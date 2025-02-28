HITRUST保証プログラムには、基準、アセスメント、認証、一元的フレームワークが含まれており、データ・セキュリティー侵害、フィッシング／スプーフィング、ビジネスメール詐欺（BEC）といったサイバーセキュリティーの脅威が増大してもデータ集約型の組織や保証プロバイダーが管理できるよう設計されています。HITRUSTの情報保護アプローチは、次の6つの原則に基づいています。

透明性： サイバーセキュリティー脅威対策の期待値を明確に設定し、それを選択した根拠を提示し、どのように評価されるべきかという方法論について詳細に示します。





サイバーセキュリティー脅威対策の期待値を明確に設定し、それを選択した根拠を提示し、どのように評価されるべきかという方法論について詳細に示します。 拡張性： いずれの組織でも、その固有のニーズとリスクに合わせた踏み台となるアプローチで、脅威適応型アセスメントプロセスを実行します。





いずれの組織でも、その固有のニーズとリスクに合わせた踏み台となるアプローチで、脅威適応型アセスメントプロセスを実行します。 一貫性： 評価者が誰であっても、結果が基準に沿うようなアセスメントプロセスを策定します。





評価者が誰であっても、結果が基準に沿うようなアセスメントプロセスを策定します。 正確性： 制御の有効性のアセスメント結果が信頼に足るようメカニズムを実行します。





制御の有効性のアセスメント結果が信頼に足るようメカニズムを実行します。 完全性： 検証可能で正確で一貫性のある結果を出すプロセスを実行します。





検証可能で正確で一貫性のある結果を出すプロセスを実行します。 効率性：関係者全員が利用できるように結果を生成します。



認定レベル



あらゆる規模の組織に対応するため、HITRUST保証プログラムでは認定を3種類に分けています。

e1：リスクの低い組織およびスタートアップ向けの1年間認定。フィッシングやランサムウェアなどのよくあるサイバーセキュリティー脅威を防ぐための基礎となるシステムを開発する保証プロバイダーを支援するために設計されたこの検証済みの評価方法では、44項目のコア・セキュリティー要件のアセスメントを行い、透明性、一貫性、正確性、完全性に関するクリティカルなセキュリティー策に重点を置いています。

i1やr2の評価プロセスほど厳密ではないe1認証は、脅威適応型アセスメントであり、要件ステートメント数が固定で、レディネスに関するアセスメント、検証済みのアセスメントが含まれますが、プライバシーを含めたテーラードにすることはできません。この認証では通常、保証プロバイダーに対し、特権管理、ユーザー・パスワード管理、ユーザー・アクセス権、セキュアなログオンなど基礎となるサイバーセキュリティー策を十分に導入することを要求します。

i1：リスクしきい値が低い情報共有状況に対して比較的中程度の保証をする1年間の検証済みアセスメント。この検証済み評価によるアセスメントの要件は182項目あり、多くの場合はe1認証からr2認証へのインクリメンタルなステップとなります。

e1認証と同様に、i1も脅威適応型評価であり、要件ステートメント数が固定で、レディネスに関するアセスメント、検証済みのアセスメントが含まれており、プライバシーを含めたテーラードにすることはできません。i1評価では通常、保証プロバイダーに対し、特権管理、ユーザー・パスワード管理、ユーザー・アクセス権、セキュアなログオンなど基礎となるサイバーセキュリティー策を導入することが義務付けられるのはe1評価と同様ですが、そこに情報セキュリティー管理プログラムやアクセス制御ポリシーの適用などの要件が加わります。

r2：最高レベルの保証を実証する必要がある組織向け。この2年間の検証済みアセスメントは、機密情報を共有している組織、大量のデータを扱う組織、困難の多い規制要件に向かい合う組織を対象としています。範囲が十分に設定されているr2アセスメントで、制御要件が効果的でコンプライアンスに適合していることが確実になり、テーラーメイドで柔軟なリスクベースの制御が選択できるので、どれほど厳しいニーズも満たします。HITRUST r2 アセスメントには、制御の選択と範囲に基づくアセスメントに合わせたテーラードの制御要件ステートメントが2,000超あります。

r2認証では、保証プロバイダーに対し、特権管理、ユーザー・パスワード管理、ユーザー・アクセス権、セキュアなログオンなど基礎となるサイバーセキュリティー制御に加え、情報セキュリティー管理プログラムとアクセス制御ポリシーを実行することを要求します。また、保証プロバイダーには、情報セキュリティーの事業継続性のアセスメント、関連する計画フレームワークの策定、他の高度な制御とプロセスの導入も求められます。



認証の取得



組織は、審査済みであるHITRUST外部のアセスメント担当機関を通じて、適切なレベルの認証を取得できます。HITRUSTの3つのアセスメントのほか、ガバナンス、リスク、コンプライアンスの追加的なツールもすべて、HITRUST MyCSFの一元的なアプリケーションベースのプラットフォームからアクセスできます。



その他の参考情報



HITRUST Assurance Programは、組織の包括的なリスク管理フレームワーク（RMF）の1つの側面です。HITRUSTリスク管理ハンドブックには、RMFとは「機密情報と個人のプライバシーを保護するために必要なセキュリティーとプライバシー管理に関する共通の理解」というニーズに対応するために作成された一連の認証、製品、方法論、ツールであると記載されています。

2009年に最初にリリースされたRMFは、サイバーセキュリティー、リスク管理、コンプライアンスに対する一貫したアプローチです。HITRUST CSF、HITRUST Assurance Program、および関連製品と認証で構成されます。米国の州や米国連邦、およびHIPAAや欧州連合の一般データ保護規則（GDPR）など国際的な法的要件および規制要件を、基準となる方法論、品質管理、およびHITRUST認定の外部のアセスメント組織と統合しています。

HITRUSTコンプライアンス要件または認定プロセスの詳細については、 HITRUSTAlliance.netをご覧ください。