CISOダッシュボードでサードパーティの脅威を明らかに

暗い部屋で電気のスイッチを探して手探りする経験をしたことがあるなら、組織の機密コンテンツを保護することの難しさがわかるでしょう。懐中電灯があれば、すぐにスイッチを見つけて、角の椅子に足をぶつけることを避けられます。CISOダッシュボードは同じように機能します。これは、すべての第三者ワークフロー、つまり従業員が信頼できる外部パートナーと機密情報を共有するために使用するチャネルを可視化することができるからです。見えないものは保護できません。

これらの外部ワークフローの脅威には共通のテーマがあります。それは、ユーザーがアクターであり、ファイルがエージェントであるということです。完全な保護には、関連する脅威の表面全体にわたる防御が必要です。つまり、組織に出入りするすべてのファイルの経路を網羅することです。包括的な防御には、セキュアメール、SFTP、セキュアなファイル共有など、すべての第三者ワークフローを保護、監視、管理することが含まれます。

前回のブログ投稿では、一般的な外部ワークフローの脅威と、CISOがデータ侵害を回避するために採用すべき主要な戦略の概要を紹介しました。今回の投稿では、組織内の誰が何を誰に送っているのかを可視化することの重要性について説明します。リアルタイムの可視化により、組織に出入りするPII、PHI、知的財産、その他の機密情報に関する最も重要なセキュリティの質問に答えることができます。

機密情報の漏洩を防ぎ、悪意のあるコードの侵入を防ぐ

あなたのビジネスが他の多くの企業と同様であれば、毎日、機密コンテンツを生成、収集、共有しています。契約書、予算予測、顧客データなどの機密情報は、コンサルタント、弁護士、会計士、ベンダーなどの信頼できる第三者と頻繁に共有されます。残念ながら、この情報を外部と共有するたびに、マルウェア、フィッシング攻撃、データ漏洩などの多くの脅威にさらされます。

CISOダッシュボードを使用すると、組織のコンテンツ共有活動を確認し、見逃しがちな異常を検出できます。例えば、製品マーケティングマネージャーがプロフォーマ財務諸表をダウンロードし、個人のGmailアカウントに送信しているのを見たとします。この活動にはビジネス上の目的があるのでしょうか？香港からの多数のログイン失敗が見られ、そこにオフィスや顧客がいないため、悪意のあるアクターが活動している可能性が高いことがわかります。最後に、従業員がSharePointサーバーにアップロードしようとしたマルウェアを含むファイルを確認します。この情報をリアルタイムで把握することで、データ侵害、サイバー攻撃、またはコンプライアンス違反を回避するのに役立ちます。

すべてのファイル活動を監視してプライバシー規制へのコンプライアンスを証明する

組織のファイル活動に関するリアルタイム情報は、すべてのファイルと交換をカバーしている場合にのみ資産となります。それまでは、部分的な可視性しか持っておらず、それは部分的にしか航行できない船を持っているようなものです。CISOダッシュボードは、ユーザー、タイムスタンプ、IPアドレスを含むすべての活動をファイルレベルまで監視できなければなりません。カスタマイズ可能なCISOダッシュボードは、オンプレミスとクラウドのコンテンツリポジトリの両方に接続し、すべての従業員のアップロード、ダウンロード、ファイル共有、さらにはファイルスキャンをキャプチャします。CISOダッシュボードを組織のブラウザ履歴と考えてください。ただし、従業員が訪問するウェブサイトを追跡するのではなく、従業員が触れるファイルを追跡します。

CISOが完全な可視性を持つと、企業を通過するすべてのファイルの全体像を把握し、それを規制当局に証明することができます。堅牢なCISOダッシュボードは、ファイル活動を追跡してログを記録し、さらなる分析のために使用したり、規制コンプライアンスを業界要件に基づいて証明する詳細なレポートを生成したりすることができます。HIPAA、GDPR、GLBA、CCPAなど。

CISOダッシュボードの実装は、機密コンテンツを保護するためのベストプラクティスの一つに過ぎません。次回の投稿では、従業員がアクセスし共有する機密情報を保護するために、すべての第三者コミュニケーションアプリを保護することの重要性について説明します。

