規制コンプライアンス ベンチマークは、適用される法律、規制、業界標準に対するコンプライアンスのレベルを組織が測定および評価するための標準またはガイドラインです。

Health Insurance Portability and Accountability Act (HIPAA)

Health Insurance Portability and Accountability Act (HIPAA) は、1996 年に制定された米国連邦法です。HIPAA は、ヘルスケア業界における個人の健康情報 (PHI) および電子的健康記録 (EHR) のプライバシー、セキュリティ、機密性を保護するための標準と規制を定めています。

HIPAA のプライバシー規則とセキュリティ規則が、HIPAA 標準の 2 つの主要構成要素です。
  • HIPAA プライバシー規則:プライバシー規則は、医療機関、医療保険会社、医療事務処理会社などの対象エンティティによる PHI の使用と開示の基準を定めています。これにより、健康情報に関する特定の権利(アクセス権、修正要求権、開示説明の取得権など)が個人に付与されます。対象エンティティでは、PHI を保護するためのセーフガードを実装し、患者に対してプライバシー慣行を通知し、PHI を特定の用途に使用する場合や PHI を開示する場合に書面での承認を得ることが要求されます。
  • HIPAA セキュリティ規則:セキュリティ規則は、電子 PHI (ePHI) を保護するためのセキュリティ標準を定めています。これにより、対象エンティティとその関係者は、ePHI の機密性、整合性、可用性を確保するための管理的、物理的、および技術的なセーフガードを実装することが要求されます。これらのセーフガードには、リスク評価、アクセス コントロール、暗号化、監査制御、ディザスタ リカバリ プランのほか、セキュリティ意識に関する従業員トレーニングが含まれます。

HIPAA 標準は、医療機関、医療保険会社、医療事務処理会社、および PHI または ePHI を扱うそれらの関係者に適用されます。HIPAA 規則の準拠は必須であり、非準拠は罰金や刑事罰を含む重大な罰につながる可能性があります。

HIPAA には、健康情報の電子的な交換に関する規定も含まれており、電子的健康記録の有意義な利用の導入を推進する Health Information Technology for Economic and Clinical Health (HITECH) Act が定められています。

ここに示されている情報は 2021 年 9 月時点のものです。したがって、米国保健福祉省 (HHS) などの公式の情報源で HIPAA 標準と規制に関する最新の正確な情報を参照し、最新情報および更新情報を確認することを推奨します。

PCI データ セキュリティ スタンダード (PCI DSS) コンプライアンス標準

PCI データ セキュリティ スタンダード (PCI DSS) は、Visa、Mastercard、American Express、Discover、JCB などの主要なペイメント カード ブランドによって策定された一連のコンプライアンス標準です。PCI DSS は、カード所有者データのセキュリティを確保し、ペイメント カード業界における詐欺や不正アクセスから保護することを目的としています。

PCI DSS コンプライアンス標準は、6 つの制御目標に分類される 12 の高レベル要件で構成されています。これらの要件は、ペイメント カード データを扱う組織が実装する必要があるセキュリティ対策の概要を示しています。
  • セキュアなネットワークの構築と維持
  • カード所有者データの保護
  • 脆弱性管理プログラムの維持
  • 情報セキュリティ ポリシーの維持

PCI DSS のコンプライアンス要件は、組織がペイメント カード トランザクションに関与しているレベルがレベル 1 から 4 のいずれであるかによって異なります。トランザクションが最も多いレベル 1 の小売業者とサービス プロバイダは、厳格な要件を課され、1 年に 1 回、Qualified Security Assessor (QSA) によるオンサイト監査を受けます。レベル 2、3、4 の小売業者は、自己評価アンケート (SAQ) から外部脆弱性スキャンまでのさまざまな検証要件を課される可能性があります。

PCI DSS への準拠は、小売業者、サービス プロバイダ、支払い処理業者など、ペイメント カードの処理に関与するエンティティにとって必須です。非準拠は、処罰、罰金、取引手数料の割増、またはカード受け入れの制限につながる可能性があります。

この情報は PCI DSS コンプライアンス標準の概要を示していますが、具体的な要件とガイダンスは時間の経過とともに更新される可能性があることに注意してください。したがって、PCI Security Standards Council (PCI SSC) の公式 Web サイトおよび最新の PCI DSS ドキュメントで最新の情報と要件を確認することを推奨します。

CIS (Center for Internet Security) セキュリティ標準

VMware Aria Operations Compliance Pack for CIS が更新され、次のベンチマークがサポートされます。
  • CIS_VMware_ESXi_6.7_Benchmark_V1.3.0
  • CIS_VMware_ESXi_7.0_Benchmark_V1.2.0
詳細については、ナレッジベースの記事 KB93135 を参照してください。

CIS (Center for Internet Security) セキュリティ標準は、コンピュータ システムとネットワークを保護するためのベスト プラクティスとガイドラインのセットです。組織としての CIS は、合意に基づくセキュリティの構成およびベンチマークを開発、普及するためにさまざまな業界の専門家と協力している非営利のエンティティです。

