個人を特定できる情報 (PII) とは、名前、住所、電子メール、電話番号、社会保障番号など、個人を特定したり、連絡したり、所在を特定したりするために使用できるデータです。PII は、業界や管轄区域に応じて、GDPR、HIPAA、PCI DSS などのさまざまな法的要件や規制要件の対象となります。また、PII は、悪意のある人物によって個人情報の盗難、詐欺、フィッシング、その他のサイバー攻撃に悪用される可能性があるため、セキュリティとプライバシーの重大なリスクをもたらします。したがって、PII を収集、保存、処理、または送信する組織は、PII を不正アクセス、開示、変更、または紛失から保護するための適切な保護手段を実装する必要があります。
PII 保護の主要な安全策の 1 つは暗号化です。これは、秘密キーを使用してデータを読み取り不可能な形式に変換するプロセスです。暗号化により、キーを持つ承認された当事者だけが元のデータにアクセスできるようになります。暗号化は、保存中のデータ (デバイスまたはサーバーに保存されている) または転送中のデータ (ネットワークまたはインターネットを介して移動している) に適用できます。暗号化は対称 (暗号化と復号化に同じキーを使用) または非対称 (暗号化に公開キーを使用し、復号化に秘密キーを使用) にすることもできます。
PII 保護のもう 1 つの重要な保護手段は認証です。これは、データへのアクセスを要求するユーザーまたはシステムの ID を確認するプロセスです。認証により、正当かつ許可された当事者だけがデータにアクセスできるようになります。認証は、ユーザーが知っている情報 (パスワードや PIN など)、ユーザーが所有している情報 (トークンやスマート カードなど)、ユーザーの性質 (指紋や顔のスキャンなど)、またはこれらの要素の組み合わせに基づいて行うことができます。認証は、ワンタイム パスワード、チャレンジ レスポンス形式の質問、多要素認証などの追加の方法を使用して強化することもできます。
PII の送信に関するサードパーティの要件を定義する場合、より強力な制御を提供する要素は、暗号化暗号の強度と認証方法です。これらの要素によって、データ送信の安全性と信頼性、および潜在的な攻撃や侵害に対する耐性が決まります。暗号化暗号の強度とは、データの暗号化に使用されるアルゴリズムとキー サイズを指します。暗号が強力であればあるほど、暗号化を破ったり解読したりすることが難しくなります。認証方法の強度とは、ユーザーまたはシステムの ID を確認するために使用される要素の種類と数を指します。認証方法が強力であればあるほど、ユーザーまたはシステムになりすましたり侵害したりすることが難しくなります。
ディスク全体の暗号化とバックアップ、利用可能な帯域幅と冗長性、ログ記録と監視などの他の要素も PII 保護に重要ですが、データ転送プロセスに直接影響することはありません。ディスク全体の暗号化とバックアップは、転送中のデータではなく、保存中のデータに関係します。デバイスの盗難、紛失、または破損の場合に保護を提供しますが、転送中のデータの傍受や変更を防ぐことはできません。利用可能な帯域幅と冗長性は、データの可用性とパフォーマンスに関係しますが、データのセキュリティとプライバシーには関係しません。これらは、データ転送が高速で信頼性があることを保証しますが、転送中のデータの露出や破損を防ぐことはできません。ログ記録と監視は、データの暗号化と認証ではなく、データの監査とコンプライアンスに関係します。これらは、データ転送アクティビティの可視性と説明責任を提供しますが、転送中のデータへのアクセスや誤用を防ぐことはできません。参考資料:
* : データ暗号化とは? | 定義と例 | Imperva
* : 認証とは? | 定義と例 | Imperva
* : 個人を特定できる情報 (PII) - Imperva
* : データ保護 - 共有評価

各機器および物理メディアに一意の識別子を割り当てると、すべての資産の場所、ステータス、履歴を正確に追跡できるようになり、資産管理の効率と説明責任が向上します。これは、正確な資産管理とレポート作成に不可欠です。

