機密データの保護:法執行機関におけるCJISコンプライアンスの利点
1992年、FBIは刑事司法情報サービス(CJIS)を設立し、現在では局の最大の部門となっています。これには、全国犯罪情報センター(NCIC)、統合自動指紋識別システム(IAFIS)、全国即時犯罪背景調査システム(NICS)など、数多くの部門が含まれています。CJISは、法執行機関が提供する分析と統計を利用して、地域および国際社会における犯罪活動を監視しています。さらに、これらのデータベースは、全国の機関に刑事司法情報(CJI)を提供する中央集約型の情報源として機能しています。
1992年以来、特に技術の分野で世界中で大きな変化が起こりました。インターネットとクラウドコンピューティングの普及に加え、サイバーセキュリティの脅威の増加と複雑化により、CJISのプライベートデータを保護するプロセスが大幅に複雑化しました。
その結果、CJISは、組織、クラウドベンダー、地方機関、企業ネットワークがこの情報を安全に保つための包括的なセキュリティ基準を確立しました。FBIは、刑事司法情報サービス(CJIS)セキュリティポリシーを作成し、この情報を扱うすべての組織が従わなければならないセキュリティ要件を概説しています。これにより、組織は詳細なサイバーセキュリティリスク管理戦略を策定する必要があります。この記事では、CJISコンプライアンスの要件と利点について詳しく見ていきます。
CJISコンプライアンスとは何か?
CJISコンプライアンスとは、刑事司法情報を扱うすべての組織が遵守しなければならないセキュリティ基準のセットを指します。これらの基準は、このプライベート情報の機密性、整合性、可用性を確保するために設計されています。CJISは、法執行機関にとって、国家標準技術研究所(NIST)が連邦機関にとっての存在です。
これには、アクセス制御、監査とアカウンタビリティ、インシデント対応などの分野が含まれます。これらの厳格なセキュリティ対策を施行することで、CJISは犯罪記録やその他のCJIなどの機密データをサイバー攻撃から保護することができます。これは重要であり、CJISのデータベースは犯罪と戦い、地域社会を安全に保つための法執行機関にとって重要なツールです。
CJISに準拠するためには、まずCJIS部門から署名および承認されたCJISセキュリティポリシーを取得する必要があります。このポリシーは、刑事司法情報へのアクセスが許可された人員に限定され、安全なシステムで保護されなければならないことを規定しています。
誰がCJISに準拠しなければならないのか?
FBIによれば、CJISセキュリティポリシーの主な目的は、CJIのライフサイクル全体を通じてその保護を確保するために必要な管理策を確立することです。保存中または転送中であるかにかかわらず、ポリシーはCJIの作成、閲覧、修正、送信、配布、保存、破棄に関する包括的なガイドラインを提供します。これは、刑事司法サービスおよび情報に関連するかどうかにかかわらず、すべての個人に適用されます。これには、請負業者、民間企業、非刑事司法機関の代表者、および刑事司法機関のメンバーが含まれ、これらのサービスおよび情報にアクセスするか、またはそれをサポートする役割を担っています。CJISセキュリティポリシーを遵守することにより、これらの個人はCJIの機密性、整合性、可用性を維持する上で重要な役割を果たすことができます。
なぜCJISコンプライアンスが重要なのか?
