クラウドストライク2026年版グローバル脅威レポートエグゼクティブサマリー:AI時代に必読の脅威インテリジェンスレポート
ダウンロード

一般データ保護規則 (GDPR) とは

一般データ保護規則 (GDPR) は、欧州連合 (EU) 市民のプライバシーの保護を目的とした、EUの個人データ保護法です。2018年5月に制定された同法は、場所に関係なく、EUを発生元とする個人データを扱うすべての組織に対し、同じ一連の規則を課します。

GDPRは、EU以外の場所を拠点とする組織も含め、EUを発生元とする個人データを扱うどの組織にも適用されるため、コンプライアンスを評価し、規制に定められた義務を果たすすべての組織にとって重要です。

コンプライアンス違反がもたらす影響は大きく、2,000万ユーロ、または親会社の全世界での年間収益の4%のうちいずれか高いほうの罰金が科されます。

GDPRに基づいて保護する必要があるデータ

個人データとは、個人を特定できる情報のことです。いくつか例を示します。

  • 名前
  • 識別番号
  • 位置データ
  • 物理的、生理的、遺伝子的、商業的、文化的、社会的かを問わず個人を特定できる特性
  • 電話番号や住所などの連絡先情報
  • クレジットカード番号や銀行口座の詳細情報
  • 個人番号や顧客番号
  • アカウントデータ
  • 車両登録とナンバープレート番号

上記の一般的な個人データの保護に加えて、GDPRでは機密性が高い個人データに対して一段高い保護レベルを義務づけています。このタイプのデータには次のものがあります。

  • 遺伝、生体、健康データ
  • 人種および民族データ
  • 政治的思想
  • 信仰する宗教やイデオロギー的信念
  • 労働組合への加入状況

GDPRは特にEUを発生元とする個人データに適用されますが、複数のデータポリシーとそれを支えるインフラストラクチャを維持するのは実用性に欠け、複雑でコストがかかるため、多くの企業が場所に関係なくすべての顧客に要件を適用しています。このため、EU域外に住む多くの消費者も、GDPRが定める安全性とセキュリティの恩恵を受けます。

詳細

こちらの記事で、企業やその他の組織が地方自治体や業界の規制と基準の遵守のために従わなければならないセキュリティ、コンプライアンス、ガバナンスの数多くのフレームワークをご確認ください。

セキュリティ、コンプライアンス、ガバナンスのフレームワーク

GDPRでのサイバーセキュリティに関する記述

データ保護は、サイバーセキュリティとGDPRコンプライアンスの両方において中核となる要素です。

GDPRは、企業が個人データを処理するときに求められる原則を具体的に6つ挙げています。

  1. 適法性、公正性、透明性
  2. 目的の限定
  3. データの最小化
  4. 記録保存の制限
  5. 完全性および機密性
  6. 包括的な説明責任

GDPRは欧州連合の個人データの処理に関して組織に具体的な助言を与えるものですが、ガイドラインでは企業に対し自らの判断でまたは専門家に相談してコンプライアンスを維持するように義務づけています。

例えば、第5条(1)(f)では、組織は「最先端技術を考慮し、適切な技術対策および組織対策を実装して、リスクに適したセキュリティレベルを確保できるよう、個人データの適切なセキュリティ」を維持する必要があると規定しています。

この規定から、組織にとって重要で、ひいては重大な結果をもたらす懸念事項がいくつか浮かび上がってきます。

  • 「個人データの適切なセキュリティ」とは何か
  • 「適切な技術対策および組織対策」とは何か
  • 「リスクに適したセキュリティレベル」とは何か
  • サイバーリスクは漸進的に変化する概念であるため、企業は、導入されているツール、ポリシー、プロセスで全体的なコンプライアンスを確保し続けるにはどうしたらよいでしょうか。

GDPRでは、組織のコンプライアンスに影響を与える重要なポイントを他にもいくつか規定しています。例えば、個人にリスクをもたらすデータ侵害が発生した場合、組織はその事象を認識してから72時間以内に報告することが義務づけられています。このことから、組織に求められるものが浮き彫りになります。詳細なインシデント対応計画を導入することと、組織がその事象をすばやく評価し、当局への報告に必要な情報を収集できるシステムを備えることです。
crowdstrike-tdk-case-study-cover

