IBM Cloud セキュリティ姿勢管理 (CSPM) について
IBM Cloud では、IBM Cloud® Security and Compliance Center Workload Protection のコンプライアンス チェックを自動化し、IBM Cloud Framework for Financial Services、Digital Operational Resilience Act (DORA)、CIS IBM Cloud Foundations Benchmark、PCI、その他多くの業界関連基準やベストプラクティス基準への準拠チェックを自動化します。 IBM Cloud リソースの詳細なインベントリと、完全なコンテキストに基づく優先順位付けにより、収集した違反の解決と管理が容易になります。
Workload Protection ポスチャ モジュールは、IBM Cloud、マルチクラウド環境 (Amazon Web Services、Azure および Google Cloud)、内部ホスト、仮想マシン (VPC 用 VSI、VMware、PowerVS、IBM Z with Linux)、Kubernetes、OpenShift。
ポスチャー・モジュールは、ハイブリッド環境のCSPMに多くの機能をもたらす:
-
IBM Cloud、他のクラウドプロバイダー、オンプレミスで実行されているアプリケーション、ワークロード、インフラストラクチャのセキュリティとコンプライアンスを一元管理し、マネージドサービス、ホスト、仮想マシン、コンテナ、KubernetesまたはOpenShiftクラスタをカバーします。
-
金融サービス、PCI、DORA、CIS、または NIST など、多くの定義済みフレームワークでは、業界標準や法律を満たすために必要なコントロールを実装し、検証することができます。
-
すべてのクラウド資産 (コンピュート リソース、マネージド サービス、アイデンティティ、エンタイトルメント)、ホスト、仮想マシン、クラスタ、およびすべての Kubernetes または OpenShift リソースのインベントリ (クラウドまたはオンプレミスの別を問いません)。
-
不合格となった管理から違反を取り除くためのリスク受容フローで、受容の理由と有効期間のオプションがある。 リスクは、1つのリソースレベルで受け入れることも、1つのコントロールからすべてのリソースに対してグローバルに受け入れることもできる。
-
失敗したコントロールを修正するための詳細な修正手順。
-
カスタムポリシー、コントロール、コントロールパラメータを作成する機能。
Workload Protection の IBM Cloud CSPM で利用可能な事前定義ポリシー
IBM CloudリソースにCSPMを実装するために、以下のポスチャ・ポリシーを使用できます:
| ポリシー | 説明 |
|---|---|
| AI ICTガードレール | AI ICTガードレールは、AIとジェネレーティブAI(GenAI)のワークロードを処理するために必要な、インフラストラクチャとデータ管理の定義済みリストを提供する。 これらのコントロールには、リスクとコンプライアンス管理、統合されたインフラストラクチャーのセキュリティとパフォーマンス、アプリケーションとワークロードの保護、データ保護、アイデンティティとアクセス管理、ロギング、モニタリングなどのコントロールカテゴリーにわたるAI特有の精緻化が含まれる。 この管理策のリストは、組織のセキュリティ基本方針とともに使用される。 |
| AIセキュリティ・ガードレール2.0 | AIセキュリティ・ガードレールは、AIやジェネレーティブAIGenAI)のワークロードを処理するために必要な、AIアプリケーション、モデル、データ、インフラレイヤーを含むフルスタックに対する制御のリストを提供する。 これらのコントロールには、AIガバナンス、AIアプリ保護、AIモデルライフサイクル、データ分類、インフラストラクチャセキュリティと運用回復力などのコントロールカテゴリーにわたるAI特有の精緻なものが含まれる。 |
| オーストラリア政府情報セキュリティマニュアル(ISM)2022年版 | クラウド・コントロール・マトリックス・テンプレートは、クラウド・サービス・プロバイダー(CSP)による情報セキュリ ティ・マニュアル(ISM)のコントロールの実施状況を把握するために、インフォセック登録アセッサ・プ ログラム(IRAP)のアセッサが使用することを目的としています。 その際、CCMのテンプレートは、セキュリティアセスメントのスコーピングに関する参考となるガイダンスを提供するが、ガイダンスは決定的なものではなく、IRAPの評価者は評価されるサービスの文脈で解釈すべきであることに留意すべきである。 CCM テンプレートは、コンシューマが ISM に従って自身のサービスを構成する責任を負う場所を特定することで、コンシューマが CSP のサービスに基づいて構築されたサービスの管理を実施する能力も把握する。 |
