GDPRに準拠するために二要素認証を用いる

EU法を実施して加盟国と民間セクター組織に助言するENISA（欧州ネットワーク・情報セキュリティ機関）による最近公表された研究では、EU一般データ保護規則（GDPR）に準拠するための適切な対策をとる方法に関するガイドラインが提供されています。ENISAの推奨には、ハイリスクの状態での技術対策として、二要素認証とモバイルアプリケーションセキュリティが盛り込まれています。

GDPRはEUにおけるデータ保護に関する主要な法的な枠組みになり、EU市民のプライバシー強化への重要な一歩前進を象徴しています。さらに、GDPRはEU市民に物資やサービスを提供するあらゆる会社に、会社の規模、所在地、業種に関わらず適用でき、データコントローラーやデータプロセッサーとして個人データを扱っています。

意味深げにGDPRの第32条にも記されている通り、企業の基本的な義務のひとつは、データコントローラーとプロセッサーが「リスクにセキュリティレベルを保証するために適切な技術的かつ組織的な措置を実装するものとする」と表明して、このデータの安全性を確保するための技術的措置を適用することです。

不履行の場合の影響とコストは、年間の全体的な売上高の最大4%、または2000万ユーロのどちらか大きい方と、相当な額になり得ます。また、いかなるデータ漏洩も72時間以内に報告する義務があり、その見返りはブランドに多大なダメージのリスクがあります。

GFPRに準拠するためのENISAガイドライン

GDPR準拠を達成するために組織的かつ技術的なセキュリティ措置を採用する方法に関するENISAの研究では、リスクベースのアプローチを利用して異なる領域に適切な措置を定義しています。

例えば、アクセスコントロールと認証の領域では、ENISAはハイリスクの場合と一定の中程度の影響がある場合には二要素認証を実装することを推奨しています。「二要素認証は個人データを処理するシステムにアクセスするためにできるだけ用いること。認証要素はパスワード、セキュリティトークン、秘密トークンの入ったUSBスティック、生体認証などがある。」としています。

モバイルデバイスの領域では、ENISAはモバイルデバイスが盗難や不慮の損失にさらされる機会が増えていることについて触れています。さらに、モバイルデバイスは大抵は個人の目的で使われるため、ビジネス関連データが侵害を受けないことを保証するために特別な処置を行わなければなりません。このことはガイドラインにて「二要素認証はモバイルデバイスへアクセスするために検討に入れ、モバイルデバイスに保存されている個人データは暗号化すべきである。」と結論づけられています。

最後に、アプリケーション開発に関して言えば、ENISAは個人データセキュリティ確保を検討することを推奨しています。これは開発ライフサイクルの間、「ベストプラクティス、最先端の広く認知された安全な開発プラクティス、フレームワークや基準に沿うべき」という点も含んでいます。

結論

GDPRの準備が施行される前の1年もない期間では、組織は着手すべき変更に関して検討し、既存の情報セキュリティとビジネス戦略の展望を広げることに着手するだけです。

しかし、必要な変更のリードタイムとそのような変更が組織にどのように影響を及ぼすかは予測できません。だからENISAはEUにコミュニケーションを増やし、組織を説得してGDPRに関して行動を取るようにするために意識を上げることを推奨しています。

その結果、私はこのENISAの報告が、準拠に向けたレディネスを評価するための組織にとって格好のスタート地点になると確信しています。

RASPセキュリティソリューションを特色とする、VASCO二要素認証、モバイルアプリケーションセキュリティ、アプリのシールディングに関する詳細をご覧ください。