一般データ保護規則(GDPR)

Microsoft環境向けのシンプルなGDPRコンプライアンス

2018年5月25日より、一般データ保護規則(GDPR)が発効することにより、「データコントローラー」と「データプロセッサー」の両方を含むさまざまな組織は、EU市民の個人情報(PII)を保護するため、データ保護およびセキュリティ対策の強化を求められるようになります。また、GDPRのコンプライアンスについていつでも実証できることも求められます。 具体的には、以下のことを保証する必要があります。

  • アクセス権を持つべき人のみにアクセス権を与える
  • 不正なアクセスからデータを保護するために妥当な措置を講じている
  • データにアクセスする人についてのアカウンタビリティ
  • データ漏洩の範囲に関するタイムリーで正確な理解

GDPRは、すべての業界、すべての地域に属する、250人以上の従業員を抱えるすべての組織に影響を与えます。EU市民の個人情報を収集および保管しているEU圏外の組織もこれに該当します。 新しい規制には大きな課題もあり、その中には次のようなものがあります。

  • 継続的な コンプライアンスと監査 の必要性 — 組織は、毎月または毎年一度だけでなく、いつでもコンプライアンスを示すことができなければなりません。
  • データ漏洩通知の義務 — GDPRでは、データ漏洩を「送信、保存、処理された個人データの偶発的または不法な破壊、紛失、変更、不正な開示、またはアクセス」と定義しています。 データ漏洩が発生した場合、組織は72時間以内に現地のデータ保護局(DPA)と影響を受けたすべての顧客に通知する必要があります。これに違反した場合は、高額の罰金と組織の評判の失墜を招きます。

GDPRの発効後、最初の不名誉なニュース記事の当事者にならないようにしましょう。今すぐセキュリティ体制を改善し、 オンプレミス、クラウド、ハイブリッドのMicrosoft環境全体のデータ保護を強化して、GDPRに備えてください。 そうすることで、GDPRのコンプライアンスを達成および維持し、高額な罰金と評判の失墜を避けることができます。 Questのソリューションを使用して環境を継続的に評価、監視、制御することにより、生産性とセキュリティを高めながら、GDPRのコンプライアンスを達成することができます。

機能

検出と評価

Windowsファイルサーバ、NASデバイス、SQL Server、Office 365、Active Directory(AD)などに存在する非構造化個人データに対して、誰がアクセス権を持っているかを検出します。 既存のセキュリティポリシー、システム構成設定、特権アクセス権を評価および報告することにより、不適切なアクセス権を持つユーザーを特定して、データ漏洩のリスクを軽減します。 ユーザー、コンピューターおよびグループ情報、直接およびネストされたグループメンバーシップ、OUおよびファイル/フォルダのアクセス許可、所有権などの重要なIT資産の現在の状態を評価して、適切なユーザーのみがアクセスできるようにします。

監視

Windowsファイルサーバ、NASデバイス、SQL Server、Office 365、ADなどのすべての主要な構成、ユーザー、および管理者の変更について、リアルタイムの監査、詳細なフォレンジック、包括的なセキュリティ監視によりGDPRコンプライアンスのレポート作成を簡素化し、個人データ漏洩のリスクを軽減します。 疑わしい活動や、個人データが含まれるファイルやシステムへの不正アクセスを検知し、誰が、いつ、どこで、どのような変更を行ったか、また、どのワークステーション/出所から行ったかを素早く判断します。 重大な変更や機密データへの不正アクセスを防止して、予防的な管理を実施し、データ保護担当者やその他の主要な関係者にリアルタイムのデータ漏洩アラートを送信することにより、罰金や評判の損害を避けることができます。 コンプライアンスとセキュリティの目的で、長期間のログ保持と圧縮を使用してイベントログのデータをアーカイブします。また、データ漏洩を迅速に調査して根本原因を特定し、漏洩の範囲を理解することにより、リアルタイムでアラートに対応します。

ガバナンスと制御

機密性の高いリソースへのアクセスを厳密に制御することで、内部の セキュリティとガバナンス を強化し、データ保護を設計上でもデフォルトでも、確実なものにします。 最小特権モデルを使用して安全に管理を委任し、ADで権限のブラックリストとホワイトリストを適用します。 セキュリティポリシーが適切に設定されていることを確認し、必要に応じてデータとアプリケーションへのアクセスを許可、取り消し、変更します。