Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る

23 NYCRR 500: ニューヨーク州のサイバーセキュリティ規制をナビゲートする

ホーム 用語集 23 NYCRR 500: ニューヨーク州のサイバーセキュリティ規制をナビゲートする

2017年3月、ニューヨーク州金融サービス局(DFS)は、23 NYCRR 500を導入しました。これは、巨大な金融サービス業界をサイバー脅威から保護するために設計された一連の規制です。この包括的なサイバーセキュリティ規制は、金融サービス企業が情報システムの機密性、整合性、可用性を保護するためのサイバーセキュリティプログラムを確立し、維持することを義務付けています。

23 NYCRR 500

23 NYCRR 500は、ニューヨーク州で営業するすべての金融サービス企業に適用されます。これには、銀行、信用組合、保険会社、その他の金融サービス機関が含まれます。この規制は、金融サービス企業がサイバー脅威から機密顧客情報を保護するために適切なサイバーセキュリティ対策を実施することを目的としています。コンプライアンスを達成するために、金融企業は包括的なサイバーセキュリティリスク管理戦略を導入する必要があります。

この規制から免除されるのは、以下の基準を満たす企業のみです:

  • 従業員が10人未満
  • 年末の総資産が1,000万ドル未満
  • 過去3年間の総収入が500万ドル未満

23 NYCRR 500の範囲

23 NYCRR 500は、ニューヨーク州金融サービス局(DFS)によって規制されているすべての金融サービス企業に適用されます。この規制は、企業が情報システムを不正アクセス、開示、または悪用から適切に保護するサイバーセキュリティプログラムを確立し、維持することを要求しています。

また、この規制は企業に対し、以下の分野に対応する書面による方針と手続きを策定することを求めています:

  • 情報セキュリティ
  • データガバナンスと分類
  • アクセス制御とアイデンティティ管理
  • サイバーセキュリティ人材とインテリジェンス
  • インシデント対応計画と実施
  • ベンダーおよび第三者サービスプロバイダー管理
  • 年次ペネトレーションテストと脆弱性評価
  • リスク評価

23 NYCRR 500は他の規制とどう比較されるか?

23 NYCRR 500規制は、ニューヨーク州の金融機関に対する包括的な州レベルのサイバーセキュリティ要件であり、その多くの規定は国家標準技術研究所サイバーセキュリティフレームワーク(NIST CSF)、欧州連合(EU)の一般データ保護規則(GDPR)、およびISO 27001によって設定されたものと重複しています。この規制によって課される基準に準拠することで、ニューヨークの金融機関は機密データの取り扱いに伴うプライバシーとセキュリティのリスクを軽減し、デジタルインフラストラクチャに対するサイバー脅威から防御することができます。

23 NYCRR 500の規定

23 NYCRR 500規制は、エンティティがサイバーセキュリティプログラム、第三者サービスプロバイダーのセキュリティポリシー、多要素認証非公開情報の暗号化、およびインシデント対応計画を持つことを要求しています。

サイバーセキュリティプログラム

23 NYCRR 500は、情報システムおよび非公開情報の機密性、整合性、可用性を保護するための管理的および技術的な保護策を含むサイバーセキュリティプログラムを規定しています。また、リスク評価、情報システムの保護に関する方針と手続き、システムの監視と監査、インシデント対応計画を含むべきです。

第三者サービスプロバイダーのセキュリティポリシー

第三者サービスプロバイダーのセキュリティポリシーは、サービスプロバイダーが非公開情報を保護するために適切なセキュリティ対策とプロセスを持っていることを確認するために取るべき手順を概説しています。また、第三者サービスプロバイダーが情報を適切に保護し、セキュリティインシデントを特定し対応し、ビジネスに対して迅速にインシデントを通知するための要件を含むべきです。

多要素認証

多要素認証は、パスワード、PIN、生体認証、またはその他の認証方法を含む、2つ以上の独立した検証要素を利用して個人の身元を確認する方法です。

非公開情報の暗号化

非公開情報は、そのライフサイクル全体を通じて、保存、転送、またはアクセスされる際に暗号化されなければなりません。

インシデント対応計画

インシデント対応計画は、システムの侵害や非公開情報への不正アクセスが発生した場合に取るべき手順を概説しています。これには、インシデントへの対応と封じ込め、適切な当局への通知、将来の類似インシデントを防ぐための是正措置を含むべきです。

 

23 NYCRR 500の主要要件

名前が示すように、23 NYCRR 500は23の要件で構成されており、全体として、組織が潜在的な脅威を認識し、攻撃が発生する前にそれに対抗するのを助けます。23の要件の中で、以下のものが特に注目に値します:

  1. 情報システムの機密性、整合性、可用性を保護するために設計されたサイバーセキュリティプログラムを確立し、維持する。
  2. 前のセクションで述べた分野に対応する書面による方針と手続きを策定する。
  3. サイバーセキュリティプログラムの実施と監督を担当する最高情報セキュリティ責任者(CISO)を任命する。
  4. 企業の情報システムに対する潜在的なリスクを特定し評価するために定期的なリスク評価を実施する。
  5. サイバーセキュリティイベントに迅速に対応し、軽減するためのインシデント対応計画を策定し実施する。
  6. すべての従業員に定期的なサイバーセキュリティ意識向上トレーニングを提供する。
  7. 転送中および保存中の機密データを保護するために暗号化を使用する。

不遵守に対する罰則

ニューヨーク州金融サービス局(DFS)は、各違反につき最大5,000ドル、違反者が不遵守を続ける各日につき最大5,000ドルの民事金銭罰を課すことができます。さらに、DFSは停止命令を発行したり、ライセンスや証明書を取り消したり、一時停止したり、被告に是正措置を指示したり、法律で定義された他の調査や手続きを行ったりすることができます。最後に、23 NYCRR 500のいかなる規定を故意に違反した者は、刑事告発および潜在的な投獄の対象となる可能性があります。

23 NYCRR 500のコンプライアンスに関するベストプラクティス

組織が23 NYCRR 500の規制を理解し、コンプライアンスを維持するためにベストプラクティスを実施することが不可欠です。以下のベストプラクティスを考慮する必要があります:

自社の法的義務を理解する

ビジネスとして、適用されるすべての規制要件を理解することが不可欠です。法的要件を認識することで、23 NYCRR 500のコンプライアンスを確保するのに役立ちます。

包括的なサイバーセキュリティプログラムを実施する

包括的なサイバーセキュリティプログラムは、サイバー脅威からデータ、システム、ネットワークを保護するために不可欠です。このプログラムには、脅威に対する保護と監視を目的とした方針、手続き、技術が含まれるべきです。

従業員を訓練する

サイバーセキュリティプログラムの一環として、従業員に方針と手続きに関するトレーニングを提供することが重要です。このトレーニングには、フィッシングメールの識別やデータを保護するためのベストプラクティスなどのトピックを含むべきです。

リスク管理プロセスを確立する

組織に対する潜在的なリスクを評価し、リスクを文書化し、それらのリスクを軽減する方法を特定するサイバーセキュリティリスク管理プロセスを確立することは、23 NYCRR 500に準拠するために不可欠です。

セキュリティシステムを監視し維持する

ファイアウォールやアンチウイルスソフトウェアなどのセキュリティシステムは、正常に動作していることを確認し、最新の状態に保つために監視し維持する必要があります。定期的なセキュリティスキャンを実施して、脆弱性を特定するべきです。

インシデント対応計画を策定する

セキュリティインシデントに対応するためのインシデント対応計画を策定することは不可欠です。この計画には、インシデントへの対応と軽減のプロセスを記述するべきです。

第三者ベンダー管理を確立する

第三者ベンダーとの関係を確立し管理することは、すべてのベンダーが23 NYCRR 500に準拠していることを確認するために重要です。ベンダーのセキュリティ対策が組織の要件を満たしていることを確認するために評価することが不可欠です。

Kiteworksプライベートコンテンツネットワークでデータプライバシーを確保する

23 NYCRR 500のコンプライアンスを支援する最良のアプローチの一つは、データプライバシーをサポートする技術を使用することです。暗号化、データ管理と可視性、自動化された制御、およびガバナンス、リスク、コンプライアンスポリシーの技術的実装は、そのような取り組みを大いに支援することができます。企業は、ユーザーデータのプライバシーを保護する際の法的義務と倫理的姿勢の両方を理解する必要があります。

Kiteworksプライベートコンテンツネットワークは、機密コンテンツの通信を一つのプラットフォームに統合し、追跡し、制御し、保護します。集中ガバナンスにより、金融サービス組織は23 NYCRR 500、連邦情報セキュリティマネジメント法(FISMA)、金融業規制機構(FINRA)、FTCセーフガード規則、グラム・リーチ・ブライリー法(GLBA)などのデータプライバシーおよびサイバーセキュリティ規制に準拠していることを示すことができます。

Kiteworksプライベートコンテンツネットワークを通じて送信および共有されるファイルおよびメールデータ通信は、Kiteworksの強化された仮想アプライアンスによって包まれ、組み込みのネットワークファイアウォールとWAF、ゼロトラストの最小特権アクセスを採用し、攻撃面を最小限に抑えます。Kiteworksプライベートコンテンツネットワークが金融機関に23 NYCRR 500およびその他のデータプライバシーおよびサイバーセキュリティ基準への準拠を示すことを可能にする方法を、カスタムデモをスケジュールして学んでください。

 

リスク&コンプライアンス用語集に戻る

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Share
Tweet
Share
Explore Kiteworks