リモートアクセスは、どこからでも作業やITサポートを可能にしますが、規制された環境では、機密システムへの制御されたアクセスパスとして扱われます。つまり、コンプライアンスは施行可能な技術的管理と、監査時に迅速に提出できる証拠に依存しています。
だからと言って、金融機関や政府機関がリモートアクセスを使えないわけではありません。これは、リモートアクセスが強力な認証、最小限の特権アクセス、転送中の暗号化、監査ログ、およびユーザー、管理者、第三者間で一貫したガバナンスを含む一般的なコンプライアンスの期待を満たす必要があることを意味します。
では、これらの組織はどのようにリモートアクセスのコンプライアンス要件を満たすことができるのでしょうか?要求を満たすためのコントロール、それらを満たすために監査証拠のレビューアが通常求めるもの、およびSplashtopのようなソリューションがこれらのコントロールと証拠をどのようにサポートできるかをマッピングしてみましょう。
なぜリモートアクセスは規制業界において高リスクの管理領域なのか?
厳格に規制された業界では、リモートアクセスには厳しい管理が必要です。適切なセキュリティコントロールがないと、リモートアクセスによって機密システムやデ��ータへのアクセスが広がり、アクセスが一貫して管理され記録されていない場合、監査上の問題を引き起こす可能性があります。
安全でないリモートアクセスのリスクには、管理者やベンダー、契約者による特権アクセスの悪用、機密情報への新たなまたは拡張されたアクセス経路、欠落または不一致のログによる監査失敗のリスクが含まれる可能性があります。しかし、それによって組織がリモートアクセスツールへの投資を控えるべきではありません。
金融機関や政府機関がリモートアクセスを利用するシナリオは、在宅勤務時だけではありません。これは以下を含みます:
外出中にセカンダリデバイスから内部アプリ、規制されたデータ、支払いシステム、CJISのような環境、または管理コンソールにアクセスします。
第三者サポートアクセスの付与:ベンダー、MSP、ITサポートなど。
リモートサーバーを管理する必要がある場合など、持続的で無人のアクセスが必要なシナリオ。
理由や形式に関わらず、リモートアクセスで最も重要なのは、ITコンプライアンスの要件を満たすセキュアで信頼性のあるアクセスです。
リモートアクセスソリューションの基本的なコンプライアンス要件は何ですか?
規制対象産業向けのリモートアクセスは、いくつかの重要な要件を満たせば可能です。監査時にコンプライアンスを示すために、各レコードは明確であるべきであり、それによりシステム、アカウント、およびデバイスが確実にセキュアであることを示します。
リモートアクセスを検討する際には、次の点を考慮してください:
1. アイデンティティと認証をどのように強制するべきですか?
リモートアクセスのためのサイバーセキュリティ機能の中で、認証は最も重要なものの一つです。多要素認証 (MFA) は、すべてのユーザーにとっての既定であるべきであり、管理者やその他の重要な役割のための追加のコントロールを伴うべきです。
シングルサインオン (SSO) およびセキュリティアサーションマークアップ言語 (SAML) のサポートも推奨され、可能な限り中央集権的なアイデンティティポリシーの施行が推奨されます。契約業者や他の第三者がアクセスを許可される場合、彼らも同様に身元確認の基準を満たす必要があり、アクセスは必要な領域に限定され、契約期間中のみとすべきです。
ユーザーは、いかなる状況下でもアカウントやログイン情報を共有すべきではありません。すべての人が、身元確認が有効になったユニークなアカウントを持っているべきです。
証拠には次のものが含まれるべきです:
MFAポリシーのスクリーンショット
SSO構成
承認されたユーザーの包括的なリスト
レビュー可能でアクセス可能なアクセス記録
2. 最小特権とセグメンテーションのために必要なアクセス制御は何ですか?
