GDPRは罰金か、罰金か?最小限の準備(MVP)から最小限の防御策(MDM)へのジャンプ

GDPRが2018年5月に発効するまでの間、多くの組織がMVP(Minimum Viable Preparation:最小限の準備)と呼ぶにふさわしいアプローチを取った。明確なガイダンスの欠如、綿密な準備のコストと混乱、Brexitの影響に対する不確実性、施行に関するメッセージの混在などを考えれば、これは理解できることだった。

1年間は特に何も起こらなかったが、その間MVPは多くの人にとって正しい決断だったように思われた。しかし、最近提案されたBAとマリオットに対する罰則金(それぞれ1億8300万ポンドと9200万ポンド)は、そのアプローチを再評価し、コンプライアンス態勢をもう一度見直すよう、組織を鋭くうながしたようだ。

GDPRは多くの分野に影響を与えます:例えば、データ主体の権利、データセキュリティ、処理の合法性、マーケティング(PECR)との相互作用などです。これらすべてに完全に対処することが望ましいとはいえ、組織は賢明にも、まずどこに新たな取り組みの焦点を当てるべきなのだろうか。これまでのところ、本当に大きな罰金案は、データセキュリティと個人データ侵害に関連している。これは理にかなっている。というのも、処理の適法性が非常に重要である一方で、個人データの過失によるダークウェブの深部への損失は甚大だからだ。これは、個人データが合法的に処理されているか否かにかかわらず、同様である。

規制自体は、組織がどのように個人データを保護すべきかについて、それほど具体的な言及はしていない。文字通りほんの一握りの技術に言及した以外は、「適切な技術的および組織的対策」というキャッチオールな表現、つまり「セキュリティ原則」を採用した。この原則は、チェックリストによる防御を排除し、ガイダンスとして、また規制上のテストとして、常に有効であり続けるように設計されている。実際には、万が一侵害された場合、自社のセキュリティがデータ処理のリスクや現在の脅威環境に対して適切であったことを証明できる必要があることを意味する。このことを念頭に置いて、組織は現在、MDM(Minimum Defendable Measures:防御可能な最小限の措置)の考え方に移行している。

そこで、防御の重要な分野をひとつ紹介しよう:ファイアウォールだ。「ファイアウォールは誰もが持っている」。問題は、従来のファイアウォールはネットワーク・レイヤーで動作しているが、ほとんどのハッキングはアプリケーション・レイヤーで行われているということだ。従来のネットワーク・ファイアウォールでは、これらの脅威を検査することができないため、ブロックすることができない。WAFなら可能だ。暗号化されたトラフィックでさえも。

WAFとは、ウェブ・アプリケーション・ファイアウォールのことである。

適切で、費用対効果が高く、効果もある。ぜひお勧めしたい。私たちのものは使い勝手もいい。

edgeNEXUSは、卓越したアプリケーションデリバリーエクスペリエンスの構築、安全性確保、持続を著しく容易にします。

複雑さはソースコードのためにある。ユーザーインターフェースではない。

edgeNEXUSは、卓越したアプリケーションデリバリーエクスペリエンスの構築、安全性確保、持続を著しく容易にします。

 

 

 

 

 

 

 

 

 

 

About John Payne