欧州連合は、20年間でデータプライバシー規制の最も重要な変更として一般データ保護規則(GDPR)を大きく周知しています。2018年5月25日以降、EU内で個人データを処理および管理するすべての企業は、GDPRに準拠するか、多額の罰金を科される必要があります。違反すると、最高2,000万ユーロの罰金、または年間売上高の4%のいずれか大きい方の罰金が科せられます。
GDPRに準拠するために必要なこと
データ保護指令95/46 / ECに代わるGDPRは、11の章と100近くの記事で構成されています。これは非常に詳細なディレクティブであり、その多くはデータへのアクセスの管理に言及しています。
- 適切な技術的および組織的対策を実施する:データ保護を検討し、処理活動に統合したことを示す必要があります。[第5、24、25、28、32条]
- データへの不正アクセスの防止:不正アクセスには、送信、保存、またはその他の方法で処理された個人データの偶発的または違法な破壊、紛失、改ざん、または不正開示も含まれます。[記事4、5、23、32]
- データ漏えいを関係者に通知する:データ漏えいに最初に気付いてから72時間以内に、「個人の権利と自由のリスクにつながる」可能性のあるデータ漏えいについて、監督当局と当事者にデータ漏えいの懸念を通知する必要があります。[第33条、第34条]
- 完璧な記録の維持:「個人データが開示された、または開示される予定の受信者」、つまりデータにアクセスできる受信者に関する情報を含む、データ処理活動の記録を維持する必要があります。[第5、28、30、39、47条]
GDPRの完全な要件は、欧州連合官報で入手できます。
WINDOWS ACTIVE DIRECTORYドメインの場合、USERLOCKとFILEAUDITは、GDPRへの準拠に向けて役立ちます
当社の製品UserLockとFileAuditはともに、アクセスセキュリティの強化に役立ち、GDPRに準拠するのに役立ちます。
- セキュリティを向上させるための技術的対策を講じたことを証明する
- データへの不正アクセスを防止する
- 違反を検出して当局に迅速に通知し、罰金を軽減します
- コンプライアンスを証明するために、ネットワーク、ファイル、およびフォルダーのアクティビティの明確な監査証跡を保持します
USERLOCKがWINDOWSファイル、フォルダー、ファイル共有のGDPRに対処するのにどのように役立つか
コンプライアンスは、すべてのログインを保護することから始まります
GDPRの目標は、不正アクセスからデータを保護することです。この1つの単語「アクセス」は、誰かがアカウントを使用してシステムにアクティブに接続し、個人データを開く/読み取る/コピーする/ダウンロードするプロセスを表します。これは、その人がログインすることから始まるアクションです。
したがって、ログインは、不正アクセスに対する最初の防衛線です。
UserLockは、ログインセキュリティを拡張して、企業システムにログインしている(および内部のデータにアクセスしている)人が、本人であることを確認します。UserLockは、ユーザー名とパスワードだけでなく、IDを確認するためにも使用します。
このソフトウェアを使用すると、Active Directoryユーザーログインにカスタマイズされた2要素認証(2FA)を追加できます。
また、すべてのログインに関するコンテキスト情報(ログインの日時、ログインのIPアドレスとワークステーション、さらにはログインの頻度)を分析し、ログインをIT部門が承認した条件下のみ許可するように制限することもできます。
たとえば、GDPR準拠の対象となるデータにアクセスできるユーザーは、リモートコンピューターから数時間後に連続してログインするとします。ここには、時刻、ログイン数、およびログインが発生した場所の3つの危険信号があります。UserLockは、その疑わしいアクティビティを検出し、管理者に警告しながらログインを即座にブロックすることができる機能を有しています。
ログインにより、アクセス(コンプライアンス違反)が発生するかなり前に問題が発生する可能性があることを示す主要な指標が提供されます。
UserLockを使用すると、以下のことが可能になります。
- ネットワークにアクセスするときに、複数の認証要素を使用してユーザーのIDを確認します
- ネットワークへのアクセス、そして最終的には個人データへのアクセスが識別可能であり、監査され、個々のユーザーアカウントに紐づくことを確認します
- 流出したと思われる正規のアカウントを使用したとしても、不正アクセスを防止します
- パスワード共有などの不注意なユーザーの行動を抑制し、内部の脅威による不正アクセスのリスクを軽減します
- 疑わしいアクセスイベントにリアルタイムでフラグを立てます。つまり、管理者は即座に対応し、ネットワーク内のネットワークと個人データへのアクセスをさらに保護できます
- すべてのアクセスイベントを一元的に監査して、セキュリティの脅威を追跡し、レギュレーション・コンプライアンスを満たしていることを証明できるようにします
ログインは、GDPRコンプライアンスを監視するだけでなく、潜在的に不適切なアクセス(コンプライアンス違反)が発生するのを防ぐための重要なポイントです。
FILEAUDITがWINDOWSファイル、フォルダー、ファイル共有のGDPRに対処するのにどのように役立つか
すべての個人データへのアクセスを監視する
GDPRによると、不正なデータアクセスには、送信、保存、またはその他の方法で処理された個人データの偶発的または違法な破壊、紛失、改ざん、または不正な開示が含まれます。
機密データへの許可されたアクセスと許可されていないアクセスの両方を監視することは、データ侵害を早期に検出するために不可欠です。そこには視認性が鍵となります。
Windowsドメインの場合、ネイティブファイル監査は、組織全体のイベントを追跡するのに非効率的で、時間がかかり、担当者を精神的に参らせるほどだと言われています。
FileAuditは、Windowsサーバーでのファイルとフォルダーのアクセス監査を大幅に簡素化するソフトウェアプラットフォームです。きめ細かいレベルのファイルアクセス管理は、組織が規制要件を超え、ペナルティを回避するのに役立ちます。
FileAuditを使用すると、以下のことが可能になります。
- リアルタイムの監視とアラートを通じて不適切なアクセス(およびアクセスの試行)を特定し、IT部門が問題を確認して修正できるようにします
- FileAuditがファイルの一括アクセス、コピー、削除、または移動を検出したときにアラートを送信します(コンプライアンス違反の強力な兆候)
- サイト上のさまざまなワークステーションやリモートのモバイルデバイスなど、ユーザーがファイルにアクセスした場所を示します。すべて、送信元IPアドレスを追跡および識別します
- きめ細かい日時アラートパラメータにより、異常な時間や予期しない時間にアクセスするリスクを最小限に抑えることができます
- 1つまたは複数のWindowsシステムとクラウドで発生するすべてのファイルアクセスイベントを一元化してアーカイブし、常に利用可能で検索可能で安全な監査証跡を生成します