ユーザーがリモートで接続する際には、無制限のアクセスを許可すべきではありません。代わりに、ロールベースのアクセス制御 (RBAC) と詳細な権限は��、ユーザーが許可されたエリアと情報にのみアクセスできるようにするために必要です。これらのツールを導入することで、特定のマシン、グループ、環境へのアクセスが制限されるため、アカウントが侵害されても、会社のネットワークに無制限のアクセスを得ることはありません。
もちろん、管理者は必要に応じて時間制限付きおよびジャストインタイムアクセスをユーザーに付与できるので、役割ベースの制限がユーザーの必要な作業を妨げることはありません。しかし、これによりアクセスが管理され、不正な行為者を防ぐことができます。
証拠には次のものが含まれるべきです:
どのグループが何にアクセスできるかを定義するロール定義
グループからデバイスへのマッピングで認識されていないデバイスを特定
誰が何にアクセスできていつだったかを簡単に把握できる承認の履歴
四半期ごとのアクセスレビューにより、アクセス許可が適切に割り当てられ、管理されていることを確認します
3. どの暗号化とセッションのセキュリティ要件が最も重要か?
各リモートセッションは、層状のセキュリティで保護されるべきです。最低限、リモートアクセスは、業界標準の通信保護および強力なセッションの暗号化を使用して、送信データを暗号化する必要があります。意思決定者は、ベンダーがセッションをどのように暗号化しているか、キーと証明書がどのように管理されているか、どのプロトコルが使用されているかを確認する必要があります。
さらに、このソリューションは、セッションタイムアウトポリシー、切断動��作、接続通知など、セッション中およびセッション間の露出を減らすために、セッションの整合性とライフサイクル制御をサポートする必要があります。
証拠には次のものが含まれるべきです:
暗号化とプロトコルについて説明しているベンダーのセキュリティドキュメント
強制された設定を示す管理構成のエクスポートまたはスクリーンショット
既定以外の設定が使用されている場合の承認済み標準またはセキュリティ例外の文書
4. データ露出を減らすためのセッション管理の機能は何ですか?
セッションコントロールは、データのセキュリティを維持し、リスクを軽減するために不可欠です。これには、ファイル転送の制御、クリップボードの制御、リモート印刷のガバナンスが含まれ、常にファイルと情報の保管場所と利用可能状況を把握できます。また、ウォーターマーキングとユーザーの帰属が含まれ、誰が何にアクセスできるかを識別します。
セッションのタイムアウトは、ユーザーが離れている間にアカウントがアイドル状態になり、露出するのを防ぐためにデータセキュリティを維持するのにも役立ちます。優れたリモートアクセスツールには、ユーザーが切断した際にアカウントとデータを安全に保つために、ユーザーが不在のときにトリガーされる自動ロックが含まれています。
証拠には次のものが含まれるべきです:
厳格なセッション制御を持つ管理者ポリシー設定
セキュリティ機能とコントロールが実際に動作している様子を示すスクリーンショット
セッション制御ルールを詳細に説明�したポリシー参照
5. 一般的に必要とされる監査ログとモニタリングとは何ですか?
アクセス記録を明確に保つためには、監視とログ記録セッションが不可欠であり、監査のためにも必要です。記録は最低でも、誰が何にアクセスしたか、いつ、どこで、どのようなアクションを取ったかを含む必要があり、管理者の活動は別にログに記録されるべきです。
多くの規制されている組織は、リモートアクセスログをセキュリティ情報およびイベント管理(SIEM)システムに転送して、監視と調査を集中化しますが、具体的な要件は組織のプログラムとポリシーに依存します。
セッション録画は、アカウンタビリティと調査をサポートすることができます。また、内部ポリシーや特定の契約上の義務で必要とされることもありますが、明確な保持およびアクセスルールとともに意図的に有効化されるべきです。
証拠には次のものが含まれるべきです:
アクティビティがどのように記録されるかを示すサンプルログ
SIEM転送証明
管理者監査ログ
記録がどのくらいの期間保存されるかを示す保持設定の詳細
6. 適用されるデバイスとエンドポイントの姿勢の期待は何ですか?
エンドポイントの衛生管理には、パッチ適用、インベントリ、脆弱性の露出が含まれ、セキュアリモートアクセスの重要な要素です。組織はエンドポイントが安全であることを確保する必要があります。つまり、デバイス間の接続を可能にするだけでなく、エンドポイント上で強力なセキュリティ姿勢を維持するソリューションを使用するということです。
組織は自分のデバイスを検証し、それらが適格であることを確認できるべきです。これには、デバイスの最新リストを維持し、エンドポイント管理ソフトウェアを使用して管理およびサポートし、既知かつ信頼されているエンドポイントを安全に保つことが含まれます。リモートアクセスはユーザーがあらゆるデバイスから作業できるようにしますが、それらのデバイスは常に安全でなければなりません。
証拠には次のものが含まれるべきです:
資産インベントリ
すべてのエンドポイントが適切にパッチされたことを示すパッチコンプライアンスレポート
既知の脆弱性がどのように対処されているかを示すための脆弱性修正記録
7. サードパーティおよびベンダーのアクセスはどのように管理されるべきですか?
