英国 NCSC & CPNI データセキュリティガイダンス(運用者向け、利用者向け)
こんにちは、丸山満彦です。
英国の国家サイバーセキュリティセンターと国家インフラ保護センターが、データセンター事業者及び利用者に向けた共同セキュリティガイダンスを公表していますね。。。
● National Cyber Security Centre (NCSC)
・2022.03.07 Joint security guidance offered to data centre operators and users
| Joint security guidance offered to data centre operators and users | データセンター事業者及び利用者に向けた共同セキュリティガイダンスを提供 |
| New guidance from the NCSC and CPNI sets out a holistic security strategy for data centres to the keep the UK's online assets secure. | NCSCとCPNIによる新しいガイダンスは、英国のオンライン資産を安全に保つための、データセンター向けの総合的なセキュリティ戦略を示しています。 |
| ・The National Cyber Security Centre and the Centre for the Protection of National Infrastructure issue guidance to help UK’s data centres stay secure | ・国家サイバーセキュリティセンターと国家インフラ保護センターは、英国のデータセンターの安全性確保を支援するためのガイダンスを発表しました。 |
| ・Operators encouraged to adopt a single strategy which unites the physical, personnel and cyber security of data centres | ・データセンターの物理的、人的、サイバー的セキュリティを統合する単一戦略を採用するよう事業者に奨励します。 |
| ・Users and operators of data centres urged to consider guidance carefully as key aspects of UK life increasingly stored online | ・英国生活の重要な側面がますますオンラインで保存されるようになり、データセンターの利用者と運営者はガイダンスを慎重に検討するよう求められています。 |
| DATA CENTRE OPERATORS will for the first time have access to tailor-made advice on how to keep the UK’s online assets secure. | データセンターの運営者は、英国のオンライン資産を安全に保つ方法について、初めてオーダーメイドのアドバイスを受けることができるようになります。 |
| The new guidance from the National Cyber Security Centre (NCSC) – a part of GCHQ – and the Centre for the Protection of National Infrastructure (CPNI) helps users and operators of data centres understand and mitigate potential security vulnerabilities. | GCHQの一部である国家サイバーセキュリティセンター (NCSC) と国家インフラ保護センター (CPNI) による新しいガイダンスは、データセンターの利用者と運営者が潜在的なセキュリティの脆弱性を理解し、緩和できるよう支援するものです。 |
| Data is one of the UK’s most valuable assets, and it underpins almost all facets of modern life. However, this can make data centres an attractive target for threat actors, both physically and in cyberspace. | データは英国で最も価値のある資産の一つであり、現代生活のほぼすべての面を支えています。しかし、そのためにデータセンターは、物理的にもサイバー空間においても、脅威者にとって魅力的なターゲットとなり得ます。 |
| The new guidance sets out a holistic security strategy which encourages owners and users to consider how: | 新しいガイダンスは、全体的なセキュリティ戦略を示し、所有者と利用者にどのように考慮するかを促しています。 |
| ・location and ownership of a data centre can affect who has access to sensitive information or affect strategic operating decisions | ・データセンターの場所と所有権は、機密情報へのアクセス権や戦略的な経営判断に影響を与える可能性があります。 |
| ・cyber threat actors continuously evolve their methodology to breach defences | ・サイバー脅威者は、防御を破るための手法を常に進化させています。 |
| ・strong physical security can mitigate covert and forceful entry to data assets | ・強力な物理的セキュリティは、データ資産への密かな侵入や強制的な侵入を軽減することができます。 |
| ・employees are critical to an effective security culture | ・効果的なセキュリティ文化には、従業員が不可欠です。 |
| NCSC Technical Director Dr Ian Levy said: | NCSCテクニカルディレクターのイアン・レヴィ博士は、次のように述べています。 |
| “Operators and users of data centres have a clear responsibility to protect the data that they hold and process – failing to do this poses a massive financial, reputational and, in some cases, national security risk. | 「データセンターの運営者と利用者には、保有・処理するデータを保護する明確な責任があります。これを怠れば、経済的、風評的、場合によっては国家安全保障上の大きなリスクを負うことになります。」 |
| “Owning these responsibilities means understanding the array of methods that malicious actors could use to compromise a data centre both physically and digitally. | 「このような責任を負うということは、悪意ある行為者がデータセンターを物理的およびデジタル的に侵害するために使用しうるさまざまな方法を理解することを意味します。」 |
| “I urge operators and users of data centres to consult this joint guidance and adopt the holistic security strategy it recommends.” | 「データセンターの運営者と利用者は、この共同指針を参考にし、この指針が推奨する全体的なセキュリティ戦略を採用することを強くお勧めします。」 |
| The Head of CPNI said: | CPNIの責任者は、次のように述べています。 |
| “Data centres and the data they hold are invaluable to the UK’s economy, security and prosperity. Threat actors constantly seek to evolve their methods to exploit any weaknesses in data infrastructure security, often concurrently. | 「データセンターとそこに保管されているデータは、英国の経済、安全、繁栄にとってかけがえのないものです。脅威者は、データインフラのセキュリティの弱点を突くために、常にその方法を進化させようとしており、多くの場合、同時に進行しています。」 |
| “To minimise the risk of a breach it is critical that data centre security is viewed holistically with physical, people and cyber security risks considered with other factors such as where in the world infrastructure is located. | 「侵害のリスクを最小限に抑えるためには、データセンターのセキュリティを物理的、人的、サイバー的なセキュリティリスクと、インフラが世界のどこにあるかといった他の要素から総合的に判断することが重要です。」 |
| “By doing so, data centre owners and users can better safeguard their customer’s data, their business operations and keep the UK’s digital infrastructure running. | 「そうすることで、データセンターの所有者と利用者は、顧客のデータや事業運営をより安全に保護し、英国のデジタルインフラを稼働させ続けることができるのです。」 |