スコープ設定は、ベンダーとの関係に内在するリスク、影響、複雑さに基づいて評価の範囲と深さを決定するため、サードパーティ評価の重要なステップです。スコープ設定は、評価がアウトソーサーのリスク許容度と目標に適切かつ効率的で一貫性があることを保証するのに役立ちます。また、スコープ設定は、ベンダーの過大評価や過小評価を回避するのにも役立ちます。過大評価や過小評価は、不要なコスト、遅延、またはリスク管理のギャップにつながる可能性があります。スコープ設定は 1 回限りのアクティビティではなく、ベンダーのライフサイクル全体を通じてレビューおよび更新する必要がある継続的なプロセスです。スコープ設定は、アウトソーサーのサードパーティリスク管理フレームワークとポリシーに合わせ、Shared Assessments Program やその他の業界標準で提供されるベストプラクティスとガイドラインに従う必要があります。参考資料:
* 1: サードパーティリスク管理ツールキット - 共有評価、4～6ページ
* 2: 動的スコープ設定がベンダーリスク評価を改善する方法 - ProcessUnity
* 3: サードパーティベンダー評価のための固有のリスク階層化 - MindPoint Group

エンタープライズ情報セキュリティ ポリシー (EISP) は、情報セキュリティに関する組織の理念、目的、期待を詳細に記述した管理レベルのドキュメントです。すべてのセキュリティ活動の方向性、範囲、方針を設定し、セキュリティ プログラムと制御を開発および実装するためのフレームワークを提供します。search_web ツールの Web 検索結果によると、EISP の重要な要素は次のとおりです。
* 組織のビジネス目標と価値観に沿ったセキュリティビジョン、ミッション、原則の声明123。
* 上級管理職、セキュリティ責任者、事業部門、およびユーザーの役割と責任を含む、情報セキュリティの監視、ガバナンス、および管理に関する組織構造と説明責任の定義123。
* データ保護、プライバシー、違反通知法など、組織が遵守しなければならない法律および規制のコンプライアンス要件と義務の仕様123。
* EISPの範囲と適用性の説明（対象となる情報、システム、資産の種類、適用される可能性のある除外事項または例外を含む）123。
* 経営陣によるEISPの有効日と最終見直し日の宣言、ならびにEISPの関連性と適切性を確保するための見直しと更新の頻度と基準123。
* 組織のリスク選好度とリスク許容度、および情報セキュリティリスクを特定、評価、および処理するためのプロセスを記述したもの123。
* EISPおよび関連するポリシー、標準、手順、ガイドラインを実施、施行、監視、監査するための権限と責任を規定する123。
* 情報、システム、資産へのアクセス権と特権の付与、取り消し、確認に関するアクセス制御ポリシーとルールの決定123。
* ISO 27001、NIST SPなどの承認された制御フレームワークに基づくEISPの組織
800-53、つまりCOBITは、組織が実装および維持しなければならないセキュリティドメイン、目標、および制御を定義します123。
ただし、オプション C は、テクノロジの変化に応じてセキュリティ ポリシーを毎年変更する必要があるという記述であり、EISP 内の組織の要件を正確に反映していません。テクノロジの変化はセキュリティ環境や組織が直面する脅威や脆弱性に影響を及ぼす可能性がありますが、セキュリティ ポリシーの変更の必要性を決定する要因はテクノロジの変化だけではありません。ビジネスの変化、法律の変化、リスクの変化、監査結果、インシデント レポート、ベスト プラクティスなどの他の要因も、セキュリティ ポリシーの見直しと更新の必要性を喚起する可能性があります。したがって、オプション C は、EISP 内の組織の要件を反映していない唯一の選択肢であるため、正解です。参考資料: 次のリソースは、検証済みの回答と説明を裏付けています。
* 1: 企業の情報セキュリティポリシーの目的は何ですか?
* 2: 企業情報セキュリティポリシーと標準
* 3: 企業情報セキュリティポリシーの主要要素
* : エンタープライズ情報セキュリティポリシー (EISP) - SANS

金融サービスでは、セキュリティを強化し、機密性の高い顧客データを保護することを目的とした厳格な規制基準に準拠するために、PIN と指紋を使用した多要素認証を強く推奨します。