IRAP | オーストラリアサイバーセキュリティ規格
情報セキュリティ登録アセッサープログラムとは何ですか?IRAPに準拠するとはどういう意味ですか?読み進めて詳細を確認してください。
IRAPとは何ですか?情報セキュリティ登録アセッサープログラム(IRAP)のアセッサーは、オーストラリア政府の業務を行う企業を支援し、独立してサイバーセキュリティの状況を評価し、リスクを特定し、緩和策を提案します。これにより、これらの企業がオーストラリア政府情報セキュリティマニュアルの要件を満たすための適切なポリシーとコントロールを持っていることが保証されます。
IRAPとは何ですか?
オーストラリアは他の国々と同様に、ハッキング、詐欺、国家支援による攻撃の増加する課題に対処するために、重要なサイバーセキュリティ法と規制を実施しています。これらの規則を理解し、現実の状況でどのように適用されるかを理解できる資格のある組織がこれらの規制を評価する必要があります。
情報セキュリティ登録アセッサープログラムは、民間および公共の組織がサイバーセキュリティ要件を満たす能力を証明するユニークなコンプライアンスプログラムです。独立したアセッサーは、2つの異なるガイドラインセットを使用します:
- 情報セキュリティマニュアル:リスク評価に基づいて組織が内部セキュリティフレームワークを構築するのを支援するガイドラインの文書。
- 保護セキュリティポリシーフレームワーク(PSPF):オーストラリア政府機関に適用される共通のセキュリティ基準を強調する規則のセット。
IRAPは、これらのセキュリティ基準に対してアセッサーを評価するためのポリシーと手順を設定し、高品質のセキュリティを維持するための監査基準を確立しています。
IRAP認証を取得するためには、申請者は以下の資格を満たす必要があります:
- オーストラリア市民であること
- 倫理的に行動すること
- 「秘密」レベルのクリアランスを提供するネガティブベッティングレベル1(NV1)に申請するためのすべての要件を満たすこと
上記に加えて、各申請者は2つの異なるカテゴリーから1つずつ資格を証明できる必要があります:
| カテゴリーA | カテゴリーB |
| 認定情報システムセキュリティプロフェッショナル(CISSP) | 認定情報システム監査人(CISA) |
| 認定情報セキュリティマネージャー(CISM) | ペイメントカード業界認定セキュリティアセッサー(PCI QSA) |
| GIACセキュリティリーダー認証(GSLC) | ISO 27001リードオーディター |
| GIACシステムおよびネットワーク監査人(GSNA) | |
| リスクと情報システムコントロールの認定(CRISC) |
最後に、アセッサーは5年間の技術情報および通信技術の経験を持ち、オーストラリア政府の情報セキュリティ規制に対するシステムの保護に2年間の経験を持っている必要があります。その後、IRAP新入社員トレーニングとアセッサー試験を完了する必要があります。
表から推測できるように、潜在的なIRAPアセッサーは、いくつかの評価技術と認証に精通している必要があります。さらに、標準はオーストラリアのサイバーセキュリティ法の知識を超えて、CISSP、ISO評価ガイドライン、ペイメントカード業界(PCI)評価基準、その他のフレームワークの理解を求めています。
Kiteworksは、長いコンプライアンスと認証の実績を誇ります。
IRAP認定の利点
IRAPは、機密情報を扱う組織に対してサイバーセキュリティの認証と認定を提供するプログラムです。IRAP認定には以下のような利点があります:
1. IRAPによる信頼性と信用の向上
IRAP認定は、サイバーセキュリティの認知され信頼されている基準です。認定を受けた組織は、情報セキュリティの高い基準を満たしていると認識されます。
2. IRAPによる規制遵守
IRAP認定は、オーストラリア政府情報セキュリティマニュアル(ISM)やペイメントカード業界データセキュリティ基準(PCI DSS)などの政府規制や業界基準に準拠するのに役立ちます。
3. IRAPによるリスク管理の向上
IRAP認定には、潜在的なサイバーセキュリティリスクを特定し管理するための厳格なリスク評価プロセスが含まれています。
4. IRAPによるセキュリティ体制の改善
IRAP認定は、弱点を特定し、セキュリティ対策を推奨および実施することで、組織のサイバーセキュリティ体制を改善するのに役立ちます。
5. IRAPによる競争優位性
IRAP認定は、高度な情報セキュリティを要求する契約の入札時に組織に競争優位性をもたらすことができます。また、顧客やパートナーに対して、組織がデータセキュリティを真剣に考えていることを示すことができます。
6. IRAPによるコスト削減
IRAP認定は、セキュリティインシデントを防ぎ、データ侵害に関連する費用を回避することで、長期的にはコスト削減につながる可能性があります。
7. IRAPによる政府契約へのアクセス
IRAP認定は、オーストラリア政府と業務を行いたい組織やISM準拠を必要とする組織にとっての要件です。
全体として、IRAP認定は、組織が強力なサイバーセキュリティフレームワークを確立し、利害関係者との信頼を築き、規制や業界基準に準拠するのに役立ちます。
情報セキュリティマニュアルとは何ですか?