ベンダーとサードパーティのアクセスは、金融機関や政府機関などの規制された組織を含む、あらゆる種類のビジネスにおいて一般的です。ただし、そのアクセスは安全に管理されなければなりません。
ベンダーアクセスは、特に制限や管理がない場合、監査でよく指摘されます。サードパーティのアクセスには、ベンダー用にスコープされた権限を持つユニークなアカウント、予期しないアクセスを防ぐための時間制限されたアクセス、リモートセッションログ、定期的なレビューが含まれるべきです。
証拠には次のものが含まれるべきです:
最新のベンダー名簿
ベンダーがアクセスできるものを制御するアクセス承認
すべてのベンダー活動を示すセッションログ
サードパーティへのア��クセス許可が解除され、完全に削除されたことを示す終了記録。
金融と政府において、これらの要件を一般的に推進する基準とフレームワークはどれですか?
金融機関や政府機関は異なる規則や保証プログラムに従いますが、リモートアクセスに関する期待は通常、同じ制御テーマに収束します。どちらも厳格なセキュリティ基準と、誰が何にアクセスできるかを制御する厳しい管理、そして説明責任を維持し不審な行動を検知するための詳細な記録とログが必要です。
一般的な要件には以下が含まれます:
アクセス制御、最小特権、および文書化されたリモートアクセスガバナンス。
強力な認証、詳細なログ記録、そしてユーザーと管理者の一貫したポリシー適用。
リモートアクセスが決済システムやその他の高感度な環境に触れる際の制限と監視がより厳しくなります。
これらのコントロールファミリーを証拠と再現可能なプロセスで強化するSOC 2やISO/IEC 27001のような保証フレームワーク。
コンプライアンス要件をリモートアクセス制御チェックリストに変換するにはどうすれば良いですか?
これらのコンプライアンス要件が圧倒的に感じられても、怖がらないでください。セキュアリモートアクセスに必要なすべての項目の便利なチェックリストを作成するのは簡単ですので、一歩ずつコンプライアンスとセキュリティを確保できます。
次の簡単な手順に従ってチェックリストを作成します。
自分の�スコープに含まれるシステムとデータを定義し、誰がそれらにアクセスする必要があるかを特定します。
標準ユーザー、特権ユーザー、およびベンダーを分離する。
Multi-Factor Authenticationと中央アイデンティティポリシーを設定してユーザーを認証します。
RBACとデバイスグループを実装して、最小特権を強制し、役割別にアクセスを制限してください。
会社のポリシーに従って、ファイル転送、クリップボード、印刷などのセッション機能を設定します。
セッションライフサイクルの制御を確立し、タイムアウトや切断の動作を含めて、セキュリティをさらに向上させます。
監査ログと管理ログを有効にします(該当する場合は、SIEMソリューションに転送してください)。
ログと録画の保持とレビューのサイクルを設定します。
例外とそれに対して使用する補償コントロールを文書化し、徹底したセキュリティと意識を示すようにしてください。四半期ごとにアクセスレビューを行い、証拠収集の訓練を実施することも重要です。これにより、誰が何にアクセスしているかを常に把握し、監査に備えることができます。
監査人はどのような証拠を求め、どのように迅速にそれを提供しますか?
