機密データの制御を考える。CASBには、個人情報、アンマネージドデバイスからのアクセスの制御、外部共有の制御、ダウンロード時のデータ暗号化などのさまざまなポリシーがある。これらのポリシーはすべて、違反のリスクを軽減することが可能である。
  • 利用されているクラウドサービスとその特性の把握ができる。
    クラウドサービスプロバイダーがGDPRに対応できているか、その他コンプライアンスに準拠しているかをCASBのクラウドサービスデータベースを確認することで把握ができる。
  • 認めていないクラウドサービスへの個人情報の保存を防げる。
    組織が把握していないクラウドサービスは制御できず、GDPR違反のリスクがある。CASBを使用すると、認可されていないクラウドサービスの利用を可視化して特定し、個人情報を保存してしまうケースをリアルタイムに防いだり、監視してアラートとして検知できる。また認めているクラウドサービスから認めていないクラウドサービスへのデータの移動も脅威として検知することができる。
  • リスクのある行動の監視
    CASBではリスクの高いクラウドサービスの利用等、ユーザがリスクのある行動をした場合、分析して脅威としてアラートを通知できる。GDPRの違反に該当するような脅威の兆候を可視化し、アラートとして通知され、違反に該当する行動を監視して停止することができる。

■CASB製品での機能例

  • 通信途中、およびクラウドアプリ内保存済みデータのスキャン
  • 該当データの保護機能 (共有禁止、削除、暗号化等)
  • クラウドサービスデータベース にてクラウドサービスごとのGDPR対応能力ランクを提示
  • GDPR対象データを検出するDLPテンプレートや関連するDLPテンプレートを提供
  • その他個人情報関連テンプレートを広範に提供
  • アノマリー検知を行い、リスクを表示

1 GDPR対応能力ランク

  以上のように、GDPRCASBが対応でき、監査としての機能が備わっていることが分かる。クラウドサービスプロバイダーとクラウドサービスカスタマーは、データ管理と保護に関するGDPRの重大な影響を認識し、違反を起こさないようにしなければならない。クラウドサービスは多くの組織に存在し、個人情報の追跡、管理を困難にしている。CASBを利用してGDPRの監査や対応を進めてみてはいかがだろうか。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*