CIS セキュリティ標準には、次の 2 つの主要構成要素が含まれています。
  • CIS コントロール:CIS コントロールは、最も一般的で影響の大きいサイバー脅威を軽減するために組織が実行できる 20 のセキュリティ アクションのセットです。これらのコントロールは、リスクを低減する効果の程度に基づいて優先順位付けされます。これらは、資産管理、アクセス コントロール、インシデント レスポンス、ネットワーク セキュリティ、セキュリティ意識トレーニングなどのさまざまなセキュリティ ドメインに対応しています。CIS コントロールは、新たな脅威の出現と進化するテクノロジー状況に対応するために、定期的に更新されています。
  • CIS ベンチマーク:CIS ベンチマークは、特定のテクノロジーのプラットフォームおよびシステムを保護するための詳細な構成ガイドラインを提供します。これらのベンチマークは、オペレーティング システム、アプリケーション、ネットワーク デバイスでセキュリティを確保し、脆弱性を低減するための推奨される設定と構成の概要を表します。CIS ベンチマークは、サイバー セキュリティの専門家、ベンダー、実務家の知見を生かした、合意に基づくプロセスを通じて作成されます。

CIS セキュリティ標準は、実用性と実行可能性を認められており、手順に基づく指示と構成上の具体的な推奨事項を備えています。業界全体で広く導入されており、組織が IT システムとネットワークのセキュリティを評価、改善、維持する際のリファレンスとして使用されています。

組織としての CIS は、新たに出現する脅威、テクノロジーの進化、規制要件の変更に対応するために、セキュリティの標準とベンチマークを定期的に更新しています。CIS セキュリティ標準は公開されており、組織はサイバーセキュリティ体制を強化し、サイバー攻撃のリスクを軽減するための有効なリソースとして利用できます。

国防情報システム局 (DISA) セキュリティ標準

国防情報システム局 (DISA) は、米国国防総省 (DoD) とその情報システム向けにセキュリティの標準とガイドラインを確立し、提供します。DISA は、DoD のグローバル情報インフラストラクチャの安全な運用と防御を確保する責任を負っています。

DISA は、機密情報を保護し、DoD システムの整合性、可用性、機密性を確保するために、セキュリティの標準とガイドラインをいくつか開発してきました。DISA が提供する主なセキュリティの標準とガイドラインには、次のようなものがあります。
  • セキュリティ技術実装ガイド (STIG):STIG は、さまざまなオペレーティング システム、アプリケーション、ネットワーク デバイス向けの一連のガイドラインと構成標準です。DoD のセキュリティ要件を満たすようにこれらのシステムを保護および構成する方法について、詳細な手順が提供されます。STIG は、Windows、Linux、Cisco の各デバイス、データベース、Web サーバなど、幅広いテクノロジーに対応しています。
  • セキュリティ要件ガイド (SRG):SRG は、特定のテクノロジー プラットフォーム、システム、またはアプリケーションに関するセキュリティ要件の概要を示した包括的なドキュメントです。DoD セキュリティ ポリシーに従ってシステムを保護および構成する方法のガイダンスを提供します。SRG は、アクセス コントロール、識別と認証、監査と説明責任、暗号化など、さまざまなセキュリティ ドメインに対応しています。
  • セキュリティ技術実装ガイド (STIG) ビューア:DISA は、組織が STIG の推奨事項を評価および実装するために役立つ STIG ビューア ツールを提供しています。STIG ビューアは、STIG 要件に対してシステム構成をチェックするプロセスを自動化します。これにより、組織はセキュリティ脆弱性をより効率的に特定して修正できます。
  • 情報保証脆弱性管理 (IAVM):DISA は、DoD システムの脆弱性を特定および管理する IAVM プログラムを維持します。IAVM アラートは、セキュリティ脆弱性とパッチに関する情報を適切なタイミングで提供します。DoD 内の組織は、潜在的なリスクを軽減するために、すぐにこれらのパッチを適用する必要があります。
  • DoD サイバーセキュリティ規範実装計画 (CDIP):CDIP は、DoD におけるサイバー セキュリティ プラクティスの実装と管理の概要を定めています。リスクの管理、システムの保護、インシデントへの対応、サイバー セキュリティを意識する文化の育成に関するガイドラインとベスト プラクティスを提供します。

セキュリティに関する DISA の標準とガイドラインは、DoD のシステムと情報資産がセキュリティと回復力を維持する上で重要な役割を果たします。新たに出現する脅威に対応し、進化するサイバーセキュリティ プラクティスと連携するために、常に更新され、洗練されています。DoD 内の組織は、システムとネットワークのセキュリティを維持するために、これらの標準に準拠することが期待されます。

連邦情報セキュリティ マネジメント法 (FISMA) セキュリティ標準

連邦情報セキュリティ マネジメント法 (FISMA) は、2002 年に制定された米国連邦法です。FISMA は、連邦政府機関とその受託業者内で情報システムのセキュリティを確保してサイバーセキュリティ リスクを管理するためのフレームワークを確立します。FISMA は連邦政府機関に対して、政府の機密情報を保護するための情報セキュリティ プログラムを開発、実施、維持することを要求しています。