| BSI規格200-1:情報セキュリティ管理 | ドイツ連邦情報セキュリティ局(BSI)が発行したBSI-Standard 200-1は、効果的な情報セキュリティマネジメントシステム(ISMS)を確立し、維持するための包括的なガイドラインを提供しています。 組織内の情報セキュリティリスクを特定、管理、軽減するために必要な基本原則と実践方法を概説している。 この規格は、さまざまな業種や分野に適用できるように構成されており、組織が情報資産を効果的に保護し、法律や規制の要件を遵守し、全体的なセキュリティ体制を強化できるようになっている。 |
| C5:2020 (クラウドコンピューティング コンプライアンス基準カタログ) | ドイツ連邦情報セキュリティ局(Bundesamt für Sicherheit in der Informationstechnik、BSI)が作成したクラウド・コンピューティング・コンプライアンス・コントロール・カタログ(C5)は、クラウド・サービス・プロバイダーがそのサービスに最低限のセキュリティ・レベルを提供するために満たさなければならない要件を概説している。 |
| CCPA(カリフォルニア州消費者プライバシー法) | カリフォルニア州消費者プライバシー法(CCPA)は、カリフォルニア州の消費者に対し、アクセス権、削除権、個人情報の「販売」をオプトアウトする権利など、多くのプライバシー保護を提供するデータプライバシー法である。 2020年1月1日以降、カリフォルニア州住民の個人情報を収集し、一定の基準値(売上高、データ処理量など)を満たす企業は、これらの義務を遵守する必要がある。 |
| CIS IBM Cloud 基礎ベンチマーク | リソース構成が、Center for Internet Securityによって特定されたベースライン要件を満たしていることを確認します。 |
| クラウドセキュリティアライアンス(CSA) クラウドコントロールマトリックス(CCM) | CSAのクラウドコントロールマトリックス(CCM)は、computing.Itのためのサイバーセキュリティコントロールフレームワークである。これは、クラウド技術のすべての重要な側面をカバーする17のドメインで構成された197のコントロール目標で構成されている。 これは、クラウドの実装を体系的に評価するためのツールとして使用することができ、クラウドサプライチェーン内のどの関係者がどのセキュリティ対策を実施すべきかの指針を提供する。 このコントロール・フレームワークは、クラウド・コンピューティングのためのCSAセキュリティ・ガイダンスに沿ったもので、クラウドセキュリティの保証とコンプライアンスの事実上の標準とみなされている。 |
| デジタル・オペレーショナル・レジリエンス法(DORA) - 規則(EU)2022/2554 | デジタル・オペレーショナル・レジリエンス法(規則(EU)2022/2554)は、EUの金融規制における重要な問題を解決するものである。 DORA以前は、金融機関はオペレーショナル・リスクの主なカテゴリーを主に資本配分によって管理していたが、オペレーショナル・レジリエンスのすべての要素を管理していたわけではない。 DORAの後は、ICT関連のインシデントに対する保護、検出、封じ込め、復旧、修復能力に関するルールにも従わなければならない。 DORAはICTリスクに明確に言及しており、ICTリスク管理、インシデント報告、運用回復力テスト、ICT第三者リスク監視に関する規則を定めている。 本規則は、ICTインシデントやオペレーショナル・レジリエンスの欠如は、従来のリスク・カテゴリーに対して十分な資本があったとしても、金融システム全体の健全性を危うくする可能性があることを認めている。 |
| DPDP法(デジタル個人情報保護法 | 個人情報を保護する個人の権利と、合法的な目的およびそれに関連または付随する事項のためにそのような個人情報を処理する必要性の両方を認識する方法でのデジタル個人情報の処理について規定する法律。 |
| 国家安全対策委員会(ENS) 高 | スペインの法律により、スペイン国民は政府サービスを電子的に利用する法的権利を有する。 勅令3/2010によって管理されるENS(Esquema Nacional de Seguridad:国家安全保障枠組み)は、電子メディアの使用に関する安全保障政策を確立することを目的としている。 クラウド・コンピューティング・サービスも含め、ENSは情報保護の基本原則と最低要件を定めている。 |
| FedRAMPRisk and Authorization Management Program)高ベースライン | 連邦政府機関とクラウド・サービス・プロバイダー(CSP)は、FedRAMPの要件を満たすために、クラウド・コンピューティング環境内でこれらのセキュリティ管理、強化、パラメータ、および要件を実装しなければならない。 セキュリティ管理および強化は、NIST SP 800-53 改訂 4 版の管理カタログから選択されている。 選択された管理と強化は、連邦情報処理標準(FIPS)第199号で定義された高インパクト情報システムに指定されたクラウドシステムに対するものである。 影響が大きいデータとは、通常、法執行機関および緊急サービスシステム、金融システム、医療システム、および機密性、完全性、可用性の喪失が組織の運営、組織の資産、または個人に深刻または壊滅的な悪影響を及ぼすと予想されるその他のシステムである。 FedRAMPは、クラウド・コンピューティング環境における政府の最も機密性の高い非機密データ(生命や財政破綻の保護に関わるデータを含む)を考慮するため、ハイ・ベースラインを導入した。 |
