プライバシーとセキュリティ
私たちはテクノロジー、ポリシー、プロセス、文化を組み合わせた全体的かつ多層的なアプローチを採用しています。以下は、強固なプライバシーとセキュリティを確保するための主要な戦略とベストプラクティスです。
主要戦略とベストプラクティス
データの発見と分類
データ(個人情報、財務記録、知的財産など)を特定・分類します。
ツールを活用してシステム間のデータフローや保存場所を追跡します。
機密度(公開・内部・機密・制限)でデータをラベル付けします。
アクセス制御とID管理
ロールベースアクセス制御(RBAC)を導入します。
最小権限アクセスを徹底し、業務に必要な範囲のみに制限します。
システム全体で多要素認証(MFA)を利用します。
セキュアなインフラとアーキテクチャ
ネットワーク分割でアクセスゾーンを制限します。
エンドポイントをウイルス対策・ファイアウォール・デバイス暗号化で保護します。
サーバーやデータベースを堅牢化(未使用ポート無効化・強力なパスワードポリシー)します。
暗号化とデータ保護
保存時(ディスク・DB)と転送時(HTTPS・TLS)のデータを暗号化します。
本番以外の環境では機密項目にデータマスキングやトークナイゼーションを適用します。
鍵や認証情報を定期的にローテーションします。
セキュリティ・バイ・デザイン
ソフトウェア開発ライフサイクル(SDLC)にプライバシーとセキュリティを組み込みます。
セキュアコーディングを徹底し、コードレビューを実施します。
プロジェクト初期に脅威モデリングやリスク評価を行います。
継続的モニタリングとインシデント対応
SIEMやログ管理でリアルタイム脅威検知を実現します。
ユーザー行動分析(UEBA)で異常を監視します。
インシデント対応計画を整備・テストし、漏洩やデータ損失への備えを万全にします。
従業員の意識向上とトレーニング
フィッシング・データ取扱・サイバー衛生の定期トレーニングを実施します。
模擬フィッシングテストで備えを評価します。
プライバシー原則(データ最小化・同意等)を教育します。
プライバシー法令遵守
GDPR・CCPA・HIPAA・PCI DSS等の規制に準拠します。
データ処理記録(GDPR第30条等)を維持します。
データ主体の権利(開示請求・消去権等)に対応するプロセスを実装します。
サードパーティリスク管理
ベンダーをセキュリティ質問票や評価で審査します。
契約にプライバシー・セキュリティ条項を盛り込みます。
サードパーティのコンプライアンスや漏洩通知を監視します。
プライバシーとセキュリティ文化の醸成
ITやセキュリティ部門だけでなく全員の責任とします。
データ保護責任者(DPO)やCISOを任命します。
組織の価値観やガバナンスにプライバシー・セキュリティを根付かせます。
プライバシー&セキュリティ支援ツール
IAMツール:Okta、Azure AD
SIEM:Splunk、QRadar、LogRhythm
DLP:Symantec、Forcepoint