第三者ワークフローの脅威表面を包括的に防御する方法について詳しく知りたい方は、Kiteworksの

最適なHIPAA準拠のファイル共有ソリューションは何ですか？不適切な選択は、保護された健康情報（PHI）の安全性と高額な侵害の違いを生むことになります。

HIPAAとは何ですか？

医療保険の相互運用性と説明責任に関する法律（HIPAA）は、保護された健康情報（PHI）のプライバシーとセキュリティを確保するための連邦法です。これには、患者が個人の健康情報をよりコントロールできるようにし、その情報がどのように、いつ共有されるかに制限を設けることが含まれます。また、PHIのプライバシーとセキュリティを確保するための管理的、物理的、技術的な保護策も含まれています。

医療機関とそのビジネスパートナーは、患者情報を安全に保つために必要な手順を踏んでいることを示すために、HIPAAコンプライアンスを証明しなければなりません。HIPAAへの準拠は、患者情報が不正アクセスや不正使用から保護されることを保証し、医療機関と患者の間の信頼を築くのにも役立ちます。

HIPAAコンプライアンスは、患者情報がどのように、いつ共有されるかについて厳格なガイドラインを設けることで、患者とそのプライバシーを保護します。また、医療機関に対して技術的および物理的な保護策を設定することで、患者情報への不正アクセスを防ぎます。HIPAAはまた、患者が記録のコピーを要求したり、必要に応じて情報を修正または訂正する権利を与えることで、患者が自分の情報をよりコントロールできるようにします。最後に、HIPAAは法律に違反した組織に対して罰則を提供します。

HIPAAはファイル共有にどのように影響しますか？

PHIを含むファイル共有ソリューションは、HIPAAの3つの包括的なルールに準拠しなければなりません：

1. プライバシールール：PHIを定義し、プロバイダー、保険会社、および関連するビジネスがそれを保存および送信する際の責任を定めています。要するに、特定の状況を除いて、患者のプライバシーを保護しなければなりません。
2. セキュリティルール：医療機関がデータを転送中および保存中に保護するために使用しなければならないセキュリティ対策を概説しています。
3. 侵害通知ルール：システムが侵害され、PHIが危険にさらされた場合に、これらのプロバイダーが負う責任を概説しています。

HIPAAプライバシーおよびHIPAAセキュリティルール

HIPAAプライバシールールは、個人を特定できるすべての健康情報、例えば敏感な患者データのプライバシーを保護します。これには、医療提供者、健康保険、その他のPHI（保護された健康情報）を扱う団体が、不正アクセス、使用、開示から適切に保護することを要求しています。

HIPAAセキュリティルールは、電子PHIのセキュリティに関する国家基準を確立しています。組織は、PHIの保護のために管理的、物理的、技術的な保護策を使用することを要求されています。また、PHIのセキュリティに対する潜在的なリスクを特定し対処するためのリスク管理プログラムを実施することも要求されています。

ファイル共有に関しては、HIPAAルールは、共有または転送されるPHIが安全に行われるようにするために、組織が合理的な手段を講じることを要求しています。これらの手段には、認証や暗号化などのアクセス制御の実施、セキュアなファイル転送プロトコルや製品の使用が含まれます。組織はまた、PHIが不適切にアクセスまたは使用されていないことを確認するために、ファイル共有活動を定期的に監視および監査する必要があります。

セキュリティルールは、ファイル共有ソリューションにとって非常に重要です。なぜなら、どのソリューションも実装しなければならない3つの重要な保護策を定義しているからです：

1. 管理的保護策：これらの保護策には、適切なデータガバナンスとリスク管理ポリシーの策定、セキュリティ実装に関する効果的なリーダーシップと意思決定、従業員のサイバーハイジーンをサポートするための関連するトレーニングと継続教育プログラムが含まれます。
2. 物理的保護策：物理的保護策には、データの物理的な場所（ワークステーションやサーバーなど）をロック、カメラ、生体認証などの手段で保護することが含まれます。
3. 技術的保護策：これらの保護策には、アンチマルウェアソフトウェア、暗号化、パスワード、ファイアウォールなどの保護手段が含まれます。

医療提供者は、HIPAAに従ってPHIを取り扱うために、これらすべての要件を満たさなければなりません。つまり、バックオフィスからデータセンター、ソフトウェアやプラットフォームに至るまで、患者データを保護しなければなりません。