| FedRAMP(連邦リスク認可管理プログラム)LI-SaaSベースライン | 連邦政府機関とクラウド・サービス・プロバイダー(CSP)は、FedRAMPの要件を満たすために、クラウド・コンピューティング環境内でこれらのセキュリティ管理、強化、パラメータ、および要件を実装しなければならない。 セキュリティ管理および強化は、NIST SP 800-53 改訂 4 版の管理カタログから選択されている。 選択された管理と強化は、連邦情報処理標準(FIPS)第199号で定義された低影響情報システムに指定されたクラウドシステムに対するものである。 FedRAMPTailoredは、各省庁が低リスクかつ低コストで導入・利用できる業界ソリューションをサポートするために開発された。 カスタマイズされたポリシーと要件は、LI-SaaSLow Impact-Software as a Service)プロバイダーにより効率的な道を提供する。 LI-SaaSベースラインは、ログイン機能(ユーザー名、パスワード、電子メールアドレスなど)に一般的に必要とされる以上の個人識別情報(PII)を保存しない、影響度の低いSaaSアプリケーションを対象としている。 必要なセキュリティ文書が統合され、テストと検証を必要とするセキュリ ティ管理策の必要数が、標準的な「低基準」認証よりも少なくなる。 FedRAMPLow Baselineで特定された要件はすべて必須ですが、FedRAMPTailoredでは、LI-SaaSの顧客または基盤となるサービス・プロバイダが通常満たす要件を特定するため、プロバイダは関連する要件のみに集中することができます。 さらに、FedRAMPTailoredでは、各省庁はこれらの要件のうち最も重要なものだけを独自に検証することができる。 |
| FedRAMP(連邦リスク認可管理プログラム)低ベースライン | 連邦政府機関とクラウド・サービス・プロバイダー(CSP)は、FedRAMPの要件を満たすために、クラウド・コンピューティング環境内でこれらのセキュリティ管理、強化、パラメータ、および要件を実装しなければならない。 セキュリティ管理および強化は、NIST SP 800-53 改訂 4 版の管理カタログから選択されている。 選択された管理と強化は、連邦情報処理標準(FIPS)第199号で定義された低影響情報システムに指定されたクラウドシステムに対するものである。 低影響」は、機密性、完全性、および可用性の喪失が、機関の業務、資産、または個人への悪 影響を限定的にしかもたらさないような CSO に最も適している。 FedRAMPは現在、低インパクト・データのシステム用に2つのベースラインを設けている:LI-SaaSベースラインと低ベースラインである。 |
| FedRAMPRisk and Authorization Management Program)中程度のベースライン | 連邦政府機関とクラウド・サービス・プロバイダー(CSP)は、FedRAMPの要件を満たすために、クラウド・コンピューティング環境内でこれらのセキュリティ管理、強化、パラメータ、および要件を実装しなければならない。 セキュリティ管理および強化は、NIST SP 800-53 改訂 4 版の管理カタログから選択されている。 選択された管理と強化は、連邦情報処理標準(FIPS)第199号で定義されている中程度の影響力を持つ情報システムに指定されたクラウドシステムを対象としている。 中程度の影響度のシステムは、FedRAMPの認可を受ける CSP アプリケーションの 80%近くを占め、機密性、完全性、および可用性の喪失が機関の業務、資産、または個人に深刻な悪影響をもたらす CSO に最も適している。 深刻な悪影響には、機関の資産に対する重大な業務上の損害、財務上の損失、または生命や身体の損失ではない個人の被害が含まれる。 |
| 一般データ保護規則 GDPR | gdpr-info.euへようこそ。 ここでは、規則(EU)2016/679(一般データ保護規則)の公式PDFをOJ L 119,04.05.2016; cor.の最新版でご覧いただけます。 OJ L 127,23.5.2018ウェブサイトとしてきちんと整理されている。 GDPRの全条文は、適切なリサイタルでリンクされている。 欧州データ保護規則(European Data Protection Regulation)は2018年5月25th付で全加盟国に適用され、欧州全体のデータプライバシー法の調和を図っている。 このページが役に立ったら、このプロジェクトをシェアして応援してください。 |