ユーザー事例:TDK Electronics

TDK Electronics AGはこれまでITセキュリティを最優先事項に据えてきましたが、それは何も不思議なことではありません。同社の顧客の大半は自動車業界と産業エレクトロニクス業界の有力企業であり、いかなる種類のサイバー攻撃も許容する余地がありません。CrowdStrike®クラウドベースのソリューションは、TDKの信頼に応える包括的な保護を提供しています。

 今すぐダウンロード

考慮すべきセキュリティコントロールとは

GDPRは、主に組織の特定のレベルのリスクを評価することと、そのリスクに基づいて「適切な対策」を導入することの両方に基づいているため、GDPRでは標準的なセキュリティソリューションは規定されていません。

とはいえ、リスクを把握し、データ侵害からもGDPRに関連して法的な影響を及ぼしうる事態からも保護するために組織が従べきベストプラクティスがいくつかあります。

堅牢なIAM(アイデンティティおよびアクセス管理) ツールとポリシーを実装する

GDPRの主な原則の1つに、組織が収集する個人データへのアクセスを、日常的な職業的責任の一環としてそのデータに対する特定かつ重大な必要性を有する従業員のみに限定することがあります。これにより、個人を特定できる情報 (PII) と機密性が高い個人データへのアクセスをできる限り少数のユーザーに限定できます。

IAM(アイデンティティおよびアクセス管理)は、ITチームがユーザーのアイデンティティを検証し、そのアクセス権を確認できるようにするフレームワークです。IAMは、GDPRのコンテキストではシステム、ネットワーク、アセットに広く適用できますが、重点を置いているのはデータアクセスです。

IAMには安全なアクセスを実現する戦略がいくつかあり、いずれも組織で検討する価値があります。

  • ゼロトラスト:組織のネットワークの内外を問わず、すべてのユーザーを認証、承認し、セキュリティ設定とセキュリティポスチャについて継続的に検証したうえで、アプリケーションやデータへのアクセスを許可または維持するセキュリティフレームワークのことです。
  • 最小特権の原則 (POLP):コンピューターセキュリティの概念および手法であり、ユーザーの業務に必要なタスクに基づいて制限されたアクセス権をユーザーに許可します。POLPにより、アイデンティティが検証された承認済みのユーザーのみが、特定のシステム、アプリケーション、データ、その他のアセット内で職務を実行するために必要な権限を持てるようになります。
  • 多要素認証 (MFA):ユーザー名とパスワードに加えて、1つ以上の認証情報でユーザーのアイデンティティを確認した後にのみアクセスを許可するセキュリティ機能です。これには、テキストメッセージやEメールで送信されたセキュリティコード、認証アプリケーションからのセキュリティトークン、さらには生体認証情報などがあります。

データプライバシートレーニングなどサイバーセキュリティトレーニングプログラムを開発して実装する

GDPRは、あらゆるタイプのリスクからデータを保護することに焦点を当てています。これには、データの安全性を確保して外部の侵害から保護するサイバーセキュリティ手法とツールのほか、データが従業員によって内部で適切に処理されるようにするために講じる措置と適用するポリシーを含めることができます。

サイバー犯罪者は、さまざまな方法を利用して組織を侵害しますが、その中でも最もよく使用され、しかも最も簡単であることが多いものの1つに、組織的なフィッシング攻撃やその他のソーシャルエンジニアリング手法を利用して従業員を標的にするというものがあります。このリスクを最小限に抑えるために、組織は従業員向けの包括的なサイバーセキュリティトレーニングプログラムを開発する必要があります。その中で、よく見られるセキュリティリスクに関する教育を従業員に施し、オンラインでの責任ある振る舞いを促し、攻撃されていると思われる場合に取るべき措置を提示するようにします。

また、機密性が高い個人データにアクセスできる従業員に対し、そのデータを保護して安全性を確保するために必要な措置を講じられるよう、特別なデータプライバシートレーニングを実施するようにします。

Expert Tip

このガイドのヒントに従うと、従業員向けの包括的なサイバーセキュリティトレーニングプログラムをどのように作成するか、プログラムに何を含めるべきか、組織にプログラムをどのように実装すればサイバー攻撃の防御に役立つかを確認できます。

サイバーセキュリティトレーニングプログラムの作成方法に関するガイド

包括的なDLP(データ損失防止) ソリューションを実装する

データ損失防止 (DLP) は、侵害、流出、不正アクセスによるデータの損失、漏洩、悪用を検出して防御することに重点を置いた、企業の包括的なセキュリティ戦略の一部です。

また、DLPは機密性が高い個人情報を識別して分類し、社内のデータポリシーでGDPRといった関連する規制を確実に遵守するための手段でもあります。DLPソリューションを適切に設計および設定すれば、こうしたコンプライアンスと監査要件に合わせて効率よくレポートを作成できます。

DLPソリューションの中には、機密性が高い個人データを識別して分類するほかに、そのデータがいつアクセス、共有、ダウンロードされたかを追跡し、担当するチームメンバーにアラートを通知できるものもあります。

DLPで仮名化や匿名化などのデータ難読化手法を有効にする

DLPのコンポーネントにはもう1つ、難読化手法によるデータの保護と関係するものがあります。

データ難読化は、社外秘データや機密データを偽装して不正アクセスから保護するプロセスです。データ難読化戦術には以下のものがあります。

  • データマスキング:データマスキング(データ匿名化)は、ログに記録されたメッセージから暗号化キー、個人情報、認証トークン、認証情報などの機密データを非表示にするデータ難読化手法です。データマスキングは、データの値を変更するとともに、マスキングしたデータに元のデータと同じ形式を使用します。
  • 仮名化:データ仮名化は、個人を特定できる情報フィールドを架空のエントリー(仮名)に置き換えることでデータレコードを匿名化できるデータ難読化手法です。
  • 暗号化:データ暗号化は、プレーンテキストを暗号テキストと呼ばれるエンコード情報に変換することでデータを保護します。暗号テキストには適切な暗号化キーで復号化しないとアクセスできません。
  • トークン化:データトークン化は、機密データの一部を本質的な意味や値がないトークンと呼ばれる別の値に置換するプロセスです。承認されていないユーザーにとっては何の意味も持たないデータです。

リスクの高い組織や業界の場合はインサイダーリスク管理 (IRM) ソリューションの実装を検討する

インサイダー脅威とは、組織の内部から発生するサイバーセキュリティリスクであり、通常、現在や過去の従業員、または企業ネットワーク、機密データ、知的財産 (IP) に直接アクセスできる人物、およびビジネスプロセス、企業ポリシー、またはそのような攻撃の実行に役立つその他の情報に関する知識を持つ人物によって引き起こされます。

GDPRコンプライアンスということになると、インサイダーリスク管理 (IRM) が重要な検討事項になりえます。IRMは、リスクが高いユーザーアクティビティを可視化して、SOCチームとインサイダー脅威チームがインサイダーによって侵害された機密データをすばやく検知し、調査して対応できるようにするソリューションです。多くの場合、外部の脅威アクターよりもインサイダーのほうが個人データに多くの損害を与える可能性があります。例えば、インサイダーは通常、データがどこにあり、どのようにアクセスするのか、さらに場合によっては検知システムにどのようなギャップがあるのかを知っています。従業員は暗黙的に信頼され、アクセスが許可されているうえ、組織の事情をよく知っているため、従業員によるリスクの高いアクティビティなのか、許可された使い方なのかを区別するのは困難です。

リモートワークやハイブリッドワークのモデルが今後も成長を続け、生産性向上のためにこれまで以上に多くのアプリケーションとメッセージングシステムを介して従業員にシステムとデータへのアクセスが許可されるようになって、IRMの重要性が増しています。

現在、DLPとIRMは、多くの場合、2つの別個のセキュリティソリューションとなっていますが、データ保護が大多数のサイバーセキュリティプログラムの中心的な要素になるのに伴い、この2つのソリューションは収束し始めています。

インシデント対応 (IR) 計画を策定する

GDPRではデータ侵害を受けたら72時間以内にデータ保護機関に報告しなければならないことを規定しているため、欧州の個人データを管理する組織はこのような事象に対処できる明確な計画を導入する必要があります。

