クラウド、位置情報サービスからソーシャルネットワーキングに至るまで、グローバル化と急速な技術発展は、民間企業や公的機関が収集し共有する個人データの規模を著しく増大させた。
GDPRは、1995年に制定されたEUデータ保護指令に代わり、2018年5月25日に施行される。GDPRはEUデータ保護規則を近代化し、現在EU加盟28カ国で施行されている国内法の寄せ集めに代わって、単一の調和されたEU法を確立するものである。
欧州委員会の司法・消費者局によると、GDPRによって法的な複雑さが軽減され、企業がEU全域で事業を展開しやすくなる結果、年間23億ユーロの経済効果がもたらされると推定されている。
GDPRは、各EU加盟国が管理監督当局を任命し、現地で実施される。また、この法律は、商品やサービスの提供に関連してEU市民のデータを保有または処理する組織や、EU域内の個人を監視する組織であれば、その組織がどこに拠点を置いているかにかかわらず適用されるため、その影響はEUの国境を越えて及ぶことになる。
Vectra AIはサイバーセキュリティチームを補強し、GDPRの遵守に必要な主要な技術的能力を提供する。
GDPRの概要:主な機能とメリット
GDPRの主な特徴は以下の通り:
- EU居住者の個人データは、それがEU域外であっても、どこに送られ、処理され、保管されるかにかかわらず、保護される。「個人データ」とは、特定または識別可能な自然人に関するあらゆる情報を意味する。
特定可能な自然人とは、直接または間接的に、特に、氏名、識別番号、位置情報、オンライン識別子などの識別子、またはその自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、社会的アイデンティティに固有の1つまたは複数の要素を参照して、特定できる自然人を指します。 - 組織は、個人データを収集し処理するために、個人から明示的かつ十分な説明を受けた同意を得る必要がある。
- 個人は、あるプロバイダーから別のプロバイダーへのデータポータビリティ、個人データの消去、およびプロファイリングの目的でのデータ使用に反対する権利を得る。
- 自分のデータがハッキングされた場合、個人はそれを知る権利がある。リスクの高い場合(例えば、個人情報の盗難が懸念される場合)、企業や組織はデータ侵害を72時間以内に個人に通知しなければならない。
個人情報漏えいとは、送信、保存、またはその他の方法で処理された個人情報の偶発的または違法な破壊、紛失、改ざん、不正な開示、または個人情報へのアクセスにつながるセキュリティ違反のことである。 - ワン・ストップ・ショップ」原則の下では、複数のEU加盟国に子会社を持つ企業は、本社を置くか、主要な事業所を置く国の監督当局とだけ取引すればよいことになる。
- EU内で商品やサービスを提供したり、EU居住者の行動を監視したりする場合は、EUに設立されているか否かにかかわらず、いかなる組織もEUデータ保護法を適用しなければならない。
- データ処理者および管理者は、適切な保護措置を講じ、個人が強制力のある権利および法的救済手段を有する場合に限り、EU域外にデータを移転することができる。
処理者とは、管理者に代わって個人データを処理する自然人または法人、公的機関、代理店、その他の団体をいう。
管理者とは、自然人または法人、公的機関、代理店、その他の団体であり、単独で、または他者と共同で、個人データ処理の目的と手段を決定します。 - GDPRの監督当局は、書面による警告、監査、および最高2,000万ユーロまたは全世界の年間収益の4%のいずれか大きい方の罰金を含む、さまざまな制裁措置を自由に講じることができます。以下のセクションでは、GDPRのデータ保護と影響評価の側面を強調し、VectraAI主導の脅威検知およびレスポンス プラットフォームがGDPRコンプライアンスにどのように貢献し、組織のネットワーク全体で継続的かつ自動化された脅威の監視と検出を提供することによって個人データの保護に役立つかを詳しく説明します。ネットワーク内の隠れたサイバー攻撃者の追跡を自動化し、アクティブな脅威を阻止するための迅速なインシデントレスポンス を可能にすることで、Vectraは数週間から数カ月かかる作業を数分に凝縮し、セキュリティチームがデータの盗難や被害を防ぐために迅速に行動できるようにします。
GDPRデータ保護の主な要件
GDPRは、権利と責任を網羅する強固な規制であり、これには、組織が "設計によるデータ保護 "と "デフォルトによるデータ保護 "を提供するという広範な要件が含まれる。
