認証とコンプライアンス

米国防総省のクラウド・コンピューティング・セキュリティ要件（影響レベル2および影響レベル4）について

米国国防総省（DoD）は、Federal Risk and Authorization Management Program（FedRAMP）プログラムによって確立された共通の要件セットを超える、独自の情報保護要件を有しています。FedRAMPの要件を基礎として、米国国防総省は特に、DoDクラウドコンピューティングセキュリティ要件ガイド（SRG）において、追加のクラウドコンピューティングセキュリティおよびコンプライアンス要件を定義しています。米国国防総省の顧客をサポートするクラウドサービスプロバイダー（CSP）は、これらの要件に準拠する必要があります。

スカイハイセキュリティは、スカイハイセキュリティのFedRAMP Moderate ATOを活用し、国防情報システム局（DISA）からDoD Impact Level 2 (IL2) Provisional Authorization (PA)を付与されました。DoDのIL2は非管理下非分類情報（non-CUI）であり、一般公開が許可されたすべてのデータ、およびCUIとして指定されていない一部のDoD非公開非分類情報、または最小レベルのアクセス制御を必要とする重要ミッションデータが含まれます。

Skyhigh Security は複数の顧客とDoDインパクトレベル4を積極的に追求している。

DoD IL4は、教育、訓練、PII、PHI、SSN、クレジットカード情報、輸出管理、FOUOおよび法執行機関の機密資料、電子メールなど、大統領令13556（2010年11月）で定められた不正な開示からデータを保護するための管理下非分類情報（CUI）です。

セキュリティ、認可、監視のための標準的なアプローチを提供する米国政府のプログラム

FedRAMP（Federal Risk and Authorization Management Program）は、クラウドサービスプロバイダー（CSP）のセキュリティ評価、認可、継続監視の標準的なアプローチを提供する米国連邦政府プログラムです。FedRAMPプログラムは、他の政府機関にまたがる評価と認可の再利用を通じて、安全なクラウドソリューションの採用を加速させるのに役立っています。FedRAMPは、連邦情報セキュリティ管理法（FISMA）に基づき策定された標準化された一連の要件を活用し、セキュリティ評価フレームワーク（SAF）とNISTリスク管理フレームワーク（RMF）を利用して、クラウドサービスプロバイダが実装するセキュリティ管理の各種ベースラインに対する信頼性とプロセスの成熟度を継続的に監視し、改善します。米国政府のデータを処理、保存、送信するために、米国政府の顧客との継続的な業務をサポートするために、FedRAMPプログラムによって確立された要件を遵守する責任があります。

GDPRは欧州連合（EU）の規制であり、個人が自分の個人データをよりコントロールできるようにすることを目的としています。

一般データ保護規則（GDPR）は2018年5月25日に施行され、個人が自分の個人データをよりコントロールできるようにするEUの規則です。GDPRは、欧州連合全体のデータ保護規則を調和させるために設計されました。個人データの処理に関する個人の保護に関するルールと、欧州連合におけるデータ主体の個人データの自由な移動に関するルールを規定しています。GDPRは、企業に対し、個人データを保護するための適切な技術的および組織的措置を実施することを求めています。

詳しくはこちらをご覧ください：
一般データ保護規則（GDPR）個人データ要求フォーム

米国公認会計士協会（AICPA）が開発したSOC 2は、5つの「信頼サービス原則」（セキュリティ、可用性、処理の完全性、機密性、プライバシー）に基づいて顧客データを管理するための基準を定めています。

SOC 2 Type II報告書は、AICPAのSOC 2 Trust Services Criteria（TSC）を満たすために一定の統制が行われていることを、Skyhigh Securityの組織のマネジメントが主張することを証明するものです。

報告書には、公認会計士事務所が経営者の主張に同意するかどうかを記載した公認会計士事務所からの意見書が含まれる。意見書には、選択されたTSCに対処するために適切な統制が実施されており、その統制は設計されている（タイプI報告書）、または設計され効果的に運用されている（タイプII報告書）ことが記載されています。

情報セキュリティの国際規格である

情報セキュリティマネジメントシステム（ISMS）の仕様を定めています。ISO 27001のベストプラクティスアプローチは、人、プロセス、技術に対処することで、組織の情報セキュリティ管理を支援します。

スカイハイセキュリティは、クラウドアクセスセキュリティブローカーとして初めてISO27001の認証を取得しました。

また、この認証は、スカイハイセキュリティが実施している統制と実践の成熟度を反映しています。

IRAPは、民間および公的セクターからセキュリティ評価サービスを提供する個人を承認しています。

IRAP（Information Security Registered Assessor Program）は、セキュリティ評価プロセスとセキュリティ評価者プログラムによって構成されるセキュリティコンプライアンスのフレームワークです。オーストラリア政府内のオーストラリア信号局（ASD）およびオーストラリアサイバーセキュリティセンター（ACSC）によって開発されました。IRAPは、オーストラリア連邦政府機関のセキュリティ保証とリスク管理の維持、およびクラウドサービスプロバイダーとそのクラウドサービスのセキュリティ管理をオーストラリア政府のセキュリティポリシーとガイドラインに照らして評価することをサポートしています。

Skyhigh Security Service Edge（SSE）は2023年にPROTECTEDセキュリティ分類レベルでIRAP評価を完了し、Skyhigh Cloud Access Security Broker（CASB）は2020年にIRAP PROTECTEDレベルで評価されています。IRAP評価は、Skyhigh Securityの強力なデータ対応クラウドセキュリティ技術群が、オーストラリア政府機関の機密性の高いデータやインフラを管理するために適切かつ効果的なセキュリティ管理を実施していることを公共機関向けに保証するものです。

詳しくはこちらをご覧ください：
https://www.cyber.gov.au/acsc/view-all-content/programs/irap

クラウドセキュリティアライアンス（CSA）が発行するCSA STAR認証は、クラウドセキュリティとコンプライアンスのベンチマークとして世界的に認められています。

クラウドセキュリティアライアンス（CSA）が発行するCSA STAR（Security, Trust, and Assurance Registry）認証は、クラウドセキュリティとコンプライアンスのベンチマークとして世界的に認められています。CSA STARは、クラウド環境のセキュリティを確保し、グローバルスタンダードへのコンプライアンスを確保するというクラウド特有の課題に対応するために特別に設計されています。この認証は、認証された組織が厳格なセキュリティ対策、プライバシー保護、規制コンプライアンスの枠組みを遵守していることを顧客に保証するものです。

Skyhigh SecurityCSA STAR認証は、セキュリティ、信頼、コンプライアンスに対する同社の揺るぎないコミットメントを強調するものです。この世界的に認知された基準を満たすことで、同社はクラウドセキュリティ業界におけるリーダーシップを強化するだけでなく、安全でコンプライアンスに準拠したクラウドソリューションを求める顧客に安心感を提供しています。

データ保護・デジタルプライバシー法（DPDPA）は、インドにおける個人データの保護とプライバシー権の行使のための包括的な枠組みを確立するものである。同法は、個人データを取り扱う組織に対し、セキュリティ、透明性、説明責任を含むデータ保護の原則を遵守する義務を定めている。

Skyhigh Security は、堅牢なデータセキュリティ・ソリューションを提供することで、DPDPA のコンプライアンス達成を支援します。当社のSecurity Service Edge (SSE) プラットフォームとCloud Access Security Broker (CASB) は、DPDPA の要件に対応するようにカスタマイズされています。これらのソリューションにより、企業はデータ暗号化、アクセス制御、リアルタイム監視などの効果的なセキュリティ対策を実施し、機密情報を保護することができます。

Skyhigh Securityのソリューションは、個人データ漏洩に関連するリスクを軽減し、DPDPAの国境を越えたデータ転送規則へのコンプライアンスを確保し、データの完全性を維持することを可能にします。高度なセキュリティ技術を活用することで、企業は利害関係者との信頼を築き、インドのデータプライバシー規制をシームレスに遵守することができます。

DPDPAコンプライアンスに関する詳細はこちらをご覧ください。

デジタル・オペレーショナル・レジリエンス法（DORA）は、EU全域の金融機関のセキュリティとレジリエンスを強化するための統一的な規制枠組みを確立するものである。同法は、ICTリスクの管理、業務継続性の確保、サイバー脅威からの金融システムの保護に関する厳格な要件を義務付けている。

Skyhigh Security 、最先端のセキュリティソリューションを提供することで、企業がDORAコンプライアンスを達成できるよう支援しています。当社のSecurity Service Edge （SSE）プラットフォームとCloud Access Security Broker （CASB）は、DORAの厳しい要件を満たすために必要なツールを提供します。これらのソリューションにより、企業は脅威の検知、インシデント対応、継続的な監視を含む強固なサイバーセキュリティ対策を導入し、金融データやデジタルインフラを保護することができます。

Skyhigh Security高度なセキュリティ機能により、金融機関は業務リスクを軽減し、規制コンプライアンスを確保し、サイバー耐性を強化することができます。プロアクティブなセキュリティアプローチを採用することで、組織は信頼を維持し、機密性の高い金融情報を保護し、DORAの規制上の期待にシームレスに沿うことができます。

DORAコンプライアンスに関する詳細はこちらをご覧ください。