インシデント対応 (IR) は、データ侵害に備え、検知し、封じ込めて復旧するために企業が講じる措置を説明するために使用される包括的な用語です。

IR計画においてGDPRの観点から最も重要な部分の1つに、インシデント通知があります。例えば、インシデントを分析して優先順位を付けたら、すべての通知を内部と外部のどちらにも送るようにします。計画のこの部分には、GDPRやその他の関連する規制に固有の報告要件も含める必要があります。

詳細

こちらの記事で、組織内のすべてのステークホルダーが攻撃に備え、万一攻撃が発生した場合には何をすればよいのかがわかるようにインシデント対応計画を作成する方法をご確認ください。

インシデント対応計画:フレームワークと手順

エンドポイントの保護と脆弱性管理

貴重なデータの損失に最も関連性が高いのがエンドポイントです。デバイスは、企業データがその間を流れていき保存されるものであるだけでなく、ユーザーとアイデンティティの認証や、コードリポジトリ、クラウドワークロード、SaaSアプリケーション、ファイルへのアクセスにも使用されます。そのため、エンドポイント保護(悪意のあるアクティビティからエンドポイントを保護するサイバーセキュリティのアプローチ)はGDPRへのコンプライアンス維持のための重要な要素です。

重大なセキュリティ対策にはこのほか、脆弱性管理があります。これは日常的に継続して実施するプロセスであり、エンドポイント、ワークロード、システム全体にわたってサイバー脆弱性を特定、評価、報告、管理、修復します。脆弱性管理のカテゴリは幅広く、最新の脅威とエクスプロイトから保護するために実施するソフトウェアの更新やパッチの適用なども含まれます。

SIEMとSOARを利用してワークフローを自動化し、GDPRコンプライアンスアクティビティを合理化する

GDPRは、組織に多数の報告要件を課しています。SIEM(セキュリティ情報およびイベント管理)とSOAR(セキュリティのオーケストレーション、自動化と対応)などの一元的なセキュリティソリューションには、多くの場合、さまざまなツールとソフトウェアからデータを自動的に収集し、そのデータを1つのレポートにまとめるコンプライアンス機能が組み込まれています。こうしたレポートは、GDPRやその他の規制で義務づけられている要件の遵守を維持するようにカスタマイズできます。

SIEMとSOARシステムは、違反が発生したらアラートを通知するように設定することもできます。ITチームは、潜在的なリスクに関する有益なインサイトを得て、そのリスクをすばやく解決できるようになります。これは、侵害が及ぼしうる影響を抑えるだけでなく、コンプライアンス違反の事例を減らすことにもつながります。

クラウドストライクがGDPRコンプライアンス確保にどのように役立つか

サイバーセキュリティは、データ保護とGDPRコンプライアンスにおいて重要な役割を果たします。クラウドストライクは、組織がGDPRで義務づけられた要件を満たすうえで役立つ次世代製品群、プロフェッショナルサービス、グローバルな専門知識を提供しています。

CrowdStrike Falcon®プラットフォームは、データ保護を念頭に置いて設計されています。クラウドストライクが提供するクラウドベースのクラウドソーシングモデルは、攻撃の痕跡 (IOA) をリアルタイムに特定して、単に過去の既知の侵害だけではなく将来の未知の脅威も阻止することに焦点を当てています。

また、Falconプラットフォームを利用すると、透明性、可搬性、データ最小化、比例性を備えた最先端の保護対策を実装して侵害を阻止し、企業、およびGDPR前文47、48、49に挙げられているような正当な利益を保護することができます。

ナレンドランは、CrowdStrikeのID保護およびゼロトラストの製品マーケティングディレクターです。同氏は、サイバーセキュリティのスタートアップ、およびHPやSolarWindsなどの大企業で製品マーケティングとGTM戦略の推進業務を17年以上努めてきました。以前は、CrowdStrikeが買収したPreempt Securityで製品マーケティングディレクターを務めていました。ナレンドランは、ドイツのキール大学でコンピューターサイエンスの修士号を取得しています。