医療機関のデータ保護とHIPAAコンプライアンスの達成

医療機関は、データの機密性、整合性、可用性を確保するための手順を講じることで、ファイルを共有する際にデータを保護し、HIPAAコンプライアンスを達成できます。組織は、ファイルを転送する際にエンドツーエンドの暗号化、ユーザー認証、セキュアなプロトコルを要求するべきです。また、組織は、データが許可された人員のみがアクセスできるようにするために、物理的およびデジタルのアクセス制御手段を要求するべきです。さらに、組織は、データが損失または破壊された場合に備えて、定期的なセキュリティ評価とデータバックアップを要求するべきです。データはまた、HIPAAに準拠していることを確認するために監査および監視されるべきです。

誰がHIPAA準拠のファイル共有を使用する必要がありますか？

HIPAAは、規制に準拠しなければならない医療に関連するすべての関係者を定義しています：

1. 対象事業者（CEs）：病院、診療所、医師のオフィス、保険会社、その他患者ケアに直接関連する者などの主要な医療提供者。
2. ビジネスアソシエイト（BAs）：対象事業者をサポートする役割を果たす者（保険、機器製造、ITサポートなど）。

CEと協力するベンダーは、定義上、ビジネスアソシエイトです。彼らは必然的にPHIを転送または保存するために扱うことになり、したがってHIPAA準拠のソフトウェアを持たなければなりません。つまり、ファイル共有ベンダーが自分のソリューションを準拠させたい場合、または準拠したベンダーと協力したい場合、彼らは次のことを行うべきです：

1. パートナーCEとのビジネスアソシエイト契約を結ぶ、
2. 患者データのための物理的、管理的、技術的な保護策を実施する、
3. HIPAAで定義されたリスク、報告、通知に関する追加の規制に従う。

HIPAAファイル共有ベンダーに何を求めるべきですか？

PHIを扱う組織がファイル共有ソリューションベンダーを評価する際に考慮すべき基本的な属性があります：

1. ベンダーはBAAを持っていますか？多くのソリューションプロバイダーは、医療機関が使用または修正できる既存のBAAを持っています。BAAを持っていないことは、ベンダーがPHIを扱うのに十分成熟していないか、HIPAA準拠していないことを示す可能性があります。
2. ベンダーはエンタープライズ機能を持っていますか？PHIの共有は単にファイルを転送することではありません。高度に規制された環境で複雑な操作をサポートするための分析、管理、ガバナンスを持つことです。これは、すでに厳しいセキュリティ問題に対処しなければならない医療提供者にとって特に重要です。
3. 彼らの専門知識はどこにありますか？適切なファイル共有ソリューションは、セキュリティ、データの可視性、コンプライアンス、および保護を提供します。医療は、CEやBAが手を抜く余裕のない業界です。

これらの3つの側面は一般的ですが重要です。HIPAA違反は1件あたり100ドルから始まりますが、違反やコンプライアンス違反によっては年間数百万ドルの罰金に膨れ上がる可能性があります。

G SuiteはHIPAA準拠のファイル共有サービスですか？

Googleドライブは多くの人に人気があるため、G SuiteはHIPAA準拠しているのか疑問に思うかもしれません。いいえ、G SuiteはHIPAA準拠のファイル共有サービスではありません。Googleは、G SuiteがHIPAAコンプライアンスルールで概説されているセキュリティ、プライバシー、および技術基準を満たすために必要な手順を踏んでいません。

Googleドライブ自体はHIPAA準拠していません。組織がPHIを扱うためにGoogleドライブを使用したい場合、Googleとのビジネスアソシエイト契約を結び、コントロール、認証、パスワード、その他必要な保護策を実施する必要があります。

OneDriveはHIPAA準拠のファイル共有サービスですか？

いいえ、OneDriveはHIPAA準拠のファイル共有サービスではありません。HIPAA準拠であるためには、サービスはデータの暗号化、監査ログ、アクセス制御を含む厳格なセキュリティ規制に従わなければなりません。Microsoftは、OneDriveがこれらの要件を満たしていると述べていないため、HIPAA保護されたデータの保存には使用すべきではありません。

クラウドストレージをHIPAA準拠に保つ

クラウドストレージがHIPAAに準拠していることを確認するために、まず、協力しているクラウドプロバイダーがHIPAAに準拠していることを確認しなければなりません。これは、プロバイダーがデータを保護するための適切な技術的保護策を持っていることを確認することを意味します。たとえば、顧客はデータを不正アクセスから保護するために、セキュアな暗号化プロトコルとアクセス制御を持っていることを確認する必要があります。