監査を受ける場合、セキュリティ技術、規制、慣行、そしてコンプライアンスを示す記録などを証明する証拠を提示する必要があります。準備が整っていないと、この情報を集めてまとめるのに時間がかかることがあります。しかし、監査が何を探しているのかを知っていれば、必要な情報を簡単に集めることができます。
監査の準備をする際には、以下の点に注意してください:
証拠 | どこから来るのか |
アクセスログ | リモートアクセスプラットフォームのログまたはSIEM |
管理者の変更履歴 | 管理者監査トレイル |
多要素認証の施行 | アイデンティティプロバイダーとプラットフォームの設定 |
アクセスログレビュー | エクス��ポートされたユーザーアクセスリストと承認記録 |
セッション録画(使用する場合) | 録画ポリシーと保持設定 |
デバイスインベントリとパッチステータス | エンドポイント管理報告 |
それを考慮に入れるとき、監査で注意すべき一般的な落とし穴もあります。監査の準備をする際、これらのミスが遅延を招いたり、失敗につながることがあります。
欠落しているログ: 欠落しているログは大きな盲点を作り、活動が把握されず、失敗につながる可能性があります。
共有アカウント: 共有ユーザーアカウントは、アカウンタビリティが低下し、アカウントが盗まれやすくなるため、重大なセキュリティリスクです。
過度な広範なアクセス: ユーザーアクセスは役割と部門によって制限されるべきです。全員に広範なアクセスを許可すると、1つのアカウントが危険にさらされた場合、企業全体に大きなダメージを引き起こす可能性があります。
レビュー不足: ログ記録と監視の行動は、誰もログを確認しなければ無意味です。定期的なレビューは、疑わしい活動を特定し、セキュリティのコンプライアンスを確保するために不可欠です。
未記載の例外: エンドポイントやユーザーに対して例外を設定する必要がある場合があります。このような場合には、例外を許可する際にどのようにセキュリティを維持してい��るかについての明確なノートとともに、それらを文書化する必要があります。
ユーザーにとってリモートアクセスを辛いものにすることなく、どのようにコンプライアンス要件を満たすことができますか?
これらの要件は重く感じられるかもしれませんが、アクセス階層を標準化し、集中化されたポリシーでデフォルトを強制し、ログとレビューを監査時の慌てた対応ではなく日常業務として扱うことで、管理可能になります。
セキュアリモートアクセスとセキュリティコンプライアンスのベストプラクティスには次のものが含まれます。
従業員、IT管理者、および第三者ベンダー向けに、各グループの権限の一貫した基準を確立するために、アクセス層を標準化します。
アクセス許可を管理する際には、個別のポリシーではなく、グループやテンプレートを使用し、必要に応じて個人に対してジャストインタイムアクセスで調整を行います。
ログとレビューをポリシーと慣行の定例に組み込み、監査前に情報を集めるのに慌てることがないようにしましょう。
セキュリティリスクをもたらす可能性のある危険なセッション機能を避け、例外的にのみ許可してください。
Splashtopは、規制された環境でのリモートアクセスコンプライアンス要件を満たすのにどのように役立ちますか?
規制産業の期待に応えるリモートアクセスが必要な場合、Splashtopは強制可能なアクセスコントロール、集中管理のアクセスポリシー、そして�監査対応済みのログを提供することで支援できます。目的は「コンプライアンスを購入する」ことではなく、セキュリティ要件を一貫して強制し、レビュー時にそれを証明できるようにすることです。
Splashtop Enterpriseは、一般的なオペレーティングシステムで有人および無人のリモートアクセスをサポートし、チームが役割に応じてアクセスの範囲を設定し、ポリシーを一元管理し、監査のためにセッションおよび管理活動の記録を維持するための管理コントロールを提供します。
Splashtopのリモートアクセスセキュリティコントロールにはどのようなものがありますか?
Splashtopは、一般的なコンプライアンス要件を満たすためのセキュリティコントロールを含んでおり、SOC 2やISO/IEC 27001のような保証プログラムによく求められる証拠収集をサポートしています。これらには以下が含まれます:
リモートセッションの暗号化: Splashtopは256ビットAES暗号化を使用して、リモートセッションを保護し、データを転送中にスクランブルします。
MFAサポート: Splashtopは、アカウントを保護し、ユーザーの確認を行ってからアクセスを許可するために多要素認証を使用しています。
SSO/SAMLサポート: シングルサインオンまたはセキュリティアサーションマークアップ言語を使用しているユーザーは、該当する場合、集中管理されたSSOユーザ��ーIDとパスワードを使用してログインできます。これには、Okta、Azure AD、OneLogin、G-Suite などのサポートが含まれます。
詳細な権限とアクセススコープ設定: 管理者は、ユーザーやグループが特定のネットワーク領域やリソースにアクセスする許可を完全に管理し、役割ベースのアクセスコントロールとゼロトラスト・セキュリティでデータを保護します。
IP許可リスト管理: 管理者はIPホワイトリストを設定して、認識され承認されたIPアドレスのみからユーザーが接続できるようにすることで、ネットワーク、サーバー、およびアプリケーションへのアクセスをさらに管理できます。
ウォーターマークオプション: リモートセッション中にウォーターマークを追加することで、ユーザー帰属と抑止のために機密情報を保護します。
監査およびトレーニングのためのセッション録画: Splashtopはリモートセッションを自動的に録画でき、トレーニングおよび監査のためのユーザー活動の明確な記録を提供します。
SIEMワークフローをサポートするログ: Splashtopは、Security Information and Event Management (SIEM) ワークフローのためにリモートセッションを記録することもでき、コンテキスト分析と脅威インテリジェンスを通じて、潜在的なインシデントを検出し調査することが容易になります。
Splashtopは監査準備と証拠収集をどのようにサポートしますか?