IRAPアセッサーが確認するのは、ISMへの準拠です。ISMの核心は、リスク管理の実践に基づいてサイバーセキュリティフレームワークを実装するのを支援することです。
ISMは、オーストラリアサイバーセキュリティセンターがオーストラリア信号局の一部として提供するサイバーセキュリティの助言であり、企業やその他の企業の最高情報セキュリティ責任者や最高情報責任者を対象としています。ISMは、法律で義務付けられていない限り、政府と協力する場合や法律がISMガイドラインに従うことを強制する場合を除いて、厳密には法律で要求されていません。
ISMは、ITおよびサイバーセキュリティインフラストラクチャに関する広範なガイドラインを提供します。米国の国立標準技術研究所と同様に、ISMは以下の分野でのセキュリティに関するガイドをカバーしています:
ISMにおける役割
組織がサイバーセキュリティに関連するポジションをどのように配置し維持するかを扱います。最も顕著なのはCISOです。
ISMにおけるインシデント対応
組織がハッキングや侵害をどのように検出し、管理し、報告するかに関するものです。
ISMにおけるアウトソーシング
組織がクラウドインフラストラクチャやアプリケーションなどの第三者サービスをどのように選択し、安全に実装するかをカバーします。
ISMにおける文書化
組織がセキュリティ計画、ポリシー、実装をどのように文書化するかに関連します。
ISMにおける物理的セキュリティ
組織がデータセンター、ワークステーション、オフィス、IT機器などのリソースを物理的にどのように保護するかを扱います。
ISMにおける人員セキュリティ
従業員を安全かつ確実に採用し、オンボードし、トレーニングし、アクセスを許可し、解雇する方法をカバーします。
ISMにおける通信インフラストラクチャ
組織が通信技術をどのように設置し保護するか、特にケーブルとWi-Fi/RF通信に関連します。
ISMにおける通信システム
組織が電話、ビデオ会議、ファックス、デジタルVoIPサービスなどの通信技術をどのように保護するかをカバーします。
ISMにおけるエンタープライズモビリティ
組織がモバイルデバイスに接続されたITシステムの使用をどのように保護するか、これらのデバイスがどのように安全であるか、どのようにプロビジョニングされるかを詳細に説明します。
ISMにおけるシステム管理
組織がシステム内のイベントをどのようにログに記録し、インシデントを含むログを安全に保ち、報告やフォレンジックのために維持するかをカバーします。
ISMにおけるデータベースシステム
データベースがどのように管理され保護されるか、またそれらのデータベースプラットフォームがどのように選択されるかに関連します。
ISMにおけるメール
セキュアなメールプラットフォーム、暗号化されたセキュアメールの使用、およびメールを介した機密情報の開示を避けることに関連します。
ISMにおける暗号化
トランスポート層セキュリティ(TLS)、セキュアシェル、S/MIMEの使用を含む暗号化の最低承認要件を扱います。
完全なガイドラインのリストについては、ISMのコアドキュメントを確認してください。
IRAP評価とは何ですか?
