ソリューション概要

FortanixはAPRA CPS 230ガイドラインへの対応をどのように支援しますか？

機密コンピューティングを活用した暗号化サービスで、データ損失をなくし、事業継続性と運用回復力を実現

How Fortanix helps meet APRA CPS 230 guideline

APRA CPS 230とは何ですか？

「APRA CPS 230は、オーストラリアの金融サービス業界におけるオペレーショナルリスク管理に焦点を当てた重要な健全性基準です。そのガイドラインと要件を遵守することで、APRA規制対象事業体はオペレーショナルレジリエンスを高め、混乱を最小限に抑え、顧客および利害関係者の利益を保護することができます。」

テクノロジーリスクを管理する上で、APRA規制対象事業体は情報資産の経過年数と健全性を監視し、健全性基準CPS 234情報セキュリティ（CPS 234）に記載されている情報セキュリティの要件を満たす必要があります。（参照：オペレーショナルリスク管理 6ページ）

APRA CPS 230のガイドラインでは、事業継続についても詳しく述べられています。

• 第34条：組織は、重要な情報資産の災害復旧計画を含め、混乱時においても許容範囲内で重要な業務を維持する方法を定めた、信頼性のある事業継続計画（BCP）を維持すること。

• 第41条：APRA規制対象事業体は、人材、リソース、テクノロジーへのアクセスを含め、BCPを実行するために必要な能力を維持しなければならない。

なぜデータの機密性、可用性、完全性を確保することが事業継続に不可欠なのか？

データは組織が持つ最も価値のある資源です。データの可用性を確保することは、組織の事業継続にとって極めて重要です。ミッションクリティカルなデータへのアクセスを失うことは、業務を完全に停止させ、組織に経済的損失と評判の低下をもたらす可能性があります。データ漏洩は、データ損失の最も一般的な原因です。

暗号化は現在、組織でデータの機密性（不正な閲覧を防ぐ）とデータの完全性（不正な変更を防ぐ）を保護するために一般的に使用されています。

暗号化は簡単、鍵管理は難しい多くの組織は機密データを保護するために暗号化に依存していますが、鍵管理を適切に行うことに苦労しています。暗号化鍵を失うと、その鍵で暗号化されたデータはすべて失われます。したがって、鍵を安全に管理することは、データ漏洩を防ぎ、事業継続を確保するために不可欠です。

そのため、データのセキュリティと事業継続に関する限り、暗号化鍵の管理は最優先事項の一つであるべきです。

Fortanixで成果を上げましょう。

統合セキュリティ

Fortanixは、パブリック、プライベート、ハイブリッド、マルチクラウド環境全体で安全な鍵管理と暗号化サービスを提供し、暗号鍵のプロビジョニングと制御を簡素化します。

データ保護、その状態がどうであれ

Fortanix manages and enforces security policies including identity verification, data access control, and attestation to ensure the integrity and confidentiality of data, code, and applications.

高可用性鍵管理サービス

このサービスは、クラスター内のほとんどのノードがアクティブな状態でも高い可用性を実現できるように設計されています。Fortanixの理想的なマルチサイト展開では、高いサービス可用性を確保するために、少なくとも3つのデータセンター/KMSクラスター（アベイラビリティゾーン）をカバーします。キーはリージョン内のクラスター内で複製されます。

Powered on Confidential Computing

Fortanixの暗号化サービスは、コンフィデンシャル・コンピューティング技術を基盤としており、組織がデータのライフサイクル全体（保存時、転送時、使用時を含む）にわたってデータを保護することを可能にします。

暗号鍵の安全な保管

暗号鍵を保管し、暗号化操作をモジュール内で安全に実行するために、FIPS 140-2 レベル3認証済みのHSMを使用しています。

暗号化をセキュリティに効果的に活用するには、暗号鍵の適切な管理が不可欠です。鍵は金庫の暗証番号のようなものです。もし金庫の暗証番号が敵に知られてしまえば、どんなに頑丈な金庫でも侵入を防ぐことはできません。同様に、鍵の管理がずさんだと、強力なアルゴリズムも簡単に破られてしまう可能性があります。

NISTの鍵管理に関する推奨事項

なぜコンフィデンシャル・コンピューティングが究極のソリューションなのか？

コンフィデンシャル・コンピューティングは、セキュア・エンクレーブまたはトラステッド実行環境（TEE）内でデータとアプリケーションを実行することで、コンピューティング・インフラストラクチャが侵害された場合でも、データとコードを分離して不正アクセスを防ぎ、データとアプリケーションを保護します。Intel® SGXテクノロジーは、コンフィデンシャル・コンピューティングの主要な実装の一つです。Intel® SGXを使用することで、組織はハードウェアレベルの暗号化によって、基盤となるインフラストラクチャ（ハードウェアまたはOS）からソフトウェアとデータを分離できます。

影響：コンフィデンシャル・コンピューティングは、データの機密性、完全性、可用性を確保するための究極のソリューションを提供します。組織は、信頼できないインフラストラクチャ、パブリッククラウド、およびその他のすべてのホスト環境で、機密性の高いアプリケーションとデータを実行できるようになります。これにより、組織は確立されたセキュリティ境界の内外で、アプリケーションとデータのセキュリティとプライバシーをより詳細に制御できるようになります。

Featured Resource

APRA健全性基準 CPS 234：積極的な保護方針と手順

CPS 230/234 are Australian cybersecurity regulations that set minimum standards for data security under the supervision of APRA. It works in tandem with their 2020-2024 Cyber Security Strategy. The motivation is simple — beef up the cybersecurity resiliency and safeguard sensitive data. 

ホワイトペーパーをダウンロードする

How Fortanix helps meet APRA CPS 230 guideline resource

Fortanixがどのようにエンタープライズコンプライアンスワークフローを強化し、加速させるか、パーソナライズされたデモでご確認ください。

デモをリクエストする