金融機関と政府機関は、サイバーセキュリティとITコンプライ�アンスを確保するために厳格な監査を受ける必要があります。これらの監査には、データ処理およびネットワーク保護を管理するためのポリシーやツールを含む、高レベルのセキュリティを示す詳細なログと証拠が必要です。
Splashtopは監査の準備をサポートします:
セッションログと管理者活動の可視性により、すべてのリモートセッションとユーザー活動の明確な記録を提供します。
セッション録画の保持期間は、会社のポリシーに準拠し、必要な期間記録が保管されることを保証します。
集中管理されたポリシーにより、単一のダッシュボードからエンドポイント全体にわたってセキュリティルールを一貫して適用します。
Splashtop AEMはリモートアクセスプログラムのコンプライアンスをどのように強化するのですか?
Splashtop AEMは、ハードウェアとソフトウェアのインベントリ、パッチの可視性と展開、CVEベースの脆弱性のインサイトを提供することによって、リモートアクセスプログラムのエンドポイントの姿勢をサポートします。これは、チームがエンドポイントの被曝を減らし、デバイスの衛生管理が維持されているという証拠を作成するのに役立ちます。
Splashtop AEMは、次の機能でエンドポイントのセキュリティ姿勢を改善します:
パッチの可視性と自動パッチ設定により、パッチの遵守を向上させ、従業員が使用するエンドポイントの脆弱性を減少させるとともに、ITチームの時間と手間を節約します。
ハ�ードウェアとソフトウェアのインベントリ、新しいエンドポイントが接続されると自動的に更新され、継続的な監視と監査の証拠を提供します。
CVEベースの脆弱性インサイトが、既知の脅威をリアルタイムで特定し、ITチームに警告し、自動化された修正を提供することでサイバーセキュリティを向上させます。
コンプライアンスのためにリモートアクセスベンダーを評価する際に何を探すべきですか?
リモートアクセスソリューションを探しているとき、検討中のものに必要なすべてのセキュリティ機能があるとどうやって確信できますか?金融機関や政府機関がセキュリティコンプライアンスを維持するのに役立ついくつかの重要な機能があります。それを便利なチェックリストにまとめました。
リモートアクセスソフトウェアで以下を探してください:
アイデンティティおよび認証機能、MFA、SSO、またはSAMLなど。
最小特権の原則、RBACとデバイスのグループ化を含む。
セッション管理ツール、機能コントロール、セッションタイムアウト、設定可能な切断動作など。
監査可能性の機能には、ログ、管理者監査トレイル、SIEMのサポート、録画オプションが含まれます。
管理者の管理機能、たとえばポリシー テンプレートやエクスポート可能なレポートなど。
約束ではなく証拠;ベンダーが提供できる文書や成果物を見て、すべてを善意で受け入れるのではなく検証しましょう。
Splashtopで安全かつコンプライアンスを遵�守
金融や政府のような厳しく規制された業界では、セキュリティ要件は注意を促すゆるい提案ではありません。コンプライアンスは、一貫したセキュリティ、監視、管理を必要とし、監査の成功は、施行と証拠の両方に依存します。
Splashtopを使用すると、チームはセキュアリモートアクセス制御を施行し、一貫したガバナンスを示す必要な監査証拠を維持することができます。Splashtop AEMと組み合わせることで、ITチームはパッチ適用とインベントリの可視性を強化し、コンプライアンスレビューをサポートし、運用リスクを軽減することができます。
リモートアクセスを簡単かつ安全にする準備はできていますか?Splashtopを今日から無料トライアルでお試しください。