ファイルを共有する際には、データが転送中および保存中に暗号化されていることを確認しなければなりません。さらに、ユーザーは、GDPRなどのデータに影響を与える可能性のある適用法を認識しているべきです。

エンティティはまた、クラウドプロバイダーがHIPAAコンプライアンスを維持するためにセキュリティコンプライアンスのために定期的に監査されていることを確認しなければなりません。最後に、エンティティは、クラウドでファイルやデータを共有する際に許可されることと禁止されることを明確に示すポリシーを持っているべきです。

2023年のHIPAAコンプライアンスのナビゲート

HIPAA規制に準拠し続けるために、エンティティはすべての保護された健康情報（PHI）が安全に保存および処理されていることを確認しなければなりません。さらに、すべてのPHIは転送中および保存中に暗号化され、不正アクセスがないか定期的に監視されなければなりません。エンティティはまた、すべてのPHIが許可された人員のみがアクセスできるようにし、アクセスログを保持し、従業員の退職時にアクセス権を取り消すことを確認しなければなりません。

さらに、エンティティは定期的に更新されるリスク評価プロセスを持ち、HIPAAコンプライアンスに関する継続的な従業員トレーニングと教育を提供しなければなりません。最後に、エンティティはデータ侵害が発生した場合に対応する準備を整え、よく考えられたインシデント対応計画を持っていなければなりません。これらの手順を踏むことで、エンティティは2023年のHIPAAコンプライアンスを効果的にナビゲートできます。

Kiteworksプラットフォーム：HIPAA準拠のファイル共有ソリューションはプライベートクラウドと監査トレイルに焦点を当てています

Kiteworksプラットフォームを使用すると、エンタープライズソリューションの力を得ることができ、HIPAAコンプライアンスとセキュリティを重視しています。

Kiteworksは次の3つの分野に特化しています：

1. セキュリティ：メールからファイル転送、ストレージまで、すべてのKiteworksツールはHIPAA準拠の暗号化、ATP、DLP、SIEMなどの既存のセキュリティインフラとの統合、その他のセキュリティ対策で保護されています。各顧客に独立したプライベートクラウドを展開するため、専用のKiteworksプラットフォームアプリケーション内で他の顧客とデータやメタデータが混在することはありません。セキュリティのゴールドスタンダードとして、米国の組織はFedRAMPホストの提供を検討することができます。指定された第三者が300以上のセキュリティコントロールの詳細な年次監査を実施し、インターネットおよび企業イントラネットの両方からの年次ペネトレーションテストを行い、構成変更やインシデントを継続的に監視します。暗号化キーの所有権を持ち、改ざん防止キー保護のためにハードウェアセキュリティモジュール（HSM）と統合することができます。
2. コンプライアンス：当社の施設と運営は、PHIのためのすべてのHIPAAセキュリティ保護策を満たしており、データサーバーやワークステーションのセキュリティ、管理プロトコルを含んでいます。Kiteworksを通じてデータを転送する際、データはエンドツーエンドで安全かつ準拠しています。これには、最小特権のデフォルトと非準拠ファイルの自動ブロックを備えたDLP統合を含む、詳細な役割ベースの権限とコントロールが含まれます。
3. 可視性：データの可視性、分析、報告は、コンプライアンスに必要であり、エンタープライズビジネスのレジリエンスと効率性の成功に不可欠です。Kiteworksプラットフォームは、PHIを保護し、ガバナンスするために必要な知見を提供します。これには、監査人にコンプライアンスを証明するための包括的で統一された不変のログと監査トレイル、漏洩が発生した場合のフォレンジックが含まれます。また、コントロールをカバーし、潜在的なリスクを強調するワンクリックコンプライアンスレポートを取得でき、監査人に適したエクスポートが可能です。

Kiteworksプラットフォームには、セキュアなメールやSFTP、エンタープライズグレードのマネージドファイル転送、単一のプラットフォームでのデータアクセスとコントロールの統合など、追加のHIPAA準拠機能も含まれています。さらに、単一テナントクラウドのための100%オンプレミス展開を持つ唯一のソリューションであり、共有クラウドサービスの外部でのセキュリティがさらに向上します。

Kiteworksのカスタムデモをスケジュールして、HIPAA準拠のファイル共有を達成する方法を詳しく学んでください。

を今すぐスケジュールしてください。