CJISセキュリティポリシーは、大統領指令(大統領令14028など)、連邦法、FBI指令、刑事司法コミュニティのAPB決定など、さまざまな情報源からの指令を取り入れています。さらに、国家標準技術研究所からの全国的に認識されたガイダンスも取り入れています。これらの情報源を統合することで、CJISセキュリティポリシーはCJIを保護するための包括的で堅牢なフレームワークを提供します。これにより、機密データの保護が確保され、刑事司法サービスおよび情報に対する安全で信頼できる環境が促進されます。
CJISセキュリティポリシーの要件
CJISセキュリティポリシーは、CJIのセキュリティを確保するために組織が従わなければならないさまざまな要件を概説しています。最も重要な要件のいくつかは次のとおりです:
人事セキュリティ
組織は、CJIにアクセスする人員に対して徹底的なバックグラウンドチェックを実施しなければなりません。また、従業員が自分のセキュリティ責任を理解するためのセキュリティ意識トレーニングを提供する必要があります。
物理的セキュリティ
組織は、アクセス制御、ビデオ監視、侵入検知システムなどの物理的セキュリティ対策を実施し、CJIを収容する物理的インフラを保護しなければなりません。
アクセス制御
組織は、職務機能と知る必要性に基づいてCJIへのアクセスを制限するアクセス制御を実施しなければなりません。また、強力なパスワードポリシー、二要素認証、セッションタイムアウトを施行する必要があります。
監査とアカウンタビリティ
組織は、CJIへのアクセスを監視および追跡できる監査とアカウンタビリティの制御を実施しなければなりません。また、指定された期間監査ログを保持し、定期的にレビューして不正アクセスや疑わしい活動を検出する必要があります。
インシデント対応
組織は、セキュリティ侵害が発生した場合の手順を示すインシデント対応計画を策定しなければなりません。この計画には、インシデントの報告、影響を受けた当事者への通知、調査の実施手順が含まれている必要があります。
CJISセキュリティポリシーコンプライアンスのベストプラクティス
CJISセキュリティポリシーに準拠することは、複雑で困難なプロセスになる可能性があります。しかし、ベストプラクティスに従うことで、組織はコンプライアンスプロセスを効率化し、ポリシーの要件を満たすことができます。CJISセキュリティポリシーコンプライアンスのベストプラクティスには次のようなものがあります:
- リスク評価の実施: 組織は、情報システムに対する潜在的な脅威と脆弱性を特定するために徹底的なリスク評価を実施する必要があります。評価には、物理的セキュリティ、アクセス制御、ネットワークセキュリティ、インシデント対応手順の評価が含まれるべきです。
- 技術的制御の実施: 組織は、ファイアウォール、侵入検知システム、暗号化などの技術的制御を実施し、不正アクセスからCJIを保護する必要があります。
- セキュリティポリシーと手順の策定: 組織は、情報セキュリティのすべての側面に対応する包括的なセキュリティポリシーと手順を策定する必要があります。ポリシーは定期的にレビューおよび更新され、効果を維持する必要があります。
- セキュリティ意識トレーニングの提供: 組織は、CJIにアクセスするすべての従業員にセキュリティ意識トレーニングを提供する必要があります。トレーニングは、CJIの誤処理に関連するリスク、データプライバシーの重要性、機密情報を保護するためのベストプラクティスをカバーするべきです。
- コンプライアンスの監視とレビュー: 組織は、CJISセキュリティポリシーへのコンプライアンスを定期的に監視およびレビューする必要があります。脆弱性を特定し、ポリシーの要件を満たしていることを確認するために、定期的な評価、監査、ペネトレーションテストを実施するべきです。
CJISコンプライアンスの利点
刑事司法情報を扱う組織にとって、CJISコンプライアンスを確保することには多くの利点があります。主な利点のいくつかは次のとおりです:
セキュリティの強化
最も重要な利点の一つは、セキュリティの向上です。必要なセキュリティ対策を実施することで、機関は刑事司法情報を保護し、データ侵害やサイバー攻撃のリスクを軽減することができます。
規制への準拠
CJISコンプライアンスは、刑事司法情報を扱う組織に求められています。これらの規制に準拠することで、組織は法的および財務的な罰則を回避することができます。
信頼の向上
CJISコンプライアンスを達成することは、機関が公衆との信頼を築くのにも役立ちます。公衆は政府が自分たちの機密データを保護することを期待しており、CJISコンプライアンスを達成することは、そのデータを保護することへのコミットメントを示しています。
