米国金融系企業の中で現在話題となっているトピックの一つに、ニューヨーク州金融サービス局が提案しているサイバーセキュリティに関する規制が挙げられます。
全文翻訳したので、内容をごらんになりたい方は以下のリンクへどうぞ。
(翻訳・法律の専門家ではないため、利用は自己責任でお願いします。)
今日の記事では、その詳細と内容について取り上げたいと思います。
- WHO:「ニューヨーク州金融サービス局」とは?
- WHOM:だれが対象となるのか?
- HOW:どのような経緯で?
- WHAT:サイバーセキュリティ規制の内容とは?
- WHEN:準拠までのタイムラインとは?
WHO:「ニューヨーク州金融サービス局」とは?
ニューヨーク州金融サービス局(NYDFS : New York Department of Financial Services)とは、ニューヨーク州(以下、NY州)を管轄する金融庁みたいな州政府機関です。セキュリティに対して積極的な施策を打つことで知られています*1。
例をあげれば、2015年2月にAnthemという保険会社で情報漏洩が発生した場合、全保険会社にサイバーセキュリティ検査を実施するよう通達を出していることでも知られています。(詳しくは、詳しくは笹原先生の資料を参照のこと)
WHOM:だれが対象となるのか?
全金融機関です。ちなみに、NY州法なので、NY州に本社・拠点がないから関係ないと考えてしまいがちですが、NY州で金融サービスを提供している全ての金融サービス企業が対象となるため、本社・支店がNY州にない場合でも、サービスを提供している限り対応義務が生じます。対応をしない場合、当局によりライセンスが剥奪され*2、ニューヨーク州内で金融サービスを提供できなくなる可能性さえ考えられます。
HOW:どのような経緯で提示されたのか?
提示までの経緯は以下のとおりです。
- 2016/09/13:NY州金融サービス局より各企業へ通達。ドラフト版を公開。
- 2016/09/28:45日間のパブリックコメント期間を開始。
- 2016/11/14:パブリックコメント期間終了。
- 2016/12/28:パブリック・コメントを反映した修正版が公開。
詳しい内容については後で記載しますが、ドラフト版はかなり踏み込んだ内容で、対応方法についてはかなり議論がなされた内容でした。
例えば、9月時点のルールでは以下のように言及されていました。
Section 500.12 多要素認証
(a) 多要素認証. 対象企業は以下を満たす必要がある。
(1) 外部ネットワークからの内部システム、およびデータに対する全てのアクセスに対して、多要素認証を実装すること
(2) 非公開情報を保持するデータベースサーバへの高い権限によるアクセスに対して、多要素認証を実装すること
(3) 非公開情報を取り扱うWebアプリケーションにアクセスに対して、リスクベース認証を実装すること
(4) 非公開情報を取り扱うWebアプリケーションにアクセスに対して、多要素認証をサポートすること
実際に、ロイター通信によると150以上のコメントが当局側に寄せられており、企業規模に関わらず同じルールが適用されることについて、あるいは定義が曖昧であるなど色々なコメントがされたようです。
WHAT:サイバーセキュリティ規制の内容とは?
12月末に公開された修正版の内容を紹介しようと思います。個人で訳を作成し、SlideShareに公開しています。あくまでも自己研鑽と規制の雰囲気を理解する上で作りましたので、利用についてはは自己責任でお願いします。内容は全文を読んでいただければ一番良いのですが、簡単にその概要を説明します。
◆全文(日本語版)のダウンロード先
構成
基本的に23条の条文にわたる内容です。そのうち何章かは法律的文言、および定義に割かれているため、実施的には16種類程度の要件と考えられます。以下に、各章のタイトルを示しています。
- Section 500.00 はじめに
- Section 500.01 定義
- Section 500.02 サイバーセキュリティ・プログラム
- Section 500.03 サイバーセキュリティ・ポリシー
- Section 500.04 最高情報セキュリティ責任者
- Section 500.05 侵入テストと脆弱性診断
- Section 500.06 監査証跡
- Section 500.07 アクセス権限
- Section 500.08 アプリケーション・セキュリティ
- Section 500.09 リスク・アセスメント
- Section 500.10 サイバーセキュリティ人材とインテリジェンス
- Section 500.11 外部委託先に対するセキュリティ・ポリシー
- Section 500.12 多要素認証
- Section 500.13 データ保持に関する制限
- Section 500.14 トレーニングとモニタリング
- Section 500.15 非公開情報の暗号化
- Section 500.16 インシデントレスポンス・プラン
- Section 500.17 監督当局への通知
- Section 500.18 機密性
- Section 500.19 免除規定
- Section 500.20 施行
- Section 500.21 発効日
- Section 500.22 移行期間
- Section 500.23 法的分離条項
いくつか注目すべき内容について言及しようと思います。
スコープについて
Section 500.01 定義 によれば、スコープは非公開情報(Nonpublic Information)と情報システムを守るという定義になっていますが、この非公開情報の定義は9月のドラフト版でも不明瞭だといわれており、明確に定義されました。
以下に訳の抜粋を示します。
非公開情報(Nonpublic Information)は公開情報ではない電子情報と以下に示す情報を指す。
(1) 改竄・不正な開示・アクセス・不正利用により、対象事業者のビジネス業務、もしくはセキュリティに対して重大な悪影響を及ぼす対象事業者のビジネスに関する情報。
(2) 名前・番号・個人商標・他の識別コードなどにより、あるいは以下のデータ要素の一つもしくは複数の組み合わせにより、個人を特定可能な情報。
(3) 医療サービス提供者・個人により作成される、もしくは以下の事象から派生・関連する情報(但し年齢または性別を除く)。
一言で言えば、業務関連情報、個人情報(PII : Personal Identifiable Information)、医療情報(PHI:Personal Health Information)を意味していると考えられます。米国では、守るべきデータとしてPII・PHIはよく登場する呼び名です。
セキュリティ監査の回数
Section 500.05 侵入テストと脆弱性診断によれば、本規則では最低1年に1回の侵入テスト(ペネトレーション・テスト)と2回の脆弱性スキャン(ツールなどによるスキャン)が定義されています。文脈から類推するに、全エリア(Webアプリケーション、ネットワーク、およびビジネスOA環境)に対して実施することを義務付けているように見えます。この基準自体は、PCI-DSS*3を参考に作成されたのではないかと類推します。
多要素認証について
Section 500.12 多要素認証によれば、先ほど例に挙げた多要素認証については、かなり方針転換したように見受けられます。
Section 500.12 多要素認証
(a) 多要素認証。リスク・アセスメントに基づき、各対象事業者は多要素認証やリスクベース認証などを含む効果的なコントロールを用いて、非公開情報や情報システムを不正アクセスから守らなければならない。
(b) 多要素認証は、対象事業者のCISOが合理的に判断して、同等もしくはより安全なアクセスコントロールの利用について書面にて承認しない限り、外部から対象事業者の内部ネットワークに対するあらゆるアクセスに対して適 用されなければならない。
特に、「リスク・アセスメント」の結果を踏まえて優先度をつけて導入可否が決められるようになったこと、代替コントロールが認められたという点で、企業の対応負荷はけったと推測されます。
当局への通知義務について
Section 500.17 監督当局への通知によれば、以下の2つが規定されています。
Section 500.17 監督当局への通知
(a) サイバーセキュリティ・イベントの通知。 各対象事業者は、以下のようなサイバーセキュリティ・イベントが発生したと判断してから、72時間以内に監督当局に対してできるだけ迅速に通知しなければならない。
(1) 政府機関、自主規制期間、もしくは他の監督当局への通知が義務付けられているサイバーセキュリティ・イベント。(2) 対象事業者の通常のビジネス業務に被害を与えている合理的な可能性があるサイバーセキュリティ・イベント。
(b) 各対象事業者は、毎年2月15日までに対象事業者が本規則の要件に従い準拠していることを示す書面を、付録Aの形式で、監督当局に提出しなければならない。各対処事業者は5年間において、監督当局からの検査に備えて、本証明書の根拠となるすべての記録、スケジュールデータを保持しなければならない。(後略)
大きく2種類の報告義務があり、一つは年に1回当該規制に準拠していることを示すCOC(Certification of Compliance)という資料を提出することです。また、申請内容が正しいことを証明できる証拠は全てそろえ、過去5年間分は要求されたらいつでも提示できるようにする必要があります。
第二に、特定のインシデントについては発生してから72時間以内に当局に届け出なければいけないという点です。具体的な運用は始まっていないのでわかりませんが、比較的時間との勝負になると考えられます。
免除規定
以下の企業については、本内容の一部が免除されるようです。詳しくは原文をご覧ください。
WHEN:準拠までのタイムラインとは?
Section 500.21・Section 500.22によれば、2017年3月1日から発効となり、そこから180日間の移行期間が与えられますので、8月末までに対応を完了させる必要があります。但し、Section500.22に例外規定が定義されており、いくつかの内容についてはさらに猶予期間が設けられています。
1年間の猶予がある項目
- Section 500.04(b) 最高情報セキュリティ責任者(年1回、CISOから経営取締役会への書面での報告義務に関する条項)
- Section 500.05 侵入テストと脆弱性診断
- Section 500.09 リスク・アセスメント
- Section 500.12 多要素認証
- Section 500.14(a)(2) トレーニングとモニタリング(一般ユーザに対するセキュリティ教育に関する条項)
1年間半(18ヶ月)の猶予がある項目
- Section 500.06 監査証跡
- Section 500.08 アプリケーション・セキュリティ
- Section 500.13 データ保持に関する制限
- Section 500.14(a)(2) トレーニングとモニタリング(モニタリングに関する項目)
- Section 500.15 非公開情報の暗号化
2年間の猶予がある項目
- Section 500.11 外部委託先に対するセキュリティ・ポリシー
まとめ
9月時点のドラフト版はかなり踏み込んだ内容であったため対応が大変そうだという印象しかなったのですが、比較的わかりやすく、またリーズナブルな内容になっていると思います。今後、他の州も同様の規制を行ってくると思いため、今後の動向にも注目する必要があると考えられます。
*1:ちなみに米国現地の同僚によると、こういうセキュリティ関連の施策はCA州(カルフォルニア州)ちなみに、カリフォルニア州は、2002年に米国初のSecurity Breach Notification Law(データ漏洩通知法)を採択し、個人情報が漏洩した可能性があると判断される場合、企業は各消費者にその旨を通知することを義務付けています。ちなみに、他の多くの州もその法律に追従していまや全米でも一般的に知られる法律となっています。かNY州のどちらかが実施する傾向にあるらしいのですが、今回はNY州側が規制をだした様子です。
*2:アメリカは州単位で異なるため、各州ごとにライセンスを取得する必要があるなど日本よりも色々複雑です。
*3:PCI-DSSでは、ASVによる年4回の脆弱性スキャンと、毎年1回のペネトレーションテストが義務付けられています。