| “In this period of stark geopolitical uncertainty, there is no better time than now for data centre operators and users to read the full guidance and make sure they’re best protected.” | 「地政学的な不確実性が高い今こそ、データセンターの運営者と利用者がガイダンスの全文を読み、最善の保護を確保する絶好の機会です」。 |
| For more information, users and operators of data centres should visit the CPNI website. | 詳細については、データセンターのユーザーとオペレーターは、CPNIのウェブサイトをご覧ください。 |
| For broader advice on configuring, deploying and using cloud services securely, people can consult the NCSC’s existing cloud security guidance. | クラウドサービスを安全に設定、展開、使用するための幅広いアドバイスについては、NCSCの既存のクラウドセキュリティガイダンスを参照してください。 |
● CPNI
・2022.03.04 Data Centre Security: Guidance for owners and users
Guidance
・2022.03.04 [PDF] Data centre security - key considerations for owners
・2022.03.04 [PDF] Data centre security - key considerations for users
| KEY CONSIDERATIONS FOR DATA CENTRE OWNER SENIOR LEADERS | KEY CONSIDERATIONS FOR DATA CENTRE USER SENIOR LEADERS |
| There is no one-size fts-all approach to holistic data centre security. Every data centre operator or owner needs to consider the CPNI and NCSC guidance based on their own risk assessments. The guidance contains the security considerations you need to be aware of as a senior leader to make sure you and your customers’ data stays protected. | There is no one-size fts-all approach to holistic data centre security. Every data centre user needs to consider CPNI and NCSC’s data centre security guidance based on their own risk assessments and risk management. This guidance contains the key security considerations you need to be aware of as a senior leader to make sure that the data of your organisations and your customers stays protected. |
| Risk management | Risk management |
| The CPNI risk management framework encourages data centre owners to identify assets and threats, assess risks, develop a protective security strategy, implement measures, and review processes periodically. Remember that the risk management strategies of data centre customers and operators are interdependent. | The CPNI risk management framework encourages users to identify assets and threats, assess risks, develop a protective security strategy, implement measures, and review processes periodically. Remember that the risk management strategies of data centre customers and operators are interdependent. |
| As a data centre operator, you will want to ensure your risk management is robust to attract your clients, maintain your reputation, and comply with relevant regulatory compliance regimes. To be most effective, risk management strategies will be driven by senior leaders. | |
| While less likely than attacks that focus on acquiring or degrading data, threat actors may also seek to disrupt services by targeting data centres through either a destructive cyber attack or a physical attack against a data centre. The cascading effects of a loss of service can be huge. | |
| Resilience | Resilience |
| Data centres need to ensure they are resilient against a range of threats and hazards, including natural hazards, power outages, hardware failures or denial-of-service attacks. | You should ask yourself if the data centre can demonstrate it has physically separate communications routes, diverse power supplies and back-up power, protected building services rooms, the human resources to cope with a physical or cyber incident, and a resilient supply chain. |
| As a data centre owner, ask yourself if you have physically separate communications routes into the data centre, diverse power supply and back-up power options, and whether building service rooms are protected from physical attack or sabotage. Do you have the people power to deal with a security incident? Is your supply chain resilient? | It should be assumed that at some point your data defences will be breached. It is important to be able respond proactively by detecting attacks and having measures in place to minimise the impact of any cyber security incidents. |
| Geography and ownership | Geography and ownership |
| In the UK, GDPR sets out principles data controllers must comply with. Understanding regulations on data security in the country where your data centre is located is also important. Some foreign governments – China and Russia are examples – may mandate access to data that limits your control and ability to provide assurances. | Managed hosting or cloud hosting providers sometimes store your data in multiple locations, not necessarily in the UK. It’s important you know where your data is stored, since some countries such as China and Russia have laws that could put it at risk. |