FISMA 自体は詳細なセキュリティ標準を定めていませんが、アメリカ国立標準技術研究所 (NIST) が定めたものを含む特定のセキュリティ ガイドラインと標準に連邦政府機関が従う必要があることを規定しています。NIST Special Printing (SP) 800-53「Security and Privacy Controls for Federal Information Systems and Organizations」は、FISMA で参照される重要なドキュメントです。

NIST SP 800-53 には、連邦政府機関が情報システムを保護するために実装する必要があるセキュリティ コントロールのカタログが含まれています。これらのコントロールは、アクセス コントロール、インシデント レスポンス、構成管理、暗号化、ネットワーク セキュリティ、セキュリティの評価と認可などのさまざまな領域に対応します。コントロールはファミリに分類され、特定のセキュリティ要件に対応するように調整されます。

FISMA は連邦政府機関に対して、情報セキュリティに関するリスクベースのアプローチを開発、維持することを要求しています。これには、リスク評価の実施、特定したリスクに基づくセキュリティ コントロールの実装、コントロールの有効性の定期的なテストと評価、情報システムの継続的な監視の徹底が含まれます。

FISMA では、連邦政府機関は情報セキュリティ プログラムおよびコントロールの有効性を評価するために、独立した監査を含むセキュリティ評価を毎年受けることも要求されています。これらの評価の結果は、行政予算管理局 (OMB) および議会に報告されます。

FISMA に準拠することは、連邦政府機関が政府の情報の保護と情報システムのセキュリティの確保に取り組んでいることを示すために不可欠です。これは、連邦政府機関全体で情報セキュリティに対する標準化されたアプローチを確立し、NIST Cybersecurity Framework や NIST Risk Management Framework などの他のセキュリティ フレームワークと協調するために役立ちます。

FISMA の要件は時間の経過とともに進化する可能性があるため、政府機関は、FISMA セキュリティ標準への準拠を確保するために、NIST その他の信頼できる情報源が提供する最新のガイダンスを参照する必要があります。

国際標準化機構 (ISO) セキュリティ標準

国際標準化機構 (ISO) は、さまざまな業界にわたって国際標準を開発および公開している、独立した非政府系の国際的な標準化機関です。ISO は、情報セキュリティ管理システム (ISMS) と明確な関係のある一連のセキュリティ標準も作成しました。その中で最もよく知られているのは、ISO/IEC 27001 です。

ISO/IEC 27001:ISO/IEC 27001 規格は、組織のコンテキスト内で ISMS を確立、実装、維持、および継続的に改善するための要件を指定しています。これは、機密情報のセキュリティを管理するための体系的なリスクベースのアプローチです。この標準は、リスク評価、情報セキュリティ ポリシー、資産管理、アクセス コントロール、インシデント管理、コンプライアンスなどの領域を対象としています。ISO/IEC 27001 は、世界中の組織に広く導入され、情報セキュリティ管理のベンチマークとして機能しています。

ISO/IEC 27002:ISO/IEC 27002(旧称 ISO/IEC 17799)は、情報セキュリティ コントロールの実施規則です。情報セキュリティ管理のベスト プラクティスに基づいて、セキュリティ コントロールおよびセキュリティ セーフガードを実装する際のガイダンスと推奨事項を提供します。ISO/IEC 27002 は、組織のセキュリティ、人事のセキュリティ、物理的および環境的セキュリティ、通信管理および運用管理、コンプライアンスなど、幅広いセキュリティ領域を対象にしています。

ISO/IEC 27005:ISO/IEC 27005 は、情報セキュリティのコンテキストでリスク評価を実施するためのガイドラインを提供します。これは、情報セキュリティ リスクを特定、分析、評価、処理するための構造化されたアプローチを提供します。ISO/IEC 27005 は、組織がリスクの潜在的な影響を評価し、リスク許容度を判断し、適切なセキュリティ コントロールの実装について十分な情報に基づいて判断する上で役立ちます。

ISO/IEC 27017 および ISO/IEC 27018:これらの標準は、クラウドのセキュリティに特化しています。ISO/IEC 27017 は、クラウド コンピューティング環境に情報セキュリティ コントロールを実装するためのガイドラインを提供します。ISO/IEC 27018 は、クラウド内の個人データを保護し、クラウド サービスに関連するプライバシー上の脅威に対処するためのガイダンスを提供します。

ISO/IEC 27701:この標準は ISO/IEC 27001 の拡張であり、プライバシー情報管理システム (PIMS) を実装するためのガイドラインを提供します。ISO/IEC 27701 は、個人データを保護し、一般データ保護規則 (GDPR) などのプライバシー規制に準拠するためのコントロールを組織が確立し、維持する上で役立ちます。

ISO セキュリティ標準は、組織が効果的な情報セキュリティ管理プラクティスを確立するためのフレームワークを提供します。これらの標準に準拠することは、機密情報のセキュリティ保護、リスクの管理、堅牢なセキュリティ コントロールの実装に対するコミットメントを示すことになります。認証機関が実施する正式な監査プロセスを通じて ISO 認証を得ることで、ISO セキュリティ標準への準拠を証明できます。