監視入門 コンプライアンス目的の監視について

O’Reilly Japan - 入門 監視 の10.1 監視と<wbr>コンプライアンス の内容が興味深かったので、
法令などについて調べてみました。
書籍の内容のまとめと、調べた結果を記載します。

10 セキュリティ監視

• インフラやアプリケーションの監視とセキュリティの監視は異なる。
• インフラやアプリケーションがセキュリティを念頭に置いて作られていないことがある。
• 問題が起きた後に、セキュリティに取り組まなければいけないことが多くあり、それは楽しいものではない。
• 驚異とリスクを見積もり、セキュリティ監視を実施するか否かの判断をする。

10.1 監視とコンプライアンス

• 異なる産業、異なるタイプの会社向けにコンプライアンス規制がある。

• コンプライアンス規制の例

  • HIPAA (ヘルスケアデータ保護)
  • SOX法
  • PCI-DSS
  • SOC2

• コンプライアンス規制の中には実施が簡単なもの、難しいものがある。難しいものを期待する通りに動かすようにするために、監視を実装する。

コンプライアンス規制について

コンプライアンス規制で、セキュリティ監視が影響を受けることを知りました。
書籍のコンプライアンス規制として記載されている4つと、その他の規制としてどんなものがあるのか調べてみました。

IT関連法

IT菅連法律リンク集を、首相官邸ホームページ が公開しています。
* ＩＴ関連法律リンク集
アプリケーションのセキュリティ監視項目は、電子商取引の<wbr>促進、情報通信技術を<wbr>活用した<wbr>行政の<wbr>推進、高度情報通信ネットワークの<wbr>安全性及び<wbr>信頼性の<wbr>確保 あたりの法律が関係しそうです。

業法

首相官邸ホームページ からのリンクがない法律で業法と呼ばれる法律があります。
特定業種に関する法律で、磁業と関係する法律はセキュリティ監視項目に影響する可能性があります。
HIPAA は業法に含まれる法律かなと思いました。

• 業法 - Wikipedia

HIPAA (ヘルスケアデータ保護)

医療情報の電子化の推進とそれに関係するプライバシー保護やセキュリティ確保について定めた法律です。

• 参考
  • クラウドでの患者データのプライバシーとセキュリティー
  • G Suite および Cloud Identity の HIPAA コンプライアンス - G Suite 管理者 ヘルプ
  • 欧米各国におけるヘルスケア個人情報の扱い
  • 機密保持とHIPAA - 24. その他のトピック - MSDマニュアル プロフェッショナル版

J-SOX法

上場企業は、J-SOX法の対象となります。
IT統制は、IT全社統制、IT全般統制、IT業務処理統制 の3カテゴリがあり、セキュリティ監視項目に影響するかと思います。

• 参考
  • SOX法（サーベンス・オクスリー法）: ITコンプライアンスの導入ガイダンスとして

SOC2

SOC2報告書｜サービス：オペレーショナルリスク｜デロイト トーマツ グループ｜Deloitte に以下のように記載されています。

SOC2報告書とは、米国公認会計士協会（AICPA）が定めたトラストサービス規準(Trust Service Criteria)に従って、受託会社（データセンター、クラウドサービス等のアウトソーシング事業者）が記述したセキュリティ、可用性、処理のインテグリティー、機密保持、およびプライバシーに関連する内部統制に対して、監査法人が手続きを実施した結果と意見を表明した報告書です。

トラストサービス規準(Trust Service Criteria) は、以下の5原則があり、それぞれ基準を満たしているのか評価されます。

• セキュリティ
• 可用性
• 処理のインテグリティ
• 機密保持

• プライバシー

• 参考

  • SOC 2 - コンプライアンス  |  Google Cloud
  • GitHubがSOC 1、SOC 2に準拠しました - GitHubブログ
  • “性善説”で考えるセキュリティ、もうやめませんか？ (2/2) - ITmedia エンタープライズ

PCI-DSS

PCI DSSとは 基準、検証要件について│ICMS 国際マネジメントシステム認証機構
これは、業界標準で法律ではなさそうです。

• 参考
  • [PCIDSS]QSA・ASVリスト|日本カード情報セキュリティ協議会(JCDSC)
  • PCI DSSの概要 －PCI DSSの12要件を読み解く－ | NTTデータ先端技術株式会社
  • クレジットカードを扱う店舗・ECサイトが知っておきたい「PCIDSS」の基礎知識｜クレジットカード決済代行のベリトランス株式会社
  • PCI の新たなソフトウェアセキュリティ基準 Software Security Framework - その1：Framework の概要 | NTTデータ先端技術株式会社

コンプライアンス規制に対して、どのように対処するか?

コンプライアンス規制では、業種ごとに、満たさなければいけない基準に若干の違いがありますが、実施すべきことには多くの共通点があります。
後は、コンプライアンス規制を全てを完全に把握することはできなくて、何か1つだけ覚えておきたいと思いました。
個人的には、OWASP 関連のドキュメント群が1つ覚えるものかと思っていて、どのようにして実施するかをサポートするのが、OWASPツール群にあたります。

• 参考
  • OWASP Application Security Verification Standard 3.0.1 邦訳
  • OWASP Top 10 - 2017

参考

• 内部統制へのGitHub活用事例 - BASE開発チームブログ

PCI-DSS のパスワード要件など決めあぐねた時に、実装の参考になりそうに思いました。
コンプライアンス規制がない場合でも、セキュリティ要件の参考に、各種法律、業界標準はひと通り眺めてみても良いかと思います。

以上です。