サイバーセキュリティのためのセキュリティ＆コンプライアンスソリューション

主要な規制を理解する

Fortra のコンプライアンスソリューションを検討しながら、PCI DSS、HIPAA、SOX、GDPR などの主要なサイバーセキュリティコンプライアンス規制の違いを理解してください。LGPD、DORA、FISMA などのあまり知られていないデータ保護要件に関するトップレベルの知識を身につけて基礎を習得し、さまざまな業界でコンプライアンスを遵守するために必要なことを学びます。対象となる業界に属している場合でも、または単に対象となる業界での業務を計画している場合でも、Fortra は監査に対応できるようにし、データコンプライアンスの価値を負債から資産に変えるお手伝いをします。

CUI保護

CUI 保護とは何ですか?

政府機関とその民間部門の関係会社が、機密指定されていないものの公開すべきではない政府データである管理された非機密情報 (CUI) の共有を処理するための標準。

CUI 保護について注意すべきなのは誰でしょうか?

連邦政府機関および政府と協力する民間企業または請負業者は、CUI 規則に準拠する必要があります。

これはどのシステムに影響しますか?

管理された非機密情報 (CUI) を含むすべてのシステムがこの規制の影響を受けます。

CUI保護について詳しくはこちら >

ドラ

DORAとは何ですか？

デジタル運用レジリエンス法 (DORA) は、EU の金融機関が運用レジリエンスのすべての要素を管理する方法を規定しており、情報通信技術 (ICT) リスクと ICT リスク管理に明示的に言及しています。

DORA を気にするべきなのは誰でしょうか?

EU 内の銀行、保険会社、投資会社、暗号資産プロバイダーなどの金融機関は、EU 金融機関に ICT 関連サービスを提供する重要な第三者と同様に、DORA コンプライアンス要件の対象となります。

これはどのシステムに影響しますか?

Dora は、EU 全体の金融機関にデジタル通信を中継するように設計されたシステムに影響を及ぼします。

DORAコンプライアンスについて詳しくはこちら >

DPDP法

インドのDPDP法とは何ですか?
デジタル個人データ保護法 (DPDP) は、インドにおける個人データの収集、保管、処理、転送を規制するインドの包括的なデータ保護法です。

DPDP に関心を持つべきなのは誰でしょうか?
インド居住者の個人データを収集、保管、または処理する企業は、たとえこれらの場所以外に所在していても、DPDP を考慮する必要があります。

これはどのシステムに影響しますか?
DPDP は、インド居住者の個人データを処理するすべてのデータ処理システムに影響を及ぼします。

DPDP法について詳しくはこちら >

連邦情報局

FISMA とは何ですか?

連邦情報セキュリティ管理法 (FISMA) は、連邦政府のデータ保護のための厳格な情報セキュリティ保護プロセスの要件を定めています。

FISMA について誰が気にするべきでしょうか?

連邦政府のプログラムを管理する連邦政府機関および州政府機関、および連邦政府機関またはプログラムと連携する請負業者または民間企業は、FISMA の影響を受けます。

これはどのシステムに影響しますか?

FISMA は、機密性の高い連邦政府機関データを保存または送信するあらゆるシステムに影響を与えます。

FISMAコンプライアンスについて詳しくはこちら >

GDPR

GDPRとは何ですか?

一般データ保護規則 (GDPR) は、欧州連合 (EU) および英国 (UK) の組織による個人データの処理、保存、破棄の方法を規制します。

GDPR を気にする必要があるのは誰ですか?

EU および英国の市民の個人データを保存または処理する組織は、これらの地域外に所在している場合でも、GDPR 規制の影響を受けます。

これはどのシステムに影響しますか?

GDPR 規制は、EU または英国国民の個人識別情報を処理するすべてのシステムに影響します。

GDPRコンプライアンスについて詳しくはこちら >

HIPAA

HIPAA とは何ですか?

医療保険の携行性と責任に関する法律 (HIPAA) は、患者の医療データに関するプライバシーとセキュリティのルールを定めています。

HIPAA について注意すべきなのは誰ですか?

