マイクロセグメンテーションがCCPAセキュリティ義務の履行にどのように役立つか
カリフォルニア州消費者プライバシー法 (CCPA)は2020年1月1日に発効し、監査と執行は7月1日に開始されました。この新しいプライバシー規制は、カリフォルニア州のプライバシーに関する取り組みだけでなく、同州内で重要な事業を営み、そのためにカリフォルニア州居住者のデータを収集している、またはそれにアクセスしている組織にも大きな影響を与えます。
CCPAに関する最初の議論の大半は、データ収集へのアクセス、削除、オプトアウトを求めるカリフォルニア州住民の要求に応じる企業の義務に焦点を当てていました。カリフォルニア州の居住者であれば、ウェブサイトにアクセスするたびにポップアップするプライバシー通知をよくご存知でしょう。CCPAをめぐるもう1つの話題は、個人の要求に応じて消費者データの販売を停止する義務に関するものでした。
CCPA文書には、データ侵害とセキュリティに焦点を当てた小さなセクションがあります。私の意見では、これらの条項で概説されている違反は、企業のブランドや将来の売上成長に大きな影響を与えます。民間の訴訟当事者は、新しい法律に基づいて訴訟を起こすのに時間を無駄にしませんでした。たとえば、マリオット・インターナショナルは 違反を発表した2020年3月31日には、520万人の顧客が影響を受けました。その数日後 (4 月 3 日)、カリフォルニア州が 消費者が集団訴訟を起こした CCPAデータ侵害条項に基づく会社に対して。本件および類似の法的措置について詳しく知りたい場合は、プライバシー法律事務所のKelley Dryeが四半期報告書を発行しています。 CCPA 訴訟のまとめ。
このような規制の話の中で、どのような役割があるのか疑問に思われるかもしれません マイクロセグメンテーション CCPAと、マイクロセグメンテーションを使用してCCPAデータ漏えいリスクに対処する方法について説明しています。
そこで、それを念頭に置いて、CCPAとは何かをさらに掘り下げて、セキュリティとデータ漏えい対策の要件に焦点を当てましょう。 (法的免責事項:このブログの内容についてイルミオのセキュリティチームと法務チームに相談しましたが、この情報は法的助言と見なすべきではありません。
CCPA とは何ですか?
正式には AB-375 と呼ばれるカリフォルニア州消費者プライバシー法(CCPA)は、米国カリフォルニア州の居住者のプライバシー権と消費者保護を強化することを目的とした州法です。この法案は、2018 年 6 月 28 日にカリフォルニア州議会で可決され、法制化され、2020 年 1 月 1 日に発効しました。
CCPAを遵守する必要があるのは誰か?
組織は、以下の基準を満たす場合、CCPAを遵守することが法的に義務付けられています。(1) 営利目的の運営、 そして (2) カリフォルニア州の居住者に関する消費者個人情報を収集します。 そして (3)カリフォルニアでビジネスをしている— と また、記載されている基準の少なくとも1つを超えています。(1)年間総収益が2,500万ドルを超えています。 または (2)毎年50,000人以上の消費者、世帯、またはデバイスの個人情報を購入、受領、共有、または販売する、または(3)年間収益の50%以上を消費者の個人情報の販売から得ている。
また、上記の基準を満たし、その事業体と共通のブランドを共有する事業体が支配または管理している場合、その事業体は「企業」と見なされ、CCPAの対象となります。
このセクションの法律用語は少しわかりにくいため、念のため、御社がCCPAの対象であるかどうかを弁護士に確認してください。
CCPAに基づく対象組織の義務とは?
多くのTier 1およびTier 2の法律事務所がこのトピックに関する記事を公開しているので、これについてはあまり時間をかけません。グーグルはあなたの友達です。要約すると、義務には以下が含まれますが、これらに限定されません。
- 企業による消費者の売却をオプトアウトするための明確な方法を消費者に提供する 個人情報。 (個人情報は等しくないことに注意してください PII。詳細については、次の質問を参照してください。)
- データ収集、販売、開示の慣行について消費者に通知します。
- 収集した個人情報にアクセスできるように消費者に提供します。
- 消費者が事業者が収集した個人情報を消去/削除するよう要求できるようにする。
- 消費者データをデータ侵害から保護するための合理的なセキュリティ手順を実装します。
CCPAでは何が個人情報と見なされますか?
CCPA言語は個人情報を指し、PII(個人を特定できる情報)だけではないことに注意してください。CCPAにおける個人情報の定義もかなり広く、以下のカテゴリーが含まれますが、これらに限定されません。
- 直接識別子 — 本名、別名、住所、社会保障番号、運転免許証、パスポート情報、署名。これらはPIIとみなされます。
- 間接識別子 — クッキー、ビーコン、ピクセルタグ、電話番号、IPアドレス、アカウント名。
- 生体認証データ — 顔、網膜、指紋、DNA、音声録音、健康データ。これらはPIIとみなされます。
- 位置情報—デバイス経由のロケーション履歴。
- インターネットアクティビティ — 閲覧履歴、検索履歴、ウェブページ、アプリケーション、広告とのやり取りに関するデータ。
- 機密情報 — 個人の特徴、行動、宗教的または政治的信念、性的好み、雇用および教育に関するデータ、財務および医療情報。
法律顧問やセキュリティチームに問い合わせて、CCPAのプライバシーおよびデータ漏えいセキュリティ条項の対象となるカテゴリを確認する必要があります。この分析は、CCPA 関連のセキュリティ義務の範囲を判断するのに役立ちます。
データ漏えいリスクの観点からCCPAについて考えている方も多いと思いますので、この問題をもう一度取り上げたいと思います。
CCPAに基づくセキュリティ義務にはどのようなものがありますか?
ザの CCPA の公式文書 は驚くほど短く、読む機会があれば、データセキュリティに関する規範的な言葉がないことに気付くでしょう。これには、カリフォルニア州民法 1798.81.5 (d) (1) (A) に基づく「合理的なセキュリティ」の維持を怠ったことから生じるデータ漏えいに対して、私的に訴える権利を認めるデータ漏洩条項も含まれています。 (弁護士に確認するためのもう1つの注意事項)。
また、「合理的なセキュリティ手順と慣行を実施および維持する義務の違反」に起因する違反について、対象となる企業に罰則を科す消費者のデータ侵害の権利に関する文言も含まれています。
「合理的なセキュリティ対策」を実施するための推奨事項は?
CCPAは、「合理的なセキュリティ」に関する規範的なガイダンスを提供していません。この法律が起草されたときにはカリフォルニア州議会議員を務めていたカマラ・ハリス氏が、同法で意見を述べました。 カリフォルニア州データ漏えいレポート 2012-2015 州がインターネットセキュリティセンター(CIS)のセキュリティ管理トップ20を合理的なセキュリティ手順と慣行のベースラインと見なしていること。現在のカリフォルニア州の州知事であるザビエル・ベセラは、この意見に対する更新をまだ受けていないため、2016 年の勧告は引き続き有効であると想定できます。
CIS Top 20 セキュリティコントロールとは何ですか?
CIS Top 20 セキュリティコントロールフレームワークは 10 年以上前から存在しており、頻繁に更新されています。このフレームワークは、最も一般的なフレームワークから派生したものです。 攻撃パターン 主要な脅威レポートで取り上げられ、政府や業界関係者の非常に幅広いコミュニティで精査されています。これには、民間企業と政府機関のフォレンジックおよびインシデント対応の専門家が蓄積した知識が反映されています。多くの組織が既にこのアプローチを採用し、環境固有の要件に対応するように統制を強化しているため、CA State AGがこのフレームワークをベースラインとして推奨しているのは当然のことです。
はっきりさせておきますが、これらの制御を実装するのに 1 つの製品だけに頼ることはできません。理想的には、SIEM、脆弱性スキャナー、CMDB、SCM、コンテナオーケストレーションなど、他のセキュリティ投資とうまく連携できる堅牢な API を備えた、これらのコントロールを実現できるソリューションが必要です。
Illumioは、CISトップ20セキュリティコントロールのうち16件に直接対応し、サポートしています。見やすいように大まかなマッピングを以下に示します。最近、別のブログを書きました。 イルミオをCISトップ20コントロールにマッピング これらの各コントロールをダブルクリックしたい場合(注:Illumio の機能列の「サポート」とは、お客様が Illumio のデータまたは機能を使用してコントロールの一部を有効にすることを意味します。
CCPAの「合理的なセキュリティ対策」要件を実現するために、組織はどのようにしてIllumioとCISトップ20セキュリティコントロールフレームワークを利用できるのでしょうか?
CCPAのセキュリティ義務を満たすためにCISトップ20統制を採用している場合は、Illumioを使用して次のことを行うことができます。
- 可視性が向上し、セキュリティ義務の範囲を効果的に評価できます。 CCPAでは、消費者データを収集して保存するすべてのリソースとアプリケーションのインベントリを作成し、維持することが組織に義務付けられています。これに対処するため、Illumio はリアルタイムの可視性を提供しています。次のものを使用できます。 アプリケーション依存関係マップ インベントリの作成を開始し、資産管理やCMDBシステムなどの静的なポイントインタイムツールに通常見られる情報の正確性を検証します。わずかな労力で、どのアプリケーション、データストア、マシン、ワークロード、エンドポイントが CCPA の対象であり、どの接続とフローが承認されているかを確認できます。
- あなたのものを減らしてください アタックサーフェス また、攻撃者がCCPAデータにアクセスするのをより困難にします。 Illumioは、各ホストに存在するレイヤー3/レイヤー4ステートフルファイアウォールをプログラミングすることで、ワークロード間、ワークロードとユーザー間、およびユーザーエンドポイント間のアプリケーションとトラフィックを制限するポリシーを設計および適用するのに役立ちます。
- マイクロセグメンテーションの維持と監視 セキュリティ体制。 よく知られているイルミオのエージェント VEN親愛なる不思い、新しい金種種種種種種種種種種また、aldAccindななぎぎぎぎぎぎぎぎぎぎぎぎぎらん
- 取 CCPAの母は2020年1月1日。施行、監査、銀は20207月14日。イルオミは、^^マルマルビオス、ホストレベクルクメンダーキング、SDN YBILLや SDN YRBCUYA.
アオミオ、今。 ミオモレ。