情報セキュリティ インシデント管理プログラムは、組織が情報セキュリティ インシデントを防止、検出、対応、回復できるようにする一連のポリシー、手順、ツールです。情報セキュリティ インシデントとは、情報資産、システム、またはサービスの機密性、完全性、または可用性を損なうあらゆるイベントです12。正式な情報セキュリティ インシデント管理プログラムには通常、次のコンポーネントが含まれています12:
* 内部エスカレーション プロセスの定義: このコンポーネントは、組織内の情報セキュリティ インシデントをエスカレーションおよび管理するための役割と責任、コミュニケーション チャネル、および報告メカニズムを定義します。また、インシデントの重大度と影響、および対応とエスカレーションの適切なレベルを決定するための基準としきい値も確立します。
* 外部関係者への情報開示のプロトコル: このコンポーネントは、顧客、規制当局、法執行機関、メディア、その他の第三者などの外部関係者に情報セキュリティ インシデントに関する情報を開示するためのルールとガイドラインを定義します。また、法的および契約上の義務、開示のタイミングと頻度、形式と内容、および開示の承認と認可のプロセスも規定します。
* クライアントへの通知メカニズム: このコンポーネントは、情報セキュリティ インシデントの影響を受ける可能性のあるクライアントまたは顧客に通知するための方法と手順を定義します。また、通知の目的、範囲、内容、タイミングと頻度、配信チャネル、フィードバックとフォローアップのメカニズムも指定します。
* 災害復旧をサポートするプロセス: このコンポーネントは、重大な情報セキュリティ インシデントが発生した後に組織の通常の業務を復元するための手順とアクションを定義します。
* 情報資産、システム、またはサービスに対する重大な混乱または損害。また、災害復旧のための役割と責任、リソースとツール、バックアップと復旧計画、テストと検証手順も規定しています。
正式な情報セキュリティ インシデント管理プログラムには通常見られない要件を反映するステートメントは D です。このプログラムには、災害復旧をサポートするプロセスが含まれています。災害復旧は情報セキュリティの重要な側面ですが、情報セキュリティ インシデント管理プログラムの特定のコンポーネントではありません。むしろ、これは事業継続性と回復力のより広い範囲をカバーする別個のプログラムであり、情報セキュリティ インシデント以外の自然災害、停電、パンデミックなどの他の種類の災害が含まれる場合があります3。したがって、正解は D です。プログラムには、災害復旧をサポートするプロセスが含まれています。参考資料: 1: コンピュータ セキュリティ インシデント対応ガイド 2: セキュリティ インシデント管理プログラムの開発と実装 3: 事業継続管理と災害復旧: 災害復旧とセキュリティ インシデント対応の違いは何ですか?

堅牢な情報セキュリティ ポリシーの重要な要素の 1 つは、サードパーティのガバナンスと監視の要件の定義と実装です。これは、ベンダーが、下請け業者、サプライヤー、またはサービスプロバイダーの情報セキュリティリスクと統制を管理および監視するための、明確で一貫したプロセスと手順を備えている必要があることを意味します。第三者によるガバナンスと監督には、次の側面が含まれる必要があります12:
※情報セキュリティの能力や実績に基づいて第三者を選定・評価するための基準・基準を確立する
* 第三者の情報セキュリティポリシー、慣行、インシデントについて定期的かつ包括的な評価と監査を実施する
* 第三者との契約合意およびサービス レベル合意 (SLA) に情報セキュリティ条項と義務が含まれていることを確認する
* 第三者の情報セキュリティの状況と問題に関する可視性の維持と第三者とのコミュニケーション
* 特定された情報セキュリティのギャップまたは弱点に対する是正措置と修復計画の実施
* 情報セキュリティの期待または要件を満たさない第三者との関係の終了または一時停止 ベンダーの回答が第三者のガバナンスおよび監視の要件を指定していない場合は、情報セキュリティ ポリシーのさらなる調査を開始する必要があります。
これは、ベンダーが情報セキュリティのリスクと広範なパートナー ネットワークの影響を管理するための包括的かつ効果的なアプローチを持っていない可能性があることを示しています。これにより、ベンダーとその顧客が潜在的なデータ侵害、サイバー攻撃、コンプライアンス違反、または評判の低下にさらされる可能性があります。
*損害。したがって、ベンダーは、サードパーティの情報セキュリティをどのように確保しているか、またサードパーティが関与する情報セキュリティ インシデントや問題にどのように対処しているかについて、より詳細な情報と証拠の提供を求められるべきです。参考文献:
※1：第三者情報セキュリティリスク管理方針 - SecurityStudio
* 2: サードパーティのデータ保護の確保: ベスト プラクティス | アップガードのブログ

データの匿名化は、データセットから個人を特定するために使用できる情報を削除または変更するプロセスです。この技術は、データを元のソースにリンクすることが不可能または非常に困難になるため、データが個人を特定しないという最も強力な保証を提供します。データの匿名化は、一般化、抑制、摂動、仮名化などのさまざまな方法で実現できます12。データの匿名化は、プライバシー保護、データ保護規制の遵守、データ共有の目的でよく使用されます3。参考文献:
* 1: データセキュリティ: 定義、重要性、および種類 | フォーティネット
* 2: データ セキュリティのベスト プラクティス: トップ 10 のデータ保護方法 - Ekran System
※3：データの匿名化 - Wikipedia