電子医療記録やその他の個人医療情報 (PHI) を保存する医療機関、およびそれらの医療機関にサービスや機能を提供する企業や請負業者は、HIPAA 規制に準拠する必要があり、準拠しない場合は多額の罰金が科せられる可能性があります。

これはどのシステムに影響しますか?

HIPAA 規制は、個人の健康情報を保存または送信するあらゆるシステムに影響します。

HIPAAコンプライアンスについて詳しくはこちら >

インドネシアの個人データ保護法（PDP）

インドネシアPDP法とは何ですか?

インドネシアの個人データ保護（PDP）法は、個人データの収集、使用、処理を規制しています。目的は、データ使用の複雑さに対処するための包括的なフレームワークを作成することでした。

インドネシアPDPに関心を持つべきなのは誰でしょうか?

これは、インドネシア国内であろうと他の国であろうと、インドネシア居住者の個人データを収集、保管、または処理するあらゆる企業に適用されます。

これはどのシステムに影響しますか?

インドネシア PDP は、インドネシア居住者の個人データを処理するすべてのデータ処理システムに影響します。

インドネシアの個人情報保護法（PDP法）について詳しくはこちら>

ISO 27001

ISO 27001とは何ですか？

国際標準化機構 (ISO) は、情報セキュリティ管理システム (ISMS) を確立、維持、継続的に改善するためのガイダンスを提供し、あらゆる分野の組織を支援する ISO 27001 を開発しました。

ISO 27001 を気にする必要があるのは誰ですか?

ISO 27001 は、急速に変化するデータ保護の法律や規制に準拠する必要がある組織向けです。ISO 27001 の採用を選択した企業は、高いレベルの情報セキュリティへの取り組みを実証します。

これはどのシステムに影響しますか?

ISO 27001 は、知的財産、契約、財務データ、その他の保護が必要な機密データを含む組織が使用するすべてのシステムに適用されます。

詳細はこちら ISO 27001>>

ITAR

ITARとは何ですか？

国際武器取引規則 (ITAR) は、特定の防衛および軍事機器や技術の米国からの輸出入を規制しています。

ITAR を気にする必要があるのは誰ですか?

米国軍需品リスト (USML) に含まれる商品やサービスを作成または配布する企業、あるいは米国国防総省に製品を販売する企業は、ITAR 規制の影響を受けます。

これはどのシステムに影響しますか?

防衛兵器の製造に関するデータや USML の技術に関する機密情報とインターフェースするシステムは、ITAR の影響を受けます。

ITARコンプライアンスについて詳しくはこちら >

イツァル

ITSARとは何ですか?

インドの電気通信セキュリティ保証要件 (ITSAR) は、インドの電気通信局によって開発されました。その目的は、通信業界における各国固有のセキュリティニーズに対応するセキュリティ要件と標準を開発することでした。

ITSAR について誰が気にするべきでしょうか?

これはインドの電気通信サービスプロバイダー (TSP) に適用されます。

これはどのシステムに影響しますか?

これは (U)ICC プラットフォーム向けであり、さまざまなプラグ可能な (U)ICC プラットフォームの共通セキュリティ要件、ハードウェア、オペレーティングシステム、(U)SIM のコンポーネントの特定のセキュリティ要件、ネットワークセキュリティ、(U)SIM アプリケーション関連のセキュリティ、および特殊なアプリケーションのサポートを推奨します。

ITSARコンプライアンスについて詳しくはこちら >

LGPD

LGPDとは何ですか？

一般個人データ保護法 (LGPD) は、ブラジルにおける個人データの保護に関する包括的な法律です。この法律は、自由とプライバシーという基本的権利、および自然人が人格を自由に発展させる能力を保護することを目的として、個人データの処理を規制します。

LGPD について誰が気にするべきでしょうか?

LGPD は、次のいずれかのシナリオに該当する組織に適用されます: - 個人データの処理が a) ブラジルで実行され、b) 処理の目的が商品またはサービスの提供である場合。- データが収集されたときにブラジルにいた個人から収集された個人データが処理される場合。

これはどのシステムに影響しますか?

LGPD 規制は、ブラジルで処理され、商品やサービスの提供を目的とする、またはその時点でブラジルにいた個人から収集された個人識別情報を処理するすべてのシステムに影響します。

LGPDコンプライアンスについて詳しくはこちら >

NERC CIP

NERC CIP とは何ですか?

北米信頼性協会重要インフラ保護 (NERC CIP) の信頼性基準は、物理的脅威とサイバー脅威から電力網を保護するという重要な任務を達成するためのプロセスを責任者に提供します。

NERC CIP を気にする必要があるのは誰ですか?

大規模電力システム (BES) 内で活動するすべての組織は、重要なインフラストラクチャの安全性と信頼性を保護する責任を負っています。その結果、少なくともNERC CIP要件を満たすことが求められます。

これはどのシステムに影響しますか?

NERC CIP に準拠することで、危険な停電を防ぎ、すべての人にとって信頼性の高い電力を確保できます。

NERC CIPコンプライアンスについて詳しくはこちら >

PCI DSS

PCI DSS とは何ですか?

ペイメントカード業界データセキュリティ標準 (PCI DSS) は、違反や詐欺を防止するためにカード所有者データを扱う組織を規制します。

PCI DSS を気にする必要があるのは誰ですか?

支払いカードのデータを処理、保存、または送信するすべての組織は、PCI DSS 規制に準拠する必要があります。

これはどのシステムに影響しますか?

PCI DSS 規制は、カード所有者データとやり取りするあらゆるシステムおよびネットワークに影響します。

PCIコンプライアンスについて詳しくはこちら >

ソックス

SOXとは何ですか?

サーベンス・オクスリー法 (SOX) は、SEC 登録企業の財務記録保管および報告における不正行為を削減するために米国政府によって制定されました。

SOX について誰が気にするべきでしょうか?

証券取引委員会 (SEC) に登録されている米国または海外の公開企業、およびそれらに金融サービスを提供する企業は、SOX コンプライアンスを満たす義務があります。

これはどのシステムに影響しますか?

企業の財務データを保存および報告するシステムには、SOX 準拠が義務付けられています。

SOXコンプライアンスについて詳しくはこちら >

主要なフレームワークを理解する

サイバーセキュリティフレームワークは、強力なセキュリティ体制を構築するための一連のポリシー、手順、およびベストプラクティスです。これらのフレームワークは、データ侵害や運用中断から IT 資産を保護する方法について組織にガイダンスを提供します。

CISコントロール

CIS コントロールとは何ですか?

インターネットセキュリティセンター (CIS) コントロールは、18 のコアセキュリティ原則から構成される、優先順位が付けられたわかりやすいフレームワークです。

CIS コントロールについて注意すべきなのは誰ですか?

CIS コントロールは、あらゆる業界のあらゆる組織で使用できます。このフレームワークは、最も重要な制御をカバーしているため、セキュリティ体制のさまざまな側面の測定と評価を開始したい組織によく使用されます。

これはどのシステムに影響しますか?

これは、すべてのシステム (ラップトップ、ワークステーション、サーバー) をカバーするだけでなく、ネットワーク接続、ソフトウェア資産、プロセスなどの側面もカバーする包括的なフレームワークです。

CISコントロールについて詳しくはこちら >

CMMC

CMMCとは何ですか?

サイバーセキュリティ成熟度モデル認証 (CMMC)は、国防総省 (DoD)が、ますます頻繁かつ複雑化するサイバー攻撃から防衛産業基盤 (DIB) を保護するために開始した包括的な評価フレームワークおよび認証プログラムです。

CMMC を気にする必要があるのは誰ですか?

CMMC コンプライアンスは、国防総省のサプライチェーンに所属するあらゆる組織、請負業者、下請業者 (約 300,000 の組織と推定) に必須です。

これはどのシステムに影響しますか?

CMMC は、連邦契約情報 (FCI) および管理された非機密情報 (CUI) を処理または送信するすべてのシステムに影響します。

CMMCについて詳しくはこちら >

マイター攻撃＆CK

MITRE ATT&CKとは何ですか?

MITRE ATT&CK ®フレームワークは、サイバー攻撃で使用される戦術と手法に関する世界的に認められた知識ベースです。

MITRE ATT&CK を気にする必要があるのは誰ですか?

この包括的なフレームワークは無料で、攻撃のライフサイクルをマッピングするのに役立つため、脅威ハンター、レッドチーム、その他の技術セキュリティ担当者に好まれています。

これはどのシステムに影響しますか?

これにより、悪意のある攻撃者によって実行される可能性のある攻撃キャンペーンのさまざまな側面を理解し、攻撃のさまざまな段階に対して脆弱なシステムを特定するのに役立ちます。

MITRE ATT&CKについて詳しくはこちら

NIS指令

NIS指令とは何ですか?

一般に NIS 指令と呼ばれるネットワークおよび情報システムのセキュリティに関する指令は、欧州連合で可決された最初のサイバーセキュリティ法です。これは 2016 年に採用され、2023 年に第 2 版である NIS2 に更新されました。

NIS 指令を気にする必要があるのは誰ですか?

NIS 指令 (NIS2) は、EU 内の 11 の必須セクターと 7 つの重要セクターにわたって活動するすべての公的機関および民間企業に適用されます。これには、欧州連合内に拠点があるかどうかに関係なく、EU 内で事業を行っている第三者および企業が含まれます。

これはどのシステムに影響しますか?

NIS2 コンプライアンスは、情報システムとネットワークシステムの両方のセキュリティレベルに影響を与えることで、EU の重要なセクターの全体的なサイバーセキュリティ体制を改善することを目的としています。これらの要件は、サプライチェーンパートナー内の同じシステムにも適用されます。

NIS2コンプライアンスについて詳しくはこちら >

NIST CSF

NIST CSF とは何ですか?

米国国立標準技術研究所のサイバーセキュリティフレームワーク (NIST CSF) は、組織のセキュリティ体制を改善するための包括的なガイドラインとベストプラクティスのセットです。

NIST CSF に注目すべきなのは誰でしょうか?

NIST CSF は、サイバーリスクの軽減に関するガイダンスを求めている重要なインフラストラクチャプロバイダーやその他の機関、民間組織に影響を与えます。

これはどのシステムに影響しますか?

NIST CSF フレームワークは、情報技術 (IT)、運用技術 (OT)、クラウドなど、組織が使用するすべてのシステムとネットワークテクノロジに適用できます。

NIST CSFコンプライアンスについて詳しくはこちら >

NIST RMF

NIST RMF とは何ですか?

米国国立標準技術研究所 (NIST) と米国国防総省 (DoD) は協力して、リスク管理フレームワーク (RMF) と呼ばれる連邦政府向けの統一されたサイバーセキュリティフレームワークを確立しました。

NIST RMF に注目すべきなのは誰でしょうか?

すべての連邦政府機関は、IT セキュリティとリスク管理をシステム開発ライフサイクルに統合する NIST RMF に準拠する必要があります。代理店リスクを管理するためのこの動的なアプローチには、 7 つのステップが含まれます。

民間部門や非営利団体も、セキュリティ体制の改善とコンプライアンスの達成に NIST RMF が役立つと認識しています。

これはどのシステムに影響しますか?

NIST RMF はすべての機関システムに適用されます。これには、新しいシステムとレガシーシステム、IoT および制御システムが含まれます。

NIST RMFについて詳しくはこちら>

ゼロトラスト

ゼロトラストとは何ですか?

ゼロトラストは、組織のネットワークのセキュリティが内部および外部の攻撃者から継続的に危険にさらされていると想定するフレームワークです。すべてのデバイス、ID、システムはデフォルトで信頼できないものとして定義され、アプリケーションとデータへのアクセスには認証と承認が必要になります。また、新しいアプリケーションにアクセスするには、継続的な再検証が必要です。

ゼロトラストを気にする必要があるのは誰でしょうか?

世界中の多くの企業や政府機関がゼロトラストを採用しており、その数は増え続けています。

これはどのシステムに影響しますか?

ゼロトラストは、組織の IT 資産の進化に合わせて進化する可能性のある特定の戦術を備えた戦略です。機密データ、その保存場所、アクセスが必要なユーザーを特定し、適切な制御を適用して機密データを保護することが重要です。また、すべてのトラフィックをログに記録して検査し、悪意のあるアクティビティを明らかにして、追加の強化が必要な領域を特定することで、IT 資産を監視することも重要です。

ゼロトラストについて詳しくはこちら>

他の規制に準拠する必要がありますか?

私たちがお手伝いします。今すぐコンプライアンスの専門家とチャットしましょう。

お問い合わせ

サイバーセキュリティとコンプライアンス

電子メールデータ保護

ビジネスメール詐欺 (BEC)、フィッシング、ソーシャルエンジニアリング攻撃、ランサムウェア、ATO、偶発的なデータ損失、その他の電子メールによる脅威との戦いに必要な味方を見つけましょう。

データプライバシー

データを適切な場所に保管します。HIPAA 、 SOX 、 GDPR 、 PCI DSSなど、データプライバシー規制全般に準拠するために役立つソリューションと提携します。

データ損失防止（DLP）

クラス最高のデータ損失防止 (DLP) によりコンプライアンス違反を回避します。当社の独自の DLP アプローチでは、クラウドベースのマネージド検出および対応を活用して、スケーラブルで妥協のない保護を実現します。

データ分類

プラットフォーム全体とクラウドで機密資産を識別、分類、保護することで、厳格なデータ要件を持つ業界で安全に業務を遂行できます。

誠実性管理

疑わしい変更を効率的に追跡し、セキュリティの誤った構成を監視することで、サイバーセキュリティとコンプライアンスの強固な基盤を構築します。

サイバーセキュリティについてもっと知る

注目のケーススタディ

Alliant Credit Union が MFT エージェントで PCI DSS を強化

イリノイ州に拠点を置く信用組合 Alliant は、自社開発のソリューションを使用して、1 週間あたり 500 件を超えるファイル転送を処理していました。拡張の必要性が高まり、新しいデータウェアハウスの作業が開始されたため、自動化ソリューションを検討する必要が生じました。

「現在の体制では、より堅牢なシステムが必要だと分かりました」とコンピューター運用スーパーバイザーのジェイ・ウェナー氏は説明する。「ファイルの自動化とインポートのプロセスをもっと改善したいと考えていました。」彼らはGoAnywhere MFTを選択しました。移行は容易だったため、同社はこれを使用してサーバー間の安全な暗号化接続を構築しました。ウェーナー氏は「他の製品は評価されませんでした」と語った。GoAnywhere はまさに「1 つの製品ですべてを実行」します。ファイルの移動や SFTP だけではありません。」

Alliant は、製品の基本機能を超えて、クラウドベースのエンタープライズファイル同期および共有 (EFSS) サービスである GoAnywhere Secure MailとGoAnywhere GoDriveを採用し、すぐに現在のクラウドベースのファイル共有ソリューションに置き換えました。「これを使っている人たちは…とても気に入っています。」

GoAnywhere MFT エージェントを活用することで、Alliant は最終的に PCI DSS コンプライアンスを強化することができました。「PCI データを安全に保存し、送信する方法が必要でした」と Wehner 氏は明らかにしました。「GoAnywhere エージェントを利用することで、安全なチャネルを使用してこのデータを送信できるようになりました。現在、ファイル転送には SMB などの標準プロトコルは使用していません。」

その他のコンプライアンス事例

コンプライアンスおよび監査報告サービス

マネージドセキュリティサービス

セキュリティ構成エラーを回避します。脅威が現実化する前に問題を特定できるサイバーセキュリティの専門家と提携します。

セキュリティコンサルティングサービス - IBM i

サイバーセキュリティの専門家と提携して、セキュリティ管理ライフサイクルのどの段階でも最も困難なデータ保護の問題を解決します。

セキュリティコンサルティングサービス

35 年以上にわたってクライアントから信頼されている当社のセキュリティコンサルティングサービス (SCS) チームは、専門的なセキュリティ評価、侵入テスト、レッドチーム演習を提供しています。経験豊富なサイバーセキュリティ専門家で構成された SCS チームは、セキュリティのギャップを明らかにする演習を通じて、組織が IT インフラストラクチャをサイバー攻撃から保護できるようにすることに特化しています。SCS のセキュリティテストは、内部監査と外部監査の両方に対するコンプライアンスの証明を提供するだけでなく、これらの対策が機能していることの保証も提供します。