CJISコンプライアンスを達成するための5つのステップとセキュアなファイル共有

法執行機関は、犯罪現場の写真、目撃者の証言、警察報告書などの機密データを保護するために厳格な規制に従う必要があります。刑事司法情報サービス（CJIS）ポリシーはそのような規制の一つです。CJISは、刑事司法情報（CJI）の管理、伝送、保存に適切なセキュリティコントロールを提供するために設計されたガイドラインのセットです。

法執行機関がCJISに準拠したCJIを含むファイルを安全に保存し共有するためのソリューションを確保することは極めて重要です。この投稿では、法執行機関が安全なファイル共有アプリケーションを使用してCJISコンプライアンスを達成するために取るべき5つのステップを紹介します。

CJISセキュリティポリシーとは何か、CJIS規制とどのように関連しているのか？

CJIS規制は、FBIによって作成された刑事司法情報のセキュリティを確保するためのガイドラインのセットです。CJIの保護と証拠保管の連鎖の確保がCJISコンプライアンスの根幹です。FBIの言葉を借りれば、CJISの目的は次の通りです：

… CJIのライフサイクル全体を保護するための適切なコントロールを提供すること。CJISセキュリティポリシーは、CJIの作成、閲覧、修正、伝送、配布、保存、破棄に関するガイダンスを提供します。このポリシーは、刑事司法サービスと情報にアクセスする、またはそれをサポートするすべての個人—請負業者、民間企業、非刑事司法機関の代表者、または刑事司法機関のメンバー—に適用されます。

CJISセキュリティポリシーは、より広範なCJIS規制の一部であり、刑事司法情報にアクセスする組織が従わなければならない特定のセキュリティ要件と手順を概説しています。CJISセキュリティポリシーは、データ漏洩を含むCJIの改ざんから法執行機関を保護する必要性を最終的に認識しています。

CJISセキュリティポリシーには、アクセス制御、データ暗号化、物理的セキュリティ対策などのガイドラインが含まれています。このポリシーは、刑事司法情報を保護する方法について具体的なガイダンスを提供することで、組織がCJIS規制の要件を満たすのを支援するように設計されています。CJIS規制と特にCJISセキュリティポリシーは、刑事司法情報が保護され、認可された人員によって適切に使用されることを保証します。

CJISコンプライアンスを示すために、今日の法執行機関は以下を行う必要があります：

• 異なる機関のユーザーやリモートで働くユーザーを含む認可されたユーザーにCJIを安全に提供する。モバイルデバイスはユーザーに情報へのアクセスと写真やビデオの撮影能力を提供しますが、法執行機関は、フィールドから効率的にCJIを交換し、安全なモバイルファイル共有のための厳格なデータセキュリティとコンプライアンス要件を満たすソリューションが必要です。
• どのようなシナリオでもデータセキュリティとデータガバナンスのベストプラクティスが守られることを保証する。最新のクラウドとモバイル技術はデータアクセスと生産性を向上させることができますが、データセキュリティとデータガバナンスに新たな課題を生じさせることなく行う必要があります。これは、異なるシステム上の機関間でCJIが共有される場合や、フィールドでモバイルデバイス上で共有される場合に課題となることがあります。
• 使用中のすべての内部プラットフォームとクラウドサービスにわたってCJISセキュリティポリシーを一貫して施行する。データがMicrosoft SharePoint、Windows File Shares、Google Drive、Microsoft OneDrive、Box、Dropboxなどのエンタープライズコンテンツ管理（ECM）プラットフォームやファイルストレージサービスに分散されているため、これはますます困難です。安全なモバイルファイル共有やその他のセキュリティ機能は、使用しているECMプラットフォームやファイルストレージサービスに関係なく、すべての認可されたユーザーが利用できるようにする必要があります。