つまり、組織は、業務にセキュリティを設計し、ソーシャルネットワークやモバイルアプリなど、データ保護のセーフガードやプライバシーに配慮した初期設定が組み込まれた技術やサービスを利用することが求められている。
GDPRは、リスクに応じてどのようなセキュリティ対策が適切と考えられるかについて、具体的な示唆を与えている:
- 個人データを暗号化し、匿名化し、または個人名の仮名として数字やその他の識別子を使用すること。
- 処理システムとサービスの継続的な機密性、完全性、可用性、回復力を確保すること。
- 物理的または技術的な事故が発生した場合、個人データへの可用性とアクセスをタイムリーに回復すること。
- 処理の安全性を確保するための技術的および組織的措置の有効性を定期的にテストし、評価し、評価すること。
さらにGDPRでは、データ保護責任者(DPO)の指定が求められている。この役割を担う個人は、組織内でのデータ保護の実施、遵守、報告に責任を負います。DPOは他の業務や義務を果たすこともあります。例えば、情報セキュリティ最高責任者もDPOになることができます。
Vectra AIがGDPRへの対応を支援
GDPRを遵守するには、適切なテクノロジーとプロセスを導入する必要があります。Vectra AIはサイバーセキュリティチームを補強し、GDPRの遵守に必要な主要な技術的能力を提供する。
Vectra AI は、継続的なノンストップのネットワーク・トラフィック監視、リアルタイムの脅威検知、トリアージ、インシデント報告を提供することで、データ保護をサポートします。Vectra AI 人工知能と攻撃者振る舞い アナリティクスを使用して、クラウド、データセンターのワークロードからユーザーやIoTデバイスまで、企業ネットワーク全体でアクティブなサイバー脅威を自動的に追い詰めます。
Vectra AIは、通常ティア1のサイバーセキュリティアナリストやインシデントレスポンス チームが担当する労働集約的なタスクの多くを自動化します。これらの作業を自動化することで、Vectra AIは、脅威の調査に費やす時間を最大90%劇的に削減し、セキュリティチームがデータ損失の防止と軽減に集中できるようにします。Vectra AI駆動型プラットフォームの主な機能は以下の通り:
- ラップトップ、サーバー、プリンター、BYOD、IoTデバイスなど、IPアドレスを持つ物理ホストと仮想ホスト間のインターネット接続トラフィックと内部ネットワーク・トラフィックを含むすべてのネットワーク・トラフィックを、デバイスの種類、オペレーティング・システム、アプリケーションに関係なく、継続的に監視および分析します。
- ディープ・パケット・インスペクションを実行するのではなく、パケットからメタデータを抽出することによって、ネットワーク・トラフィックをリアルタイムで可視化し、個人情報や機密性の高いペイロード情報を詮索することなく保護することができます。
- トラフィックが暗号化されているかどうかにかかわらず、隠れた未知の攻撃者を検出する振る舞い検出アルゴリズムで、キャプチャされたパケットのメタデータを分析する。
- リモートアクセス型トロイの木馬の使用、暗号化トンネル、ボットネット行動、ランサムウェア、内部攻撃者、標的型事前脅威などの攻撃行動を決定論的に特定します。
Vectra AIは、コマンド・アンド・コントロール(C&C)、内部偵察、横の動き 、そしてGDPRにとって重要なデータ流出行動など、攻撃のすべてのフェーズにわたって、時間をかけて脅威を持続的に追跡します。 - 攻撃を受けているホストデバイスと脅威の自動相関、ホストのコンテキスト、パケットキャプチャ、脅威の深刻度、確信度スコアを含む脅威検知の詳細。
- 高度なスキルを持つセキュリティリサーチャー集団であるVectra Threat Labs™の活動や、ローカル環境とグローバルトレンドから常に学習する振る舞い 検出アルゴリズムを活用した反復的な改善プロセスを通じて、適応力のあるサイバーセキュリティをサポートします。
Vectra AIはGDPRの主要要件をどのようにサポートしているか
以下の表は、Vectra AIがGDPR要求事項の特定の要素に対処するために組織を支援する様々な方法の詳細です。
GDPR関連記事 |
Vectra AI能力 |
第25条デザインおよびデフォルトによるデータ保護 |
|
1. 技術の現状、 実施のコスト、および処理の性質、範囲、文脈、 目的、ならびに処理によってもたらされる自然人の権利および自由に対する様々な 可能性および重大性のリスクを考慮し、管理者は、 処理手段の決定時および処理自体の両方の時点において、 実施しなければならない、
データ最小化などのデータ保護の原則を効果的な方法で実施し、この 規則の要件を満たし、データ対象者の権利を保護するために、 処理に必要なセーフガード を統合するように設計された、 仮名化などの適切な技術的および組織的手段を実施する。2管理者は、既定により、処理の各特定目的( )に必要な個人データ( )のみが処理されることを保証するための適切な技術的および組織的措置( )を実施するものとする。 この義務は、収集された個人データの量( )、処理の範囲、保存期間( )、およびアクセス可能性に適用される。特に、 そのような措置は、デフォルトで個人データが 不特定多数の自然人に対して本人の介入なしにアクセス可能にならないことを保証するものとする。
|
Vectra AIは、 当事者間で、 確立された慣行に違反する、または一致しない方法でデータが転送された場合、 サイバーセキュリティ・スタッフに警告することで、データ取り扱い標準の実施を支援する。
これは、標準的なネットワーク動作をベースライン化し、 その後、 ホスト間で、データ移動の量や頻度など、データの異常な移動を監視することで達成される。
異常な移動が検出されると、Vectra AIは、 データを送信しているホスト、データを送信している場所、データ量、送信に使用された技術 についての洞察を提供する。
さらに、Vectra AIは、データ ペイロードではなく、ネットワークパケットヘッダーに焦点を当てることで、データ 暗号化と仮名化の要件(設計によるデータ保護) をサポートし、あらゆる形式のデータ復号化、 データルーティング、または侵入的なデータ監視/処理 技術の必要性を否定する。
|
Vectra AIは、当事者間で確立された慣行に違反する、または一致しない方法でデータが転送された場合、サイバーセキュリティスタッフに警告することで、データ取り扱い基準の実施を支援する。
GDPR関連記事 |
Vectra AI能力 |
第32条処理の安全性
|
|
1. 自然人の権利および自由に対する様々な 可能性および重大性のリスクだけでなく、 実施の現状、コスト、および処理の性質、範囲、文脈、 目的も考慮に入れ、管理者および処理者は、 適切な技術的および組織的措置を実施し、 リスクに適切なセキュリティレベルを確保するものとする。これには特に、 以下を適宜含む: A.個人データの仮名化および暗号化 2016.5.4 L 119/51 Official Journal of the European Union EN; B.処理 システムおよびサービスの継続的な機密性、 完全性、可用性および回復力を確保する能力; C.物理的な または技術的なインシデントが発生した場合に、 個人データへの可用性およびアクセスを適時に回復する能力; D.処理の安全性を確保するための技術的および組織的措置 の有効性を定期的にテスト、評価、 するプロセス。 |
侵害の指標についてネットワークを常時監視することで、Vectra AIは、 GDPR対策の一環として、組織が防御技術ソリューションの 有効性を検証するのに役立ちます。
Vectra AIは、C&C、内部偵察、横移動、 データ統合などの脅威の前兆行動 に関するアラートを提供することで、セキュリティ担当者が 防御を突破しているものを確認できるようにします。
Vectra AIは、 検知 、ランサムウェア、その他のmalware 亜種、および標的型 悪意のある活動に対する複数の早期警告機会を提供し、ウイルス対策ソフトウェアを実行していない デバイスを含む、あらゆるネットワークデバイスに対するデータの盗難、操作 または破壊攻撃に先行する可能性がある。
同様に、Vectra AIは、内部のKerberosインフラストラクチャ およびシステム管理ツールを追跡し、通常の使用 行動を理解し、検知 信頼されたユーザー資格情報が不正な内部者または外部の攻撃者によって侵害された場合 を把握する。
これらの行動には、管理者 資格情報の誤用や、IPMI などの管理プロトコルの悪用が含まれる。 その結果、セキュリティチームは 攻撃をタイムリーに特定し、緩和することができる。
さらに、Vectra AI は、組織が 適切な技術的手段を講じていることを証明するのに役立つ。例えば、 Vectra AIによる自動検出、トリアージ、脅威の優先順位付け をトリガーとして、セキュリティ・チームにリアルタイムで通知する。
通知では、各攻撃の 検出について簡潔な説明を提供する。これには、検出の原因となった基礎的なイベントや履歴コンテキスト 、可能性のあるトリガー、根本原因、 ビジネスへの影響、検証手順などが含まれる。 |
Vectra AIは、脅威の前兆となる行動に関するアラートを提供することで、セキュリティ担当者が防御をすり抜けようとしているものを確認できるようにする。
GDPR関連記事 |
Vectra AI能力 |
第33条 、監督当局への個人情報漏えいの通知 |
|
1.個人情報の漏えいが発生した場合、管理者は、 、過度な遅滞なく、また可能な場合は、それを認識してから遅くとも72時間以内に、 、 、個人情報の漏えいが 、自然人 の権利および自由に対するリスクにつながる可能性が低い場合を除き、 、第55条に従って管轄する監督当局に通知するものとする。
監督当局への通知が72時間以内に行われない場合は、遅延の理由( )を付記するものとする。
2.処理者は、個人データ漏えいを認識した後、不当な遅延なく管理者に通知するものとする
3. 第 1 項の通知は、少なくとも次の事項を記載するものとする: A. 可能な場合、 、関係するデータ主体の区分およびおおよその数 、関係する個人データ記録の区分およびおおよその数 を含む、個人データ漏えいの性質を記載する; B.データ保護責任者( )の氏名および連絡先、または より詳細な情報を入手できるその他の連絡先の詳細を伝える; C. 個人情報漏えいがもたらすと思われる結果を説明する; D.個人データ漏えいに対処するために管理者が講じた、または講じることを提案した措置の記述
必要な場合は、その 起こりうる悪影響を軽減するための措置を含む
4. 情報を同時に提供することが不可能な場合、およびその限りにおいて、情報は さらに不当に遅延することなく段階的に提供することができる
5. 管理者は、個人データ漏えいを文書化するものとし、 個人データ漏えいに関連する事実、その影響、および講じられた改善措置から構成されるものとする。 その文書により、監督当局は、 本条の遵守を検証できるものとする。
|
Vectra AIは、人工知能( )のテクニックを組み合わせて活用し、攻撃の特定と文書化( )を自動化し、もしあればGDPRに基づく報告( )が必要なものを確認する。
Vectra AIは、次のような方法でセキュリティチームを支援する。 - シンプルなダッシュボード( )を通じて検出情報を表示し、最も高いリスク( )をもたらす侵害されたホスト、ホストの脅威スコアと確実性スコアの変化、攻撃の兆候を示す重要な資産( )に優先順位を付ける。- 高度にカスタマイズ可能な AI レポートエンジンを使用して、セキュリティチームがオンデマンドまたは設定したスケジュールで同じ 情報を簡単に共有できるようにする。 - Threat Certainty Index™ を活用して リアルタイム通知をトリガーするため、セキュリティチームは攻撃インジケータを持つどのネットワークホストが最大のリスク( )を最も高い確実性でもたらすかを即座に知ることができる。- データ流出の検出を特定し、 データ流出未遂の証拠を提供することで、 個人データ流出のタイムリーな報告と通知を可能にする。 AIはまた、以下のセキュリティ および 改善活動もサポートする。 - 電子メール、syslog、またはREST APIを介して統合された他のツール( )を介したリアルタイムアラート。- セキュリティ情報・イベント管理(SIEM) システムやフォレンジック・ツール内のセキュリティ調査 の事前関連開始点。 - 既存のセキュリティ・オーケストレーションおよび 実施ソリューションから、動的な ルールを駆動したり、 を自動的にトリガーしたりする。
Vectra
Vectra
Vectra レスポンス
レスポンス レスポンス
|
セキュリティチームは、可能性のあるトリガー、根本原因、ビジネスへの影響、検証手順など、各検出について簡潔な説明を受ける。
GDPR関連記事 |
Vectra AI能力 |
第35条:データ保護の影響評価データ保護影響評価
|
|
1.特に新しい技術( )を使用する種類の処理が、処理の性質、範囲、 文脈および目的を考慮した結果、自然人の権利および自由( )に高いリスクをもたらす可能性が高い場合、 、管理者は、処理に先立ち、想定される処理 業務が個人データの保護に及ぼす影響について、 評価を実施するものとする。
1 回の評価で、同様の高いリスクをもたらす一連の同様の処理 業務を扱うことができる。[
7.