CJISに準拠しない場合の影響
CJISセキュリティポリシーは、刑事司法システムの整合性を維持するために不可欠です。CJIには、誤処理または開示された場合、進行中の調査を危険にさらしたり、秘密情報提供者の身元を明らかにしたり、公衆の安全を損なう可能性のある機密データが含まれています。
CJISセキュリティポリシーに準拠しない場合、CJIへのアクセスの停止または取り消し、民事および刑事罰、組織の評判の損害など、深刻な結果を招く可能性があります。したがって、組織はポリシーの基準と要件を遵守することが重要です。
Kiteworksプライベートコンテンツネットワークが組織のCJISコンプライアンス達成を支援する方法
Kiteworksプライベートコンテンツネットワークは、コンテンツベースのゼロトラストを通じて法執行機関がCJISコンプライアンスを達成することを可能にします。これは、統一された機密コンテンツ通信とファイルおよびメールデータの追跡と制御を1つのプラットフォームに統合します。Kiteworksの強化された仮想アプライアンスは、エンドツーエンド暗号化、多要素認証、組み込みのアンチウイルス、ファイアウォール、WAF機能、AI対応のコンテンツ異常検出、侵入検知システムなどのセキュリティレイヤリングを使用して、プライベートコンテンツネットワークが機密コンテンツ通信を保護することを可能にします。また、ファイルおよびボリュームレベルでの二重暗号化を使用し、データが転送中および保存中の両方で安全であることを保証します。最後に、Kiteworksは法執行機関がデータへのアクセスを制御し、誰がコンテンツを表示および編集できるか、どのデバイスから共有および送信できるかなど、すべてのユーザー活動を監視することを可能にします。監査ログを使用して、法執行機関はCJISコンプライアンスを示す詳細なレポートを生成できます。
Kiteworksプラットフォームは、以下を含むすべての適用可能なポリシー領域でCJISコンプライアンスを示しています:
ポリシー領域4:監査とアカウンタビリティ
管理者ダッシュボードを通じてアクセス可能なレポート、および監査ログとSNMPを通じて完全な監査とアカウンタビリティを提供します。管理者は、関連するすべてのファイルとメタデータを保存および収集する法的要求に応じ、CJISコンプライアンス要件を満たすためのコンテンツ保持ポリシーを設定することができます。
ポリシー領域5:アクセス制御
Kiteworksは、LDAP、SSO、2FA、および外部ユーザー認証のためのローカルデータベースを通じてアクセス制御を提供します。また、コラボレーションのための個々のフォルダーに対する詳細な権限を提供します。
ポリシー領域6:識別と認証
Kiteworksは、LDAP、SSO、および2FAを通じて認証を提供します。これらのベストプラクティス認証手段の組み合わせが適用されることで、CJISコンプライアンスに役立ちます。
ポリシー領域7:構成管理
Kiteworksは、構成管理に対する完全な管理制御を可能にします。ここで、Kiteworksプラットフォームは変更に対するアクセス制限も提供します。
ポリシー領域10:システムおよび通信の保護と情報の整合性
Kiteworksは、AES-256およびTLS 1.2暗号化を使用して、転送中および保存中のデータのエンドツーエンド暗号化を提供します。Kiteworksプラットフォームは、FIPS 140-2認証および準拠した構成でも利用可能です。さらに重要なのは、顧客が暗号化キーの唯一の所有権と制御を保持することです。
ポリシー領域13:モバイルデバイス
Kiteworksは、主要なモバイルオペレーティングシステムをサポートしています。リモートデータワイプ、セキュアな暗号化コンテナ、アクセスPIN、トークンの有効期間設定、モバイルアプリのホワイトリスト化など、ネイティブのモバイルデバイス管理(MDM)ライト機能がKiteworksプラットフォームを通じて利用可能です。AppleおよびGoogleストアで無料で入手可能なKiteworksモバイルアプリを使用して、ユーザーはiOSおよびAndroidモバイルデバイス上でファイルを作成、編集、共有、送信、およびコラボレーションすることができます。
プレザントン市、アボッツフォード警察署、サウスカロライナ州司法長官事務所、テキサス州少年司法局、およびサクラメント郡などの政府および法執行機関は、Kiteworksを利用して機密コンテンツ通信を統一、制御、追跡、保護し、CJISコンプライアンスを確保および示しています。
Kiteworksプライベートコンテンツネットワークと、それが法執行機関がCJISコンプライアンスを示すのにどのように役立つかについて詳しく知るには、カスタムデモを今すぐスケジュールしてください。
