NIST CSFコンプライアンスでビジネスを守る
今日、コンテンツの交換は、あらゆるビジネスの収益にとって重要です。顧客、パートナー、コンサルタント、その他のステークホルダーとの協力は、ビジネスの成功に不可欠となっています。しかし、コンテンツが外部と共有されるたびに、露出のリスクが増加します。特にコンテンツが機密性の高いものである場合(多くの場合そうです)、そのリスクを管理することはさらに困難になります。露出リスクに加えて、機密コンテンツが共有されるたびに規制コンプライアンスを証明することは、管理外であるため、証明が難しい場合があります。
Kiteworksでは、機密コンテンツに関するビジネス上の問題があることを理解しています。したがって、Kiteworksのプライベートコンテンツネットワーク内でこのビジネスの課題を解決するためのアプローチをどのように取っているかを共有できることを嬉しく思います。
NISTサイバーセキュリティフレームワークとKiteworks
過去10年間、米国国立標準技術研究所(NIST)は、米国のあらゆるビジネスの全体的なサイバーセキュリティリスク管理をサポートするための任意の使用に向けたサイバーセキュリティフレームワークの特定と開発において重要な役割を果たしてきました。このフレームワークの目的は、企業が現在の構造をサイバー攻撃から自らを守るためにより有用なものに拡張するための基本的な支援構造を提供することです。
Kiteworksの顧客に対しては、このフレームワークを機密コンテンツの保護に関連付けて適用し、サイバーセキュリティリスク管理を担当する適切なビジネスグループが完全に管理できるようにしています。Kiteworksプライベートコンテンツネットワーク内でのNISTサイバーセキュリティフレームワーク(NIST CSF)の適用は、既存の機能を補完し、すべてのエンタープライズパッケージの顧客に提供されます。
NIST CSFの基本原則には、識別、保護、検出、対応、回復が含まれます。サイバーセキュリティリスクを適切に管理するためには、管理すべき資産を識別し、これらの資産を保護するための適切な対策を設定することが重要です。資産が識別され保護された後にのみ、企業はこれらの資産に関するすべての活動を検出することができます。これにより、サイバー攻撃が発生した場合の迅速な対応と回復が可能になります。
最終的には、リスク管理は、イベントが発生する可能性に対するリスクの特定、評価、対応の継続的なプロセスです。Kiteworksは、資産管理を通じて顧客の最も機密性の高いコンテンツを特定し保護することで、顧客に独自のツールを提供しています。
Kiteworksに整合したNISTサイバーセキュリティフレームワークの基本原則
以下は、NIST CSFの基本原則とKiteworksの機能がどのように整合するかの概要です。
サイバー保護のための機密コンテンツの識別
Kiteworksは、資産として識別する必要があるコンテンツの特定を支援する柔軟なアプローチを採用しています。すでにデータ分類(MIP、Titusなど)に投資しているKiteworksの顧客は、この分類方法を維持し、分類器を活用して保護が必要な資産としてコンテンツを識別する方法を提供します。
データ分類が行われていない場合でも、Kiteworksはフォルダパス、コンテンツ所有者、ファイルタイプなどの他の属性に基づいてコンテンツを資産として識別できます。さらに、コンテンツが具体的に不明な場合でも、機密コンテンツを扱っていることがわかっている人を特定し、その人が触れるコンテンツはすべて資産と見なされるようにすることができます。
Kiteworksは、顧客が資産分類に関して異なる段階にあることを理解しています。私たちの資産分類へのアプローチは、現在のデータ分類の使用に関係なく、顧客の要件を満たすことを目指しています。
Kiteworksは、コンプライアンスと認証の実績を誇ります。
コンテンツベースのリスクポリシーによる機密コンテンツの保護
Kiteworksを通じて移動する資産が識別された後、次のステップは、これらの資産を適切に保護するためのコンテンツベースのリスクポリシーを指定し、適用することです。顧客との対話を通じて、各資産クラスは、コンテンツにアクセスする人によって異なるレベルのリスクを持つことを理解しています。したがって、異なるレベルのコンテンツ制御が必要になります。
2023年には、顧客のニーズに完全にカスタマイズ可能な3つの主要なコンテンツベースのリスクポリシーをサポートしています。各ポリシーでは、ユーザー、アクション、資産をさらに定義できます:
- アクセスの正当性を収集する
[ポリシー] アクセスの理由が収集され、資産の監査ログに記録されている限り、資産に対してアクションを許可します。
現在のKiteworksの顧客は、このポリシーを使用して、Kiteworksから資産を取り出す理由を収集し、ダウンロードイベントとともに監査ログに記録しています。コンプライアンスのため、この強化された監査トレイルは、機密コンテンツへの正当なアクセスの証拠を収集し、示す際に大きな影響を与えます。
- アクセスレベルの変更
[ポリシー] 以前のアクセスレベルの許可に関係なく、コンプライアンス要件を満たすアクセスレベルである限り、資産に対してアクションを許可します。
Kiteworksの次世代デジタル著作権管理は、SafeVIEWとSafeEDITによって強化されています。SafeVIEWは、ユーザーとドキュメントの属性に基づいてアクセスポリシーを強制し、制御された環境内でドキュメントを安全に表示できるようにします。これにより、機密情報の無断ダウンロード、印刷、共有を防ぎます。一方、SafeEDITは、同じ詳細なアクセス制御を維持しながら、承認されたユーザーが共同でドキュメントを編集できるようにします。これにより、適切な属性を持つユーザーのみがドキュメントの特定の部分を変更できるようになります。両方の機能は、属性に基づいてアクセスを動的に制御する管理者定義のポリシーに依存しており、機密データがライフサイクル全体で安全に保たれることを保証します。
- アクセスをブロックし、アクセス要求を許可する
[ポリシー] アクセス要求に対するコンプライアンス承認を受けた限り、資産に対してアクションを許可します。
Kiteworksの顧客が、必要に応じて誰が資産にアクセスできるかをより管理された形で決定したい場合、このポリシーはアクセスを要求し、後にコンプライアンス担当者によって承認または拒否されるためのチャネルを提供します。追加のポリシー設定により、承認されたアクセスが一定の期間後または指定されたビュー数の経過後に期限切れになるようにすることができます。
レポートインサイトを通じた機密コンテンツの動きの検出
KiteworksプライベートコンテンツネットワークにおけるNIST CSFの識別および保護機能を構築する中で、資産管理コンプライアンスが監査ログでどのように伝達されるかが開発プロセスの最前線にあります。この監査ログには、資産クラスの割り当てに関する完全な透明性が含まれており、資産クラスに関するイベントの完全な追跡と報告が可能です。さらに、コンテンツポリシーの一部として収集されたユニークな情報は、監査トレイルに収集され表示されます。
これは、ほとんどの企業にとって非常に困難な機密コンテンツの動きに関する透明性を提供します。
組織が開発パートナーになる方法
このブログ記事があなたの組織が直面しているビジネス上の問題に共鳴する場合、開発パートナーになることで製品チームに意見を提供できます。利点には、機能開発への早期アクセスや製品およびデザインチームとの直接の連絡が含まれます。victoria.foster@kiteworks.comまでご連絡ください。