A. 想定される処理 業務および処理の目的(該当する場合、管理者が追求する正当な利益 を含む)の体系的な説明 B. 必要性および比例性の評価。 目的との関連における処理業務の必要性および比例性の評価 C.第 1 項で言及されたデータ主体の権利および自由( )に対するリスクの評価; D.
個人データの保護を確保し、 データ主体およびその他の関係者の権利および正当な利益を考慮に入れ、 本規則の遵守を実証するための、 保護措置、セキュリティ対策および機構 を含む、リスクに対処するために想定される措置。
8. 関連する管理者または処理者による、第 40 条で言及された承認済みの行動規範の遵守は、 特にデータ保護 影響評価の目的のために、当該管理者または 処理者が行う 処理業務の影響を評価する際に、十分に考慮されるものとする。
[...]
11. 必要な場合、管理者は、少なくとも処理業務に起因するリスクの変更( )があった場合に、処理がデータ保護影響評価( )に従って実行されているかどうかを評価するための見直しを実施するものとする。 |
Vectra AIは、 アプリケーション、ツール、システム間の通信を常に監視している。新しいテクノロジーや プラットフォームがネットワークに接続されると、それらは即座に 、攻撃の兆候についてVectra AIによって監視される。
さらに、Vectra AIは、 データの露出や侵害リスクを生じさせる可能性のある、 データの取り扱いの不備やシステムの誤設定について継続的に認識することができる。
Vectra AIは、 データ操作や損失に関連するネットワーク内部の疑わしい および実際の脅威行動、 前兆攻撃行動の証拠を提供するため、全体的な 影響評価を実行する能力に貢献する。
|
Vectra AIはアプリケーション、ツール、システム間のコミュニケーションを常に監視している。
Vectra AIによるGDPR下の個人データ保護
EU加盟国全体でGDPRが統一的に適用されることで、企業はコンプライアンスに準拠したデータセキュリティ体制と違反通知手順を確立しやすくなるはずだ。適切なツールやテクノロジーを導入することが鍵となる。
残念なことに、サイバー攻撃の検知とレスポンス には時間がかかることが多い。M-Trends 2016のレポートによると、侵害が発見されるまで平均146日かかる。そして、そのうちの53%は、外部からの通知があって初めて発見される、と報告書は述べている。
VectraAI主導の脅威検知およびレスポンスプラットフォームは、脅威の通知とレスポンス プロセスを数週間から数日に短縮します。人工知能を搭載し、プロアクティブかつリアルタイムに脅威を特定します。
通常、ティア1のサイバーセキュリティアナリストやインシデントレスポンス チームが担当する労働集約的なタスクを自動化することで、Vectra AIは脅威の調査に費やす時間を最大90%劇的に削減し、セキュリティチームはデータ損失の防止と軽減に集中できるようになる。
効率的で経済的なVectra AI 、ITセキュリティ・チームはすべてのネットワーク・トラフィックをリアルタイムで可視化し、隠れた未知の攻撃者を発見し、セキュリティイベントのコンテキストをすぐに確認できるようになります。
サイバーセキュリティチームに、データ侵害が発生するかなり前に、攻撃の初期段階を特定し、それに対して介入する能力を与えることにより、Vectra AIはGDPR報告対象となるデータ侵害のリスクを低減する。
同様に、これらの同じVectra AIの検出とアラート機能は、評価に貢献し、GDPRコンプライアンスをサポートする適切な技術的サイバーセキュリティアーキテクチャの一部を形成する。