サイバーセキュリティコンプライアンス分析を知る

学習の目的

この単元を完了すると、次のことができるようになります。

• サイバーセキュリティコンプライアンス分析の目標を説明する。
  
• サイバーセキュリティコンプライアンス分析の重要性を説明する。
  

サイバーセキュリティコンプライアンスとは?

サイバーセキュリティ担当者は、セキュリティをビジネスの本質としています。データ侵害に関する巨額のコストはさらに増え続けており、そのため、より堅牢なサイバーセキュリティ対策のニーズが高まっています。最近の Accenture のレポートによると、サイバーセキュリティレジリエンスの現状に関する年次アンケートで、世界中の 4,744 人の回答者のうち、約 3 分の 1 が、不十分なガバナンスとコンプライアンスが問題になっていると回答しています。

そのような侵害から企業と消費者を保護するため、政府、規制当局、組織は、サイバーセキュリティとデータ保護の問題に対処する法律、規制、標準、ポリシーを定めています。ビジネスで機密情報を収集、保存、または使用している場合、このような義務に準拠しなければビジネスプロセスに大きな影響を与える可能性があります。データ侵害が起きれば、甚大な金銭的損失、市場シェア価値の損失、さらに影響を受けたお客様への補償のためのコストが発生することがあります。 

一般に、コンプライアンスはルールに従い要件を満たすことと定義されます。サイバーセキュリティでは、コンプライアンスとは、保存、処理、転送される情報の機密性、完全性、可用性 (CIA) を保護するリスクベースのコントロールを確立するプログラムを作成して維持するという意味です。このようなコントロールは、必要なレベルのセキュリティを確立するために該当コンプライアンス要件の遵守を示す手段として使用されます。

サイバーセキュリティコンプライアンス分析は、情報テクノロジー (IT) システムまたはアプリケーションの動作が有効なサイバーセキュリティのルールや規制に準拠しているかどうかを評価するプロセスです。効果的なサイバーセキュリティコンプライアンス分析を行えば、コンプライアンスリスクに優先順位を付け、コンプライアンスリスクをその対処に協力する組織内の部署に対応付け、コンプライアンスリスクを軽減するために効果的にリソースを割り当てることができます。この分析は内部チームが行うこともサードパーティが行うこともあります。会社には他の種類のルールや規制 (標準会計原則、治療プロトコル、犯罪活動に対する法律など) を専門とするコンプライアンスアナリストがいるかもしれませんが、サイバーセキュリティコンプライアンスには IT システムのセキュリティを維持することで機密データを保護することに特化したルールや規制が関係します。

サイバーセキュリティアナリストは、次のような機密情報の保護に取り組みます。

• 個人識別情報 (PII): 氏名、誕生日、政府発行の個人識別番号 (PIN) など。
  
• 保護対象保険情報 (PHI): 病歴、入院記録、処方記録など。
  
• 金融データ: クレジットカード番号、銀行口座番号、デビットカードの PIN など。
  
• 認証要素: 指紋、声紋、顔認識データなどの生体認証など。
  
• その他の機密データ: IP アドレス、メールアドレス、ユーザー名、パスワードなど。
  

この情報の保護について自社やサプライヤーのセキュリティを適切に検査できなければ、データ侵害の可能性が高まり、業務の停止、お客様の信頼の低下、重大な処罰につながります。このような理由から、組織内外のシステムのセキュリティコンプライアンスの分析は包括的、効率的でスケーラブルである必要があります。

サイバーセキュリティコンプライアンスの重要性

これでサイバーセキュリティコンプライアンスとは何かということを理解できました。次はその重要性について説明します。サイバーセキュリティコンプライアンスは企業、政府、その他のエンティティが機密データを安全に処理するのに役立ちます。既存の法律、規制、標準、ポリシーの意味を解明し、組織がサイバーセキュリティのルールやガイドラインに従っていることを確認します。 

サイバー攻撃は頻繁に発生していて、攻撃の数や種類も増え続けているため、ほとんどの組織にとって効率的なサイバーセキュリティを実現するのが困難になっています。トレーニングを受けたサイバーセキュリティの専門家は大幅に不足しており、今日の環境はますます厳しいものになっています。サイバーセキュリティコンプライアンスアナリストである皆さんは、次の攻撃から組織を守るために重要な役割を果たします。

サイバーセキュリティリスク管理とサイバーセキュリティコンプライアンス

サイバーセキュリティリスク管理とサイバーセキュリティコンプライアンスは似ているけれども同じとは限らないことに注意してください。コンプライアンス要件はサイバーセキュリティリスクよりも遅れていることがよくあります。つまり、最小限の規制要件に準拠しているだけでは不十分です。また、組織は全体としてのサイバーセキュリティリスク体制を理解し、そのリスクを軽減するポリシーとコントロールを設定する必要があります。そのときに、皆さんには果たすべき重要な役割があります。組織のサイバーセキュリティリスクマネージャーと協力して、該当する規制、ポリシー、フレームワークへのコンプライアンスを確認するだけではなく、組織がコンプライアンスを超えたセキュリティ文化を形成するために最善を尽くしていることを確認する必要があります。

その作業の主要な部分は、サイバーセキュリティの取り組みが準拠していて安全であり、ビジネスに複数の競合する要件を課すことがないように合理化することです。そのために、組織のサイロを解消し、情報を集約し、サイバーセキュリティリスクマネージャーと協力して IT リスク、コンプライアンス、ポリシー管理、ベンダーセキュリティプラクティスