マイクロセグメンテーションがCCPAセキュリティ義務の履行にどのように役立つか

カリフォルニア州消費者プライバシー法(CCPA)は2020年1月1日に施行され、7月1日から監査と執行が始まった。この新しいプライバシー規制は、カリフォルニア州のプライバシーへの取り組みだけでなく、州内で重要な事業を展開しているため、カリフォルニア州住民のデータを収集またはアクセスしている組織にも大きな影響を与えるでしょう。

CCPAに関する最初の議論の大部分は、データ収集へのアクセス、削除、オプトアウトに関するカリフォルニア州住民の要求を尊重する企業の義務に焦点を当てていました。カリフォルニア州の居住者であれば、Web サイトにアクセスするたびにポップアップする絶え間ないプライバシー通知をよく知っているでしょう。CCPAをめぐるもう一つの話題は、個人の要求に応じて消費者データの販売を停止する義務に集中していました。

CCPA文書には、データ侵害とセキュリティに焦点を当てた小さなセクションがあります。私の意見では、これらの条項に概説されている違反は、企業のブランドと将来の売上高の成長にかなり大きな影響を与えます。民間訴訟当事者は、新しい法律に基づいて訴訟を起こすのに時間を無駄にしませんでした。たとえば、マリオット・インターナショナルは、2020年 3 月 31日に 520 万人の顧客に影響を与えた侵害を発表しました。数日後(4月3日)、CAの消費者がCCPAデータ侵害条項に基づいて同社に対して 集団訴訟を起こし た。この訴訟や同様の法的措置について詳しく知りたい場合は、プライバシー法律事務所のケリー・ドライが四半期ごとに CCPA訴訟ラウンドアップを発行しています。

規制に関するあらゆる話で、CCPA で マイクロセグメンテーション がどのような役割を果たしているのか、またマイクロセグメンテーションを使用して CCPA データ侵害の露出に対処する方法について疑問に思われるかもしれません。

そこで、CCPAとは何かを深く掘り下げ、セキュリティとデータ侵害防止の要件に焦点を当てましょう。(法的免責事項:このブログの内容についてはイルミオのセキュリティチームと法務チームに相談しましたが、この情報は法的アドバイスと見なすべきではありません。

CCPAとは何ですか?

正式にはAB-375と呼ばれるカリフォルニア州消費者プライバシー法(CCPA)は、米国カリフォルニア州の居住者のプライバシー権と消費者保護を強化することを目的とした州法です。この法案はカリフォルニア州議会で可決され、2018年6月28日に署名され、2020年1月1日に施行された。

CCPAに準拠する必要があるのは誰ですか?

貴社は、(1)営利目的で運営 され、( 2)カリフォルニア州居住者の消費者個人情報を収集 し、( 3)カリフォルニア州で事業を行 っている場合、 CCPAを遵守する法的義務を負います。(1)年間総収益が2,500万ドルを超える、または、リストされているしきい値の少なくとも1つを超えている 。 (2) 毎年50,000人以上の消費者、世帯、またはデバイスの個人情報を購入、受領、共有、または販売する、または(3)年間収益の50%以上を消費者の個人情報の販売から得ている。

また、事業体は「ビジネス」とみなされ、上記の基準を満たし、その事業体と共通のブランドを共有する事業体を支配している、または事業体によって管理されている場合、CCPAの対象となります。

このセクションの法律用語は少しわかりにくいので、あなたの会社がCCPAの対象であるかどうかについては、弁護士に確認してください。

CCPAに基づく対象組織の義務は何ですか?

多くの Tier 1 および Tier 2 法律事務所がこのトピックに関する記事を発表しているため、これについてはあまり時間を費やしません。Google はあなたの友達です。要約すると、義務には以下が含まれますが、これらに限定されません。

1. 消費者による消費者の個人情報の販売をオプトアウトする明確な方法を提供します 。(個人情報はPIIと同等ではありませんのでご注意 ください。詳細については、次の質問を参照してください。
2. データの収集、販売、開示の慣行について消費者に通知します。
3. 消費者が収集した個人情報にアクセスできるようにします。
4. 消費者に、企業が収集した個人情報の消去/削除を要求する機能を提供します。
5. 消費者データをデータ侵害から保護するための合理的なセキュリティ手順を実装します。

CCPAの下で個人情報と見なされるものは何ですか?

CCPAの文言は、PII(個人を特定できる情報)だけでなく、個人情報を指すことに注意してください。CCPAにおける個人情報の定義も非常に広く、次のカテゴリが含まれますが、これらに限定されません。

• 直接識別子 – 本名、エイリアス、住所、社会保障番号、運転免許証、パスポート情報、署名。これらは PII と見なされます。
• 間接識別子 – Cookie、ビーコン、ピクセルタグ、電話番号、IPアドレス、アカウント名。
• 生体認証データ – 顔、網膜、指紋、DNA、音声録音、健康データ。これらは PII と見なされます。
• 地理位置情報 – デバイスを介した位置情報履歴。
• インターネットアクティビティ – 閲覧履歴、検索履歴、Web ページ、アプリケーション、または広告とのやり取りに関するデータ。
• 機密情報 – 個人の特徴、行動、宗教的または政治的信念、性的嗜好、雇用および教育データ、財務および医療情報。

CCPAのプライバシーおよびデータ侵害のセキュリティ条項の対象となるカテゴリについては、弁護士およびセキュリティチームに確認する必要があります。この分析は、CCPA関連のセキュリティ義務の範囲を判断するのに役立ちます。

データ侵害の露出という観点からCCPAを考えているのではないでしょうかので、この問題をダブルクリックしたいと思います。

CCPAに基づくセキュリティ義務は何ですか?

CCPAの公式文書は驚くほど短く、読む機会があれば、データセキュリティに関する規範的な文言がないことに気付くでしょう。これには、カリフォルニア州民法 1798.81.5 (d)(1)(A) に基づく「合理的なセキュリティ」を維持できなかったことに起因するデータ侵害に対する私的訴訟権を創設するデータ侵害条項が含まれています。(弁護士に確認してください)。

また、消費者のデータ侵害の権利に関する文言も含まれており、「合理的なセキュリティ手順と慣行を実施および維持する義務の違反」から生じた侵害に対して対象企業に罰則を科しています。

「合理的なセキュリティ対策」を実施するための推奨事項は何ですか?

CCPAは、「合理的なセキュリティ」に関する規範的なガイダンスを提供していません。この法律が起草された当時、カリフォルニア州総会長を務めていたカマラ・ハリス氏は、 カリフォルニア州データ侵害報告書2012-2015 で、州はインターネットセキュリティセンター(CIS)のトップ20セキュリティ管理を合理的なセキュリティ手順と慣行のベースラインと見なしていると意見を述べた。現在のカリフォルニア州立州長であるザビエル・ベセラ氏からこの意見に対する更新は行われていないため、2016年の勧告はまだ有効であると推測できます。

CIS トップ 20 のセキュリティ コントロールとは何ですか?

CIS Top 20 Security Controls Framework は 10 年以上前から存在しており、頻繁に更新されています。このフレームワークは、主要な脅威レポートで強調されている最も一般的な 攻撃パターン から派生し、政府や業界の実務家の非常に幅広いコミュニティ全体で精査されています。これは、商業および政府のフォレンジックおよびインシデント対応の専門家の知識を組み合わせたものです。多くの組織がすでにこのアプローチを採用しており、環境固有の要件に対処するために制御を強化するため、CA State AG がこのフレームワークをベースラインとして推奨するのは驚くべきことではありません。

明確にしておきますが、これらのコントロールを実装するために単一の製品に頼ることはできません。理想的には、これらの制御の有効化をサポートし、SIEM、脆弱性スキャナー、CMDB、SCM、コンテナオーケストレーションなどの他のセキュリティ投資とうまく連携できる堅牢なAPIを備えたソリューションが必要です。

イルミオは、CISトップ20のセキュリティコントロールのうち16を直接満たし、サポートしています。これは、見やすいように高レベルのマッピングです。私は最近、これらの各コントロールをダブルクリックしたい場合は、 イルミオをCISトップ20コントロールにマッピング する別のブログを執筆しました。(注:イルミオの機能列の「サポート」とは、お客様がイルミオのデータまたは機能を使用してコントロールの一部を有効にすることを意味します。

組織は、IllumioとCISトップ20セキュリティコントロールフレームワークを使用して、CCPAの「合理的なセキュリティ対策」要件を有効にするにはどうすればよいですか?

CCPAセキュリティ義務を果たすためにCISトップ20コントロールを採用している場合は、イルミオを使用して次のことができます。

1. 可視性を高め、セキュリティ義務の範囲を効果的に評価します。 CCPA では、組織は消費者データを収集および保存するすべてのリソースとアプリケーションのインベントリを作成および維持する必要があります。これに対処するために、イルミオはリアルタイムの可視性を提供します。アプリケーション依存関係マップを使用して、インベントリの作成を開始し、資産管理や CMDB システムなどの静的なポイントインタイム ツールで通常見られる情報の正確性を検証できます。少しの労力で、どのアプリケーション、データストア、マシン、ワークロード、エンドポイントが CCPA の対象となるか、どの接続とフローが承認されているかを確認できます。
2. あなたの 攻撃対象領域 悪意のある行為者がCCPAデータにアクセスするのをより困難にします。Illumioは、各ホストに存在するレイヤー3/レイヤー4ステートフルファイアウォールをプログラミングすることにより、ワークロード間、ワークロードとユーザー間、およびユーザーエンドポイント間のアプリケーションとトラフィックのリングフェンスにポリシーを設計および適用するのに役立ちます。
3. マイクロセグメンテーションの維持と監視 セキュリティ体制です。 VENとしてよく知られているイルミオのエージェントは、センサーのように機能し、新しいワークロードやエンドユーザーの接続、およびCCPAの対象となるデータやアプリケーションへの接続の変化について環境を継続的に監視します。また、不正な接続や接続の試みをブロックすることもできます。
4. セキュリティコンプライアンスまでの時間を短縮します。CCPAの締め切りは2020年1月1日だった。執行、監査、報告は2020年7月1日から始まった。イルミオは、リアルタイムの可視性とラベルベースのポリシーモデリングにより、計画と設計を加速することで、CIS 20の管理を迅速に満たすのに役立ちます。マルチOSのホストレベルのマイクロセグメンテーションソリューションは、ネットワーク/SDNを再設計する必要がないことを意味します。

イルミオの機能について詳しく知りたい場合は、イルミオコアをチェックしてください。