| Physical perimeter and buildings | Physical perimeter and buildings |
| Security of the perimeter, site and data centre building is the responsibility of the operator. In an enterprise-owned facility, site security is defned by the enterprise based on its own risk assessment. In other facilities, the level of security should meet customer expectations and be designed to attract newcomers. | Security of the perimeter, the site, and the building is usually the responsibility of the operator, but data centre users should consider the physical security measures in place and whether threats and risks have been identifed and mitigated. You may need to discuss the option of implementing your own detection layers to maximise opportunities for detection at rack, room or hall level. |
| The data hall | The data hall |
| Data centre operators are responsible for data hall security. Data customers may have additional security layers. Control of access is especially important when operating shared data centres. You must be able to demonstrate to your customers that you are prepared. | No matter how secure the data centre, as a customer, it is your responsibility to ensure suffcient controls are in place at the data hall to limit who might be able to access your networking equipment. If you have your own suite or hall, you need to conduct your own risk assessment and identify the security measures you need. |
| Meet-me rooms | Meet-me rooms |
| Data centre operators should strictly limit access to meet-me rooms. You may decide not to allow customers access to view security arrangements. It’s important however that meet-me room security assurances are provided during tendering. Measures to protect meet-me rooms include access control and screening, intrusion detection such as CCTV, entry and exit searches, rack protection, anonymisation, and asset destruction. | Access should be strictly controlled to meet-me rooms. Meet-me room security details and assurances should be provided by data centres during tendering. As well as access control, data centre users should consider access screening processes, intrusion detection such as CCTV, rack security, and asset destruction. |
| People | People |
| It’s important to mitigate any security risks related to people, such as ‘insider risk’. Data centre owners should optimise the use of people as force multipliers to prevent, detect and deter security threats. Having a good security culture means your workforce is likely to be engaged with, and take responsibility for, security issues. | People can become force multipliers to improve security. They can help detect, deter and disrupt hostile actors planning attacks and a good security culture can also reduce the risk of the insider threat. The data centre you select should be able to demonstrate the policies and procedures it has place to deliver good people and personnel security. |
| Supply chain | Supply chain |
| Effectively securing your supply chain can be hard because vulnerabilities are inherent or introduced and exploited at any point. A vulnerable supply chain can cause damage and disruption. Data centre owners should consider physical, personnel and cyber security risks within any risk assessment. | Securing the supply chain can be hard because vulnerabilities are inherent or introduced and exploited at any point in the chain. As a data centre user, it’s important you understand the impact outsourcing can have on your data centre requirements and the risks a supplier poses to assets. |
| Cyber | Cyber |
| Data centre owners should assume that a cyber compromise is inevitable, take steps to detect intrusions and minimise their impact and take preventative cyber security measures. Organisations should ensure that good cyber security is built into their systems and services from the outset, and that those systems and services can be updated to adapt effectively to emerging threats. | Remember that data centres are valuable targets for threat actors seeking to conduct cyber attacks. The motivation for these attacks is usually stealing, destroying or compromising your data. Data centre customers should assume that a successful cyber attack will happen and take steps to ensure such attacks can be detected and the impact minimised. |
仮訳...