| HIPAA(医療保険の相互運用性と説明責任に関する法律)セキュリティ規則 | 医療保険の相互運用性と説明責任に関する法律(HIPAA)セキュリティ・ルールは、特に電子的保護医療情報(EPHI)を取り扱う。 同書では、コンプライアンスに必要なセキュリティ保護措置として、管理的、物理的、技術的の3種類を挙げている。 これらのタイプごとに、「規則」はさまざまなセキュリティ標準を特定し、それぞれの標準について、要求される実装仕様と対応可能な実装仕様の両方を挙げている。 必要な仕様書は、規則で定められた通りに採用され、管理されなければならない。 アドレサブル仕様はより柔軟である。 個々の対象事業体は、自らの状況を評価し、アドレサブル仕様を導入する最善の方法を決定することができる。 |
| HITRUST CSF(共通セキュリティフレームワーク) | HITRUST CSF は、世界中の組織がデータ保護コンプライアンスを確実にするために必要な構造、透明性、ガイダンス、および権威ある情報源への相互参照を提供する。 HITRUST CSF の最初の策定では、ISO、NIST、PCI、HIPAA、GDPR など、国内外で受け入れられているセキュリ ティとプライバシー関連の規制、標準、フレームワークを活用し、セキュリティとプライバシーの包括的な 管理を確保し、さらに権威ある情報源を継続的に取り入れている。 HITRUST CSF は、これらの要件を標準化し、明確性と一貫性を提供し、コンプライアンスの負担を軽減する。 |
| IBM Cloud 金融サービスのフレームワーク | IBM Cloud for Financial Services™(金融サービス) は、独立系ソフトウェア・ベンダー(ISV)、SaaS(Software as a Service)(SaaS)プロバイダー、金融機関を単一のエコシステムに統合するオープン・プラットフォームである。 このセキュアなクラウド・プラットフォームでは、革新的なアプリケーション、API、データ、コンテンツを迅速に開発・共有し、金融機関独自のビジネス・ニーズに対応することができます
IBM Cloud Framework for Financial Services を通して、金融サービス業界のために特別に構築された、統一されたセキュリティおよびコンプライアンス管理セットにアクセスすることができます。 To address your evolving needs as a financial institution, IBM continuously validates these controls with global Councils of CSOs, CTOs, and CIOs from major banks, insurance providers, and regulatory advisors. IBM Cloud for Financial Services プロファイルでは、IBM Cloud Framework for Financial Services 管理要件 にマッピングされた一連の事前設定済み自動化目標を提供します。 これらのテストの結果は、IBM Cloudの金融サービスの 参照アーキテクチャ のいずれかを使用している場合に、コンプライアンスを検証するのに役立ちます。 |
| ISMAP(情報システム・セキュリティ管理・評価プログラム) | ISMAP(Information System Security Management and Assessment Program)は、政府が求めるセキュリティ要件を満たすクラウドサービスを事前に評価・登録することで、政府によるクラウドサービス調達のセキュリティレベルを確保し、クラウドサービスの円滑な導入に資することを目的としている。 |
| MITRE ATT&CK for Enterprise | MITRE ATT&CK® は、実世界の観察に基づいた敵の戦術と技術に関するグローバルにアクセス可能な知識ベースです。 ATT&CKの知識ベースは、民間企業、政府機関、サイバーセキュリティ製品やサービスのコミュニティにおいて、特定の脅威モデルや方法論を開発するための基盤として使用されています。 |
| ミトル・ディフェンド | スポンサーのプロジェクトに携わる中で、私たちはサイバーセキュリティ対策のコンポーネントと能力を正確に特定できるモデルの必要性に繰り返し遭遇してきた。 さらに、実務者は、ある能力がどのような脅威に対処すると主張しているのかだけでなく、工学的な見地からそれらの脅威にどのように対処するのか、そしてどのような状況下でその解決策が機能するのかを具体的に知る必要がある。 この知識は、運用上の適用可能性を見積もり、長所と短所を特定し、複数の能力からなる企業向けソリューションを開発するために不可欠である。 近い将来、この繰り返し発生するニーズに対処するために、我々はD3FENDというフレームワークを作成した。このフレームワークでは、対策知識ベース、より具体的には知識グラフを符号化する。 このグラフには、意味論的に厳密な型と関係が含まれており、サイバーセキュリティ対策領域における主要な概念と、それらの概念を互いに結びつけるために必要な関係の両方が定義されている。 各概念と関係については、サイバーセキュリティに関する文献を参照した。 |