CJISコンプライアンスが重要な理由

CJISコンプライアンスは、いくつかの理由で重要です。第一に、CJISコンプライアンスは、法執行機関や刑事司法サービスに関連する機密情報が不正アクセス、使用、または開示から保護されることを保証します。第二に、CJISコンプライアンスは、刑事司法システムを通じて保存および通信される情報が正確で信頼性があり、一貫していることを保証します。これにより、司法制度の公正性と正確性が促進されます。第三に、CJISコンプライアンスは、異なる法執行機関や刑事司法サービス間の相互運用性と協力を促進します。これにより、情報を迅速かつ効率的に共有することができ、犯罪の解決やさらなる犯罪活動の防止に重要です。全体として、CJISコンプライアンスは、刑事司法システムの効果的な機能と司法制度の公正性と正確性に対する公共の信頼を維持するために極めて重要です。

CJISセキュリティポリシーは、CJISコンプライアンスの重要な要素であり、刑事司法データの整合性を維持し、適切に保護されることを保証します。不遵守は、資金の喪失、刑事制裁、または民事罰などの深刻な結果を招く可能性があります。

CJIS規制に対する不遵守のリスクには、機密データの紛失や盗難、不正アクセス、またはデータ侵害が含まれます。したがって、法執行機関がCJIを安全に共有および保存するための適切なシステム、手順、およびプロセスを持っていることが最も重要です。

CJISコンプライアンスのための安全なファイル共有

安全なファイル共有は、CJISコンプライアンスを達成するための重要な部分です。安全なファイル共有システムは、CJIの安全な伝送、保存、および管理を可能にし、認可された人員のみがこの非常に機密性の高い情報にアクセスできるようにします。

安全なファイル共有システムは、CJIの保護を確保するために、暗号化、アクセス制御、および認証の厳格な要件を満たす必要があります。これらの5つのステップは、法執行機関が安全なファイル共有ソリューション、プロセス、および手順をCJISセキュリティポリシーと整合させるのに役立ちます。

CJISコンプライアンスステップ1: CJISの義務を特定する

CJISコンプライアンスを確保するための措置を講じる前に、法執行機関はまずその義務を理解する必要があります。CJISコンプライアンスを達成するための最初のステップは、各法執行機関がCJISに関連する役割を特定し、CJISセキュリティポリシーを理解し、注意深くレビューすることです。あなたとあなたの法執行機関がどのように進むべきかを詳しく見てみましょう。

CJISにおける役割を特定することは、あなたの機関が刑事司法機関、非刑事司法機関、または民間請負業者であるかどうかを理解することを含みます。CJISセキュリティポリシーは、異なる種類の機関（およびその他の組織）に対して異なる要件を持っており、特定のカテゴリーを特定することは、必要なコンプライアンス措置を理解する上で重要です。

CJISセキュリティポリシーを理解することは、ポリシーに概説されている要件を読み、真に理解することを必要とします。これには、異なる種類のCJIを特定し、CJIをどのように扱い、伝送するかを理解し、CJIの保護を確保するために必要なさまざまなセキュリティコントロールを理解することが含まれます。

CJISセキュリティポリシーを定期的にレビューすることで、あなたの機関が最新の要件とCJISコンプライアンスを維持するためのベストプラクティスに精通していることを保証します。

CJISコンプライアンスステップ2: 現在のファイル共有システムを評価する

CJISコンプライアンスを達成するための次のステップは、現在のファイル共有システムを評価することです。システムを適切に評価するためには、現在のファイル共有システムの能力と制限、およびリスクと脆弱性を特定する必要があります。その後、ギャップ分析を実施します。このステップは、システムがCJISコンプライアンスを満たしているかどうかを判断する上で重要です。

ファイル共有システムの能力と制限の分析は、システムが何を可能にし、何が欠けているかを特定することを含みます。ファイル共有システムの能力と制限を理解することは、CJIを扱うために必要なセキュリティ要件を満たしているかどうかを判断する上で重要です。

リスクと脆弱性の分析は、ファイル共有システムに対する潜在的な脅威を評価することを含みます。これには、不正アクセス、サイバー攻撃、破壊行為、またはデータ侵害などの脅威にシステムをさらす攻撃ベクトルやその他の脆弱性を特定することが含まれます。

現在のファイル共有システムの能力をCJISセキュリティポリシーに概説された要件と比較するためにギャップ分析を実施します。これにより、システムに存在するギャップを特定し、それらのギャップを埋めるために何をする必要があるかを特定するのに役立ちます。

CJISコンプライアンスステップ3: 安全なファイル共有ソリューションを選択する

安全なファイル共有ソリューションを選択する前に、CJISコンプライアンスを促進または妨げるいくつかの変数を考慮する必要があります。これらの変数には、基本的なセキュリティ機能、導入オプション、使いやすさ、コストなどが含まれます。

基本的なセキュリティ機能には、エンドツーエンド暗号化、アクセス制御、および認証が含まれ、認可された人員のみがCJIにアクセスできるようにします。データ損失防止（DLP）、アンチウイルス（AV）、高度な脅威対策（ATP）、シングルサインオン（SSO）、コンテンツ無害化と再構築（CDR）、およびセキュリティ情報とイベント管理（SIEM）など、セキュリティインフラストラクチャ内の他の技術との統合も強く考慮されるべきです。

クラウドベースとオンプレミスソリューションの選択は、各導入オプションの利点と欠点を比較検討することを含みます。クラウドベースのソリューションは、スケーラビリティ、アクセス性、コスト効率を提供しますが、オンプレミスソリューションは、より大きな制御とカスタマイズを提供します。

安全なファイル共有ソリューションを選択することは、当然ながら、潜在的なプロバイダーの評価を含みます。セキュリティとコンプライアンスの能力と機能、使いやすさ、柔軟性、認証、および業界の評判に基づいて異なるプロバイダーを調査し、比較します。

CJISコンプライアンスステップ4: 安全なファイル共有ソリューションを実装する

安全なファイル共有ソリューションを実装することは、適切な導入方法を選択し、ユーザーアクセスと権限を設定し、新しいシステムに関する従業員のトレーニングを行うことを含みます。

適切な導入方法を選択することは、オンプレミス、クラウドベース、またはハイブリッドソリューションを導入するかどうかを決定することを含みます。オンプレミスソリューションはより大きな制御を提供しますが、クラウドベースのソリューションは柔軟性とスケーラビリティを提供します。ハイブリッドソリューションは、両方の利点を提供します。

ユーザーアクセスと権限を設定することは、ユーザーアカウントを設定し、特定のファイルまたはフォルダーにアクセスできる人を決定することを含みます。認可された人員のみが機密性の高いCJIにアクセスできることを保証することが重要です。

新しいシステムに関する従業員の定期的なサイバーセキュリティトレーニングは、新しいシステムが適切に使用されることを保証するために重要です。トレーニングは、セキュリティのベストプラクティス、新しいシステムの正しい使用法、およびセキュリティインシデントの報告方法をカバーする必要があります。

CJISコンプライアンスステップ5: 安全なファイル共有でCJISコンプライアンスを維持する

安全なファイル共有でCJISコンプライアンスを維持することは、定期的な監査とレビューを実施し、システムをアップグレードおよびパッチし、セキュリティインシデントを監視および対応することを含みます。

定期的な監査とレビューを実施することは、システムがCJIS規制に依然として準拠していることを確認するためにシステムを定期的にレビューすることを含みます。ギャップを特定し、できるだけ早く対処する必要があります。

システムをアップグレードおよびパッチすることは、システムが最新のセキュリティパッチと更新で最新であることを確認することを含みます。これにより、セキュリティの脆弱性が対処され、システムが安全であることが保証されます。

セキュリティインシデントを監視および対応することは、システムの異常な活動を監視し、インシデントに迅速に対応することを含みます。セキュリティインシデントに迅速かつ効果的に対応するためのインシデント対応計画を持つことが重要です。

KiteworksのCJISコンプライアンスのための安全なファイル共有

Kiteworksのプライベートコンテンツネットワークは、エンタープライズクラスのCJIS準拠のソリューションであり、外部関係者との機密情報の安全かつ効率的な交換を可能にします。

Kiteworksは、エンタープライズコンテンツ管理（ECM）およびメールプラットフォームへの既存の投資を活用し、安全なコンテンツアクセスとMicrosoft Office 365統合を提供し、すべてのファイル活動を制御、保護、追跡してコンテンツガバナンス、セキュリティ、および規制コンプライアンスを確保します。オンプレミス、プライベート/ハイブリッドクラウド、またはFedRAMP導入オプションを選択するかどうかにかかわらず、暗号化キーの単独所有を含むコンテンツの完全な制御を維持します。さらに、すべてのコンテンツは監査され、業界標準のeDiscoveryツールで使用するための情報を収集するために保持されることもあります。

Kiteworksを使用すると、法執行の専門家はモバイル電話でCJIを安全にキャプチャおよび転送できます。たとえば、写真は安全に保護され、自動的にKiteworksサーバーにアップロードされ、電話のカメラロールを完全にバイパスします。デバイス上に証拠がないため、データ漏洩のリスクは排除されますが、証拠保管の連鎖の完全な監査トレイルが保持され、CJISコンプライアンスを支援します。

プレザントン市、アボッツフォード警察署、サウスカロライナ州司法長官事務所、テキサス少年司法局、サクラメント郡などの政府および法執行機関は、Kiteworksを利用して、あらゆる場所からあらゆるデバイスを使用してCJIやその他の機密情報を共有する際に、最大限の情報セキュリティを確保し、CJISコンプライアンスを示しています。強力なセキュリティコントロールと業界で最も広範な導入オプションにより、組織はCJIおよびその他の機密情報の保護を通じてCJISコンプライアンスを確保できます。さらに、すべての情報共有活動に対する包括的な管理と制御により、最高レベルのデータセキュリティとコンプライアンスが可能になります。

Kiteworksプラットフォームは、以下を含むすべての適用可能なポリシー領域でCJISコンプライアンスを示しています：

• ポリシー領域4: 監査と説明責任 – 管理者ダッシュボード、Syslog、SNMPを通じてアクセス可能なレポートを通じた完全な監査と説明責任。管理者は、すべての関連ファイルとメタデータを保存し収集する法的要求に応じ、CJISコンプライアンス要件を満たすためにコンテンツ保持ポリシーを設定できます。
• ポリシー領域5: アクセス制御 – LDAP、SSO、2FA、および外部ユーザー認証のためのローカルデータベースを通じたアクセス制御。Kiteworksプラットフォームは、コラボレーションのための個々のフォルダーに対する詳細な権限も提供します。
• ポリシー領域6: 識別と認証 – LDAP、SSO、および2FAを通じた認証。これらのベストプラクティス認証手段の組み合わせが適用されることで、CJISコンプライアンスが支援されます。
• ポリシー領域7: 構成管理 – 構成管理に対する完全な管理制御。Kiteworksプラットフォームは、変更に対するアクセス制限も提供します。
• ポリシー領域10: システムと通信の保護および情報の整合性 – データのエンドツーエンド暗号化。Kiteworksプラットフォームは、FIPS 140-2認証および準拠の構成で利用可能です。顧客はまた、暗号化キーの単独所有と制御を保持します。
• ポリシー領域13: モバイルデバイス – 主要なモバイルオペレーティングシステムをサポート。リモートデータワイプ、安全な暗号化コンテナ、アクセスPIN、トークンの有効期間設定、モバイルアプリのホワイトリスト化などのネイティブMDMライト機能は、すべてKiteworksプラットフォームを通じて利用可能です。モバイル生産性スイートにより、認可されたユーザーがモバイルデバイスでファイルを作成、編集、共有、コラボレーションすることが容易になります。安全なモバイルファイル共有が迅速かつ容易になります。

合計で、Kiteworksプライベートコンテンツネットワークは、法執行機関がモバイルデバイスとクラウドコンピューティングの最新の進歩を最大限に活用しながら、CJISコンプライアンスの厳格な要件を満たすことを可能にします。

KiteworksとそのCJISコンプライアンス機能について詳しく知るには、Kiteworksのカスタムデモを今すぐスケジュールしてください。