| データセンター所有者のシニアリーダーのための重要な考慮事項 | データセンター利用者のシニアリーダーのための重要な考慮事項 |
| データセンターのセキュリティには、万能なアプローチはありません。すべてのデータセンター事業者や所有者は、独自のリスク評価に基づいてCPNIとNCSCのガイダンスを検討する必要があります。このガイダンスには、あなたとあなたの顧客のデータを確実に保護するために、シニアリーダーとして知っておくべきセキュリティ上の考慮事項が記載されています。 | データセンターのセキュリティに万能なアプローチはありません。すべてのデータセンター利用者は、独自のリスク評価とリスク管理に基づいて、CPNIとNCSCのデータセンター・セキュリティ・ガイダンスを検討する必要があります。このガイダンスには、組織と顧客のデータを確実に保護するために、シニアリーダーとして知っておくべき主なセキュリティ上の考慮事項が記載されています。 |
| リスク管理 | リスク管理 |
| CPNIのリスク管理フレームワークは、データセンターの所有者に、資産と脅威の特定、リスクの評価、保護的なセキュリティ戦略の策定、対策の実施、プロセスの定期的な見直しを促しています。データセンターの顧客とオペレータのリスク管理戦略は、相互に依存していることを忘れないでください。 | CPNIリスクマネジメントのフレームワークは、利用者に、資産と脅威の特定、リスクの評価、保護的なセキュリティ戦略の策定、対策の実施、プロセスの定期的な見直しを促しています。データセンターの顧客とオペレータのリスク管理戦略は、相互に依存していることを忘れないでください。 |
| データセンター事業者としては、顧客を引き付け、評判を維持し、関連する規制コンプライアンス体制を遵守するために、リスク管理を強固なものにしたいと考えるでしょう。最も効果的なリスク管理戦略は、シニアリーダーによって推進されるでしょう。 | |
| データの取得や劣化に焦点を当てた攻撃ほど可能性は高くありませんが、脅威者は破壊的なサイバー攻撃またはデータセンターに対する物理的な攻撃のいずれかを通じてデータセンターを標的とし、サービスを中断させようとする可能性もあります。サービスの喪失がもたらす連鎖的な影響は甚大なものになる可能性があります。 | |
| レジリエンス(回復力) | レジリエンス(回復力) |
| データセンターは、自然災害、停電、ハードウェア障害、DoS攻撃など、さまざまな脅威や危険に対するレジリエンスを確保する必要があります。 | データセンターが、物理的に分離された通信経路、多様な電源とバックアップ電源、保護されたビルディングサービス室、物理的またはサイバーインシデントに対処できる人材、回復力の高いサプライチェーンを持っていることを実証できるかどうか、自問自答する必要があります。 |
| データセンターの所有者として、データセンターへの通信経路が物理的に分離されているか、多様な電源とバックアップ電源のオプションがあるか、建物のサービスルームが物理的な攻撃や妨害行為から保護されているかを自問自答してください。セキュリティ事故に対処するための人材は確保されているか?サプライチェーンは回復力が高いですか? | ある時点でデータ防御が破られることを想定しておく必要があります。攻撃を検知し、サイバーセキュリティ事故の影響を最小限に抑えるための対策を講じることで、プロアクティブに対応できるようにすることが重要です。 |
| 地理的条件と所有権 | 地理的条件と所有権 |
| 英国では、GDPRによりデータ管理者が遵守すべき原則が定められています。データセンターが設置されている国のデータセキュリティに関する規制を理解することも重要です。中国やロシアをはじめとする一部の外国政府は、データへのアクセスを義務付けている場合があり、貴社の管理と保証を提供する能力が制限されることがあります。 | マネージドホスティングやクラウドホスティングのプロバイダーは、お客様のデータを複数の場所に保存することがありますが、必ずしも英国内にあるとは限りません。中国やロシアなど、データを危険にさらす可能性のある法律を持つ国もあるため、データがどこに保管されているかを把握することは重要です。 |
| 物理的な境界線と建物 | 物理的な境界線と建物 |