インシデント対応における通知義務は、データやシステムに影響を与えるセキュリティ違反やインシデントについて関係者に通知する法的または契約上の義務です。これらの義務は、インシデントの種類、範囲、影響、また関係する管轄区域、業界、および契約上の取り決めによって異なる場合があります。通知義務を引き起こす可能性が最も高い要因は次のとおりです。
* 規制要件: さまざまな法律や規制により、セキュリティ インシデントが発生したり、セキュリティ インシデントを引き起こした組織にさまざまな通知義務が課される場合があります。たとえば、一般データ保護規則 (GDPR) では、データ管理者に対し、個人データ侵害を認識してから 72 時間以内に監督当局に通知すること、また、その侵害がデータ主体に高いリスクをもたらす場合には、不当な遅滞なく影響を受けるデータ主体に通知することを義務付けています。権利と自由1. 同様に、コンピュータ セキュリティ インシデント通知規則では、銀行とそのサービス プロバイダーに対し、銀行の業務に重大な混乱、低下、または損害を与えるコンピュータ セキュリティ インシデントが発生した後、できるだけ早く、遅くとも 36 時間以内に主たる連邦規制当局に通知することを義務付けています。サービスまたは顧客2.
* データの分類または機密性: セキュリティ インシデントに関係するデータの種類と機密性も、通知義務に影響を与える可能性があります。たとえば、データに個人を特定できる情報 (PII)、健康情報、財務情報、またはその他の機密情報または機密情報が含まれている場合、組織はデータ所有者、規制当局、法執行機関、またはその他の関係者にインシデントとその問題について通知する必要がある場合があります。プライバシーまたはセキュリティに対する潜在的なリスク3. データの分類または機密性によって、通知の内容とタイミング、および使用する適切な通信チャネルも決定される場合があります。
* 契約条件: 組織とそのサードパーティ ベンダーまたはサービス プロバイダーとの間の契約合意には、セキュリティ インシデントが発生した場合の通知義務が指定されている場合もあります。たとえば、契約では、各当事者の役割と責任、通知手順とスケジュール、共有される情報、取られる是正措置、契約違反に対する罰則や責任が定義される場合があります。契約条件には、組織またはサードパーティに適用される規制要件や業界標準が反映されている場合もあります。
通知義務が発動される可能性が最も低い要因は次のとおりです。
* データの暗号化: データの暗号化は、データを不正なアクセス、変更、開示から保護するセキュリティ対策です。データを暗号化すると、悪意のある行為者によるデータの暴露を防止または制限できるため、セキュリティ インシデントの影響や重大度が軽減される可能性があります。ただし、データを暗号化しても通知義務がなくなるわけではありません。組織は依然としてインシデントの性質と程度を評価し、暗号化が有効であったか、侵害されていたかを判断する必要があります。さらに、データの暗号化は、削除、破損、ランサムウェアなどの他の種類の脅威からデータを保護するには十分ではない可能性があります。したがって、データの暗号化はインシデント対応における通知義務に影響を与える要素ではありません。
参考文献:
※1：GDPR第33条：個人データ侵害の監督当局への通知
※2：コンピュータセキュリティインシデント通知ルール
*3: サードパーティ インシデント管理 (TPIM): IRP とサードパーティのバランスをとる方法
* : [第三者によるインシデント対応の改善]
* : [サードパーティのインシデント対応ハンドブック]
* : [暗号化はデータ侵害から保護しますか?]

ソフトウェア開発ライフサイクル (SDLC) 内のサードパーティ リスク管理 (TPRM) 要件の文脈では、データの破壊と廃棄のプロセスは通常、主要なコンポーネントとはみなされません。TPRM の SDLC 内での主な焦点は、安全なソフトウェア開発慣行を確保することです。これには、SDLC ゲートが実行されたことを証明するアーティファクトの維持、ソフトウェア セキュリティ テストの実施、セキュリティ欠陥を修正するためのプロセスの導入などが含まれます。データの破壊と廃棄はセキュリティ上の重要な考慮事項ですが、一般に、それらは SDLC プロセス自体に不可欠ではなく、データ ライフサイクル管理と情報セキュリティ管理の実践に関連付けられています。
参考文献:
* NIST によるセキュア ソフトウェア開発フレームワーク (SSDF) などのフレームワークで概説されているセキュアなソフトウェア開発のベスト プラクティスでは、セキュアなコーディングと脆弱性の重要性が強調されています。
* データ廃棄の実践ではなく、テストと修復プロセス。
* Open Web Application Security Project (OWASP) による「Software Security Framework (SSF)」は、脅威モデリング、セキュア コーディング、セキュリティ テストなどの領域に焦点を当て、セキュリティ実践を SDLC に統合するためのガイダンスを提供します。