一般データ保護規則(GDPR)

Microsoft環境向けのシンプルなGDPRコンプライアンス

2018年5月25日に一般データ保護規則(GDPR)が発効することにより、組織はEU市民の個人情報(PII)を保護するため、データ保護およびセキュリティ対策の強化を求められるようになります。 具体的には、PIIへのアクセス権がしかるべき社員のみに付与されていることを組織が保証しなければなりません。 併せて、妥当な措置を講じて不正なアクセスからデータを保護すると共に、データにアクセスする社員について、説明責任を果たすことも求められます。

GDPRは、すべての業界とすべての地域に属する、すべての組織に影響を与えます。EU市民の個人情報を収集および保管しているEU圏外の組織もこれに該当します。 またGDPRによって、次のような大きな課題も生じます。

  • 継続的なコンプライアンスと監査の必要性 — 組織は、いつでもコンプライアンスを証明できなければなりません。
  • データ漏洩通知の義務 — データ漏洩が発生した場合、組織は72時間以内に現地のデータ保護局(DPA)と影響を受けたすべての顧客に通知する必要があります。違反すると、高額の罰金を科せられるばかりか、組織としての評判も失墜します。

GDPRコンプライアンスに備えるには

機能

GDPRの発効後、不名誉なニュースの当事者第1号になることは絶対にあってはなりません。今すぐセキュリティ体制を改善し、オンプレミス、クラウド、ハイブリッドのMicrosoft環境全体のデータ保護を強化して、GDPRに備えてください。 そうすることで、GDPRのコンプライアンスを達成して維持し、高額な罰金と評判の失墜を避けることができます。 Questのソリューションなら、環境を継続的に評価、監視、制御することで、生産性とセキュリティを高めながらGDPRのコンプライアンスを達成できます。

検出と評価

Windowsファイルサーバ、NASデバイス、SQL Server、Office 365、Active Directory(AD)などに存在する非構造化個人データに対して、誰がアクセス権を持っているかを検出します。 既存のセキュリティポリシー、システム構成設定、特権アクセス権を評価および報告することにより、不適切なアクセス権を持つユーザーを特定して、データ漏洩のリスクを軽減します。 ユーザー、コンピューターおよびグループ情報、直接およびネストされたグループメンバーシップ、OUおよびファイル/フォルダのアクセス許可、所有権などの重要なIT資産の現在の状態を評価して、適切なユーザーのみがアクセスできるようにします。

監視

Windowsファイルサーバ、NASデバイス、SQL Server、Office 365、ADなどのすべての主要な構成、ユーザー、および管理者の変更について、リアルタイムの監査、詳細なフォレンジック、包括的なセキュリティ監視によりGDPRコンプライアンスのレポート作成を簡素化し、個人データ漏洩のリスクを軽減します。 疑わしい活動や、個人データが含まれるファイルやシステムへの不正アクセスを検知し、誰が、いつ、どこで、どのような変更を行ったか、また、どのワークステーション/出所から行ったかを素早く判断します。 重大な変更や機密データへの不正アクセスを防止して、予防的な管理を実施し、データ保護担当者やその他の主要な関係者にリアルタイムのデータ漏洩アラートを送信することにより、罰金や評判の損害を避けることができます。 コンプライアンスとセキュリティの目的で、長期間のログ保持と圧縮を使用してイベントログのデータをアーカイブします。また、データ漏洩を迅速に調査して根本原因を特定し、漏洩の範囲を理解することにより、リアルタイムでアラートに対応します。

ガバナンスと制御

機密性の高いリソースへのアクセスを厳密に制御することで、内部の セキュリティとガバナンス を強化し、データ保護を設計上でもデフォルトでも、確実なものにします。 最小特権モデルを使用して安全に管理を委任し、ADで権限のブラックリストとホワイトリストを適用します。 セキュリティポリシーが適切に設定されていることを確認し、必要に応じてデータとアプリケーションへのアクセスを許可、取り消し、変更します。