IRAP評価は、1)法律でISM認証を求められている組織、または2)法律の要件を超えて認証を取得したい組織に対して、ISMの下で認可され必要とされるものです。
一般的に言えば、IRAP評価は2つの段階に分かれています:
IRAP評価のステージ1
アセッサーは評価対象者と協議し、評価の範囲を定義し、ITシステムを理解し、評価に関連する一連の文書をレビューします。これには以下が含まれます:
- 包括的な情報セキュリティポリシーと脅威リスク評価
- システムセキュリティ計画
- セキュリティリスク管理計画
- インシデント対応計画
- 標準操作手順文書
さらに、アセッサーはこれらの文書と評価の範囲に関連する組織のITインフラストラクチャを調査し、準拠しているかどうかを強調し、要件を満たしていないシステムを緩和する方法を文書化します。
IRAP評価のステージ2
ステージ1がかなり徹底している一方で、ステージ2はさらに深く組織のITシステムを掘り下げます。これには、アセッサーがスタッフにインタビューし、実際のシステム実装を調査し、物理的なセキュリティ対策を監査し、これらのシステムの実際の現実がステージ1の文書と一致しているかどうかを一般的に判断するための現地訪問が含まれます。さらに、アセッサーはシステムの状態を説明し、さらなる改善の提案を含むステージ2セキュリティ評価レポートを提供します。
データの異なるカテゴリは、その分類に基づいてより徹底的な評価を求めます。
IRAPの最新の変更
オーストラリア信号局(ASD)は、プログラムの独立したレビューを実施し、2020年12月15日に更新されたポリシーと新しいIRAPアセッサートレーニングを発表しました。プログラムの変更は、IRAPアセッサーが提供するサイバーセキュリティの助言の質を向上させ、アセッサーが独立した第三者としての役割を果たしていることを追加で保証するためのガバナンスの取り決めを強化するために行われました。
プログラムの主要な変更の1つは、IRAPアセッサーが最新のサイバーセキュリティ知識を維持し、示すことを要求することです。これにより、アセッサーが提供する助言が正確で関連性があり、業界の最新の脅威やトレンドを反映していることが保証されます。さらに、IRAPアセッサーはネガティブベッティングレベル1のセキュリティクリアランスを維持することが求められ、その役割に適していることがさらに保証されます。
改訂された5日間のIRAPトレーニングコースは、IRAPとISMの基本をカバーし、プログラムと必要な基準に関する包括的な理解を提供します。更新されたIRAPポリシーとトレーニングは、政府および業界の代表者とASDが共同で設計し、プログラムの文化とガバナンスを改善するための一連の協議フォーラムを通じて行われました。
更新されたポリシーとIRAPアセッサートレーニングの発表に伴い、ASDは現在IRAPアセッサーの申請を受け付けています。現在のIRAPアセッサーは、更新されたポリシーで概説された新しい要件を満たすために24か月の猶予があります。
KiteworksのIRAPコンプライアンスがオーストラリアのサイバーセキュリティ基準に対応
オーストラリア政府は、連邦および州の機関のサプライチェーンに対する脅威を認識しており、IRAPは技術プロバイダーやサプライヤーが厳格なガバナンスとセキュリティ基準に準拠した技術を使用することを保証する上で重要な役割を果たしています。Kiteworksは、機密性の高いコンテンツ通信分野でIRAP評価を受けた唯一のグローバルベンダーであり、PROTECTEDレベルのコントロールに準拠しています。
オーストラリア政府と業務を行う連邦および州の機関、ならびに企業に対して、Kiteworksはシングルテナントクラウドにホストされるデータのプライバシーを保持することを保証します。その結果、データ、メタデータ、または共有アプリケーションリソースの混在がありません。Kiteworksはまた、第三者との機密性の高いコンテンツ通信が規定されたポリシーに従って保護され、管理されることを保証することにより、第三者リスク管理(TPRM)を可能にします。
IRAPコンプライアンスは、Kiteworksが満たす多数のグローバルコンプライアンス基準の1つに過ぎず、FedRAMP、一般データ保護規則(GDPR)、SOC 2、サイバーセキュリティ成熟度モデル認証(CMMC)、連邦情報処理規格(FIPS)などが含まれます。KiteworksのCISOダッシュボードを通じた単一のガラス板は、機密コンテンツが誰によってアクセスされ、誰に共有され、どの通信チャネルを介して、いつ発生したかをリアルタイムで組織に提供します。
Kiteworksのカスタムデモをスケジュールして、どのように機能するかを確認し、KiteworksのPROTECTEDレベルコントロールへのIRAP評価について詳しく学んでください。
ホワイトペーパー:
ホワイトペーパー:
ブログ投稿:
ブログ投稿:
記事:
