カリフォルニア州消費者のプライバシー保護法(CCPA)は、不正なアクセス、破壊、改変や暴露からの個人情報を保護するために実装するための合理的なセキュリティ対策が必要です。Windowsシステム上にあるファイルやフォルダーに保存されているデータの場合、UserLockとFileAuditの展開は、顧客の個人データへのアクセスを効果的に保護していることを規制当局に証明するのに役立ちます。
カリフォルニア市民の個人データの保護
GDPRに触発された新しいCCPAプライバシー法は、カリフォルニアに住む市民のデータプライバシー権を保護するように設計されています。
つまり、企業は個人データで何が行われているのかについて透明性を保つ必要があります。これにより、市民はデータの使用方法、共有方法、または販売方法を制御できます。不承認の場合は、オプトアウトしてデータの削除を要求する機会が与えられます。
個人データの正確な解釈について混乱は依然としてありますが、電子メールアドレス、オンラインハンドル、IPアドレスのほか、名前、住所、社会保障番号などの従来の識別子が含まれる可能性があります。
CCPAは、集団訴訟の責任を回避するために合理的なセキュリティ対策を必要とします
これらの改善された消費者のプライバシー権に加えて、CCPAは、「この個人情報を不正アクセス、破壊、使用、変更、または開示から保護するために、合理的なセキュリティ対策を実施する」ことを要求しています。カリフォルニア州司法長官によって執行された「合理的なセキュリティ対策」を怠ると、コンプライアンス違反とそれに伴う罰金が科せられる可能性があります。
消費者からの集団訴訟のリスクもあります。おそらく企業にとって最も懸念されるのは、暗号化されていない、または編集されていない個人情報の盗難または開示があった場合に、CCPAが「私的行動権」を提供することです。このようなデータ漏えいの場合、会社が法律に違反し、合理的なセキュリティ対策を実施する義務を怠ったことが示された場合、法定損害賠償が認められる可能性があります。
個人データへの適切なアクセスと使用を確保する
多くのコンプライアンス基準と同様に、「合理的なセキュリティ対策」を満たそうとすることは、せいぜい混乱を招きます。しかし、コンプライアンスの使命の中核となるのは、データを安全に保ち、ビジネス上の理由で許可されて必要な人にのみアクセスを許可したいという願望です。
これが組織に当てはまることを知り、実証するには、ネットワークにアクセスできるユーザーと、内部の機密データに対して実行されているアクションを可視化して制御する必要があります。これは、UserLockとFileAuditがこれらの新しいCCPA標準に準拠するのに役立つ場所です。
UserLockを使用したログイン時に、個人データへの不正アクセスを停止します
コンプライアンスは、ログインセキュリティの向上から始まります。
ログインは、不適切な可能性のあるアクセス(繰り返しになりますが、コンプライアンス違反)が発生しないようにするための最も説得力のあるポイントです。
UserLockは、Windows Active Directoryと連携して、2要素認証、コンテキストアクセスポリシー、およびすべてのユーザーログインに関するリアルタイムの洞察を追加することにより、これを容易にします。システムと内部のデータへの適切なアクセスのみを保証します。完全な監査証跡により、脅威を追跡し、コンプライアンスを証明できます。
UserLockにより、組織は次のことが可能になります。
- すべてのユーザーの身元を確認し、ネットワークへのアクセスを確認します。最終的には、個人データが識別可能になり、監査され、個々のユーザーに帰属します。
- 本物であるが侵害された従業員のログインを攻撃者になる可能性のある人にとって役に立たないものにすることにより、不正アクセスを防止します
- パスワード共有などの不注意なユーザーの行動を根絶し、内部の脅威による不正アクセスのリスクを軽減します
- 疑わしいアクセスイベントにリアルタイムでフラグを立てます。つまり、管理者は即座に対応し、ネットワーク内のネットワークと個人データへのアクセスをさらに保護できます。
FileAuditを使用して、個人データへのアクセスと使用状況を監視します
IT部門は、どの個人データに、誰が、いつ、どこから、どのようにアクセスしているかを常に把握している必要があります。
この情報は、不適切なアクセスに注意を払い、大量のデータへのアクセスや非標準のアクセス時間などの異常なアクティビティを見つけるのに役立ちます。
FileAuditはただログや情報を提供するだけではありません。リアルタイムの洞察と自動化された応答に即座に対応する機会により、組織全体のデータを保護します。
FileAuditにより、組織は次のことが可能になります。
- リアルタイムの監視とアラートを通じて不適切なアクセス(およびアクセスの試行)を特定し、IT部門が問題を確認して修正できるようにします
- FileAuditがファイルの一括アクセス、コピー、削除、または移動を検出したときにアラートを送信します(コンプライアンス違反の強力な兆候)
- FileAuditコンソールから直接、自動応答でアラートに反応します
- サイト上のさまざまなワークステーションやリモートのモバイルデバイスなど、ユーザーがどこからファイルにアクセスしたかを示します。すべて、送信元IPアドレスを追跡および識別します
- NTFSアクセス許可の概要のおかげで、誰が何にアクセスできるかを確認できます
- 1つまたは複数のWindowsシステムとクラウドで発生するすべてのファイルアクセスイベントを一元化してアーカイブし、常に利用可能で検索可能で安全な監査証跡を生成します