| 境界、敷地、データセンターの建物のセキュリティは、事業者の責任です。企業が所有する施設では、サイトのセキュリティは、企業独自のリスク評価に基づいて定義されます。その他の施設では、セキュリティのレベルは顧客の期待に応え、新規参入者を惹きつけるように設計されなければなりません。 | 境界、敷地、建物のセキュリティは、通常、事業者の責任ですが、データセンターの利用者は、物理的なセキュリティ対策が施されているか、脅威やリスクが特定され軽減されているかどうかを検討する必要があります。ラック、ルーム、ホールレベルで検知の機会を最大化するために、独自の検知レイヤーを実装するオプションについて議論する必要があるかもしれません。 |
| データホール | データホール |
| データセンターの運営者は、データホールのセキュリティに責任があります。データ顧客はさらにセキュリティ層を設けることができます。共有データセンターを運営する場合、アクセス制御は特に重要です。顧客に対して、準備が整っていることを示すことができなければなりません。 | データセンターがいかに安全であっても、顧客のネットワーク機器にアクセスできる者を制限するために、データホールで十分な管理が行われていることを確認するのは、顧客の責任です。自社でスイートやホールを所有する場合は、顧客自身でリスクアセスメントを行い、必要なセキュリティ対策を特定する必要があります。 |
| ミートミー・ルーム | ミートミー・ルーム |
| データセンター事業者は、ミートミー・ルームへの入室を厳しく制限する必要があります。セキュリティ対策の状況を見るために、顧客の入室を認めないこともできます。しかし、入札の際にミートミー・ルームのセキュリティ保証を提供することが重要です。ミートミー・ルームを保護するための対策としては、入退室管理とスクリーニング、CCTVなどの侵入検知、入退室検査、ラック保護、匿名化、資産破壊などがあります。 | ミーテイルームへのアクセスは厳密に管理する必要があります。ミートミー・ルームのセキュリティの詳細と保証は、入札の際にデータセンターから提供される必要があります。データセンターの利用者は、アクセス制御だけでなく、アクセスのスクリーニング・プロセス、CCTVなどの侵入検知、ラックのセキュリティ、資産の破壊についても考慮する必要があります。 |
| 人 | 人 |
| 内部者リスクなど、人に関連するセキュリティリスクを軽減することが重要です。データセンターの所有者は、セキュリティ上の脅威を防止、検出、抑止するための戦力として、人の活用を最適化する必要があります。優れたセキュリティ文化があれば、従業員はセキュリティ問題に取り組み、責任を負う可能性が高くなります。 | 人は、セキュリティを向上させるための戦力となることができます。また、優れたセキュリティ文化は、内部者による脅威リスクを低減することができます。また、優れたセキュリティ文化は、内部脅威のリスクも軽減します。選択するデータセンターは、優れた人材と人員のセキュリティを実現するためのポリシーと手順を実証できる必要があります。 |
| サプライチェーン | サプライチェーン |
| サプライチェーンの安全性を効果的に確保することは困難です。なぜなら、脆弱性が内在しているか、またはどの時点でも侵入され、悪用される可能性があるからです。脆弱なサプライチェーンは、損害や混乱を引き起こす可能性があります。データセンターの所有者は、物理的、人的、サイバー的なセキュリティリスクをリスクアセスメントの中で考慮する必要があります。 | サプライチェーンの安全性を確保することは困難です。なぜなら、サプライチェーンのどの時点においても、脆弱性は内在しているか、または導入され、悪用される可能性があるからです。データセンターの利用者としては、アウトソーシングがデータセンターの要件に与える影響と、サプライヤーが資産にもたらすリスクを理解することが重要です。 |
| サイバー | サイバー |
| データセンターの所有者は、サイバー侵害が避けられないことを想定し、侵入を検知してその影響を最小限に抑えるための措置を講じ、予防的なサイバーセキュリティ対策を講じる必要があります。組織は、システムやサービスに最初から優れたサイバーセキュリティが組み込まれていること、また、新たな脅威に効果的に適応するためにシステムやサービスを更新できることを保証する必要があります。 | データセンターは、サイバー攻撃を行おうとする脅威者にとって、貴重なターゲットであることを忘れてはなりません。これらの攻撃の動機は、通常、お客様のデータの窃盗、破壊、危険にさらすことです。データセンターのお客様は、サイバー攻撃が成功することを想定し、そのような攻撃を確実に検知し、影響を最小限に抑えるための措置を講じる必要があります。 |
● NCSC
Comments