| NIS2指令(欧州連合全体におけるサイバーセキュリティの高度な共通レベルの対策に関する指令) | 2022年12月14日付欧州議会および理事会指令(EU)2022/2555は、欧州連合(EU)910/2014号および指令(EU)2018/1972を改正し、指令(EU)2016/1148(NIS 2指令)を廃止するものである。 |
| NISTサイバーセキュリティフレームワーク(CSF) | 本書は、産学官の継続的な共同作業の成果である。 米国立標準技術研究所(NIST)は2013年、官民の組織や個人を招集してこのプロジェクトを立ち上げた。 2014年に発表され、2017年から2018年にかけて改訂されたこの重要インフラ・サイバーセキュリティ向上のためのフレームワークは、8回の公開ワークショップ、複数の意見募集または情報提供の要請、そして米国のあらゆるセクターや世界中の多くのセクターの利害関係者との何千回もの直接対話に依拠している。 |
| NIST SP 800-53(情報システムと組織のためのセキュリティとプライバシー管理) | 敵対的な攻撃、人的ミス、自然災害、構造的な欠陥、外国の諜報機関、プライバシーのリスクなど、多様な脅威やリスクから組織の運営や資産、個人、他の組織、国家を守るために、情報システムや組織に対するセキュリティとプライバシー管理のカタログを提供するコンプライアンス方針。 統制は柔軟でカスタマイズ可能であり、組織全体のリスク管理プロセスの一環として実施される。 統制は、ミッションやビジネスニーズ、法律、行政命令、指令、規制、方針、基準、ガイドラインに由来する多様な要件に対応する。 最後に、統合されたコントロールカタログは、セキュリティとプライバシーを、機能の観点(すなわち、コントロールが提供する機能とメカニズムの強さ)と保証の観点(すなわち、コントロールが提供するセキュリティまたはプライバシー能力に対する信頼性の尺度)から取り上げている。 機能性と保証に取り組むことは、情報技術製品とその製品に依存するシステムが十分に信頼できることを保証するのに役立つ。 |
| PCI DSS (ペイメントカード業界データセキュリティ基準) v4.0.0 | ペイメントカード業界データセキュリティ基準(PCI DSS)は、ペイメントカード口座データのセキュリティを奨励・強化し、世界的に一貫したデータセキュリティ対策の幅広い採用を促進するために策定されました。 PCI DSS は、アカウントデータを保護するために設計された技術的および運用上の要件のベースラインを提供します。 PCI DSS はペイメントカードのアカウントデータを扱う環境に特化して設計されていますが、脅威から保護し、ペイメントエコシステム内のその他の要素を保護するためにも使用できます。 |
| RBIフレームワーク | 銀行とその構成員による情報技術の利用は急速に拡大し、今や銀行の業務戦略に不可欠な要素となっている。 準備銀行は、2011年4月29日付の通達DBS.CO.ITC.BC.No.6/31.02.008/2010-11により、情報セキュリティ、電子バンキング、技術リスク管理およびサイバー詐欺に関するガイドラインG.Gopalakrishna委員会)を提供しており、その中で、実施に提案された対策は固定的なものではなく、銀行は新たな進展や新たな懸念事項に基づいて、政策、手続き、技術を積極的に作成/微調整/修正する必要があると指摘されている。 |
| SEBI(インド証券取引委員会)法 | 証券投資家の利益を保護し、証券市場の発展と規制を促進するための委員会の設置、およびそれに関連または付随する事項を定める法律。 |
| SOC 2 | SOC 2は、米国公認会計士協会(AICPA)が策定したサービス組織向けの自主的なコンプライアンス基準である。 その意図は、ユーザーデータの安全性とプライバシーを確保することにある。 これは、データを保護するための枠組みとして、顧客データのセキュリティ、可用性、処理の完全性、機密性、プライバシーのトラストサービス5原則を概説している。 SOC 2は、顧客データを取り扱ったり保存したりするテクノロジー・サービス・プロバイダーやSaaS企業に適用されます。 サードパーティ・ベンダー、その他のパートナー、またはこれらの企業が協力するサポート組織も、データシステムと保護措置の完全性を確保するために、SOC 2 コンプライアンスを維持すべきである。 |
他のすべての姿勢ポリシーは、AWS、Azure、GCP、Kubernetes、OpenShift, またはホストなどの他の環境に適用されます。
次のステップ
Workload Protection を最大限に活用するには、IBM Cloud の CSPM(クラウド セキュリティ姿勢管理)の実装 で説明されている手順に従って、UI と CLI を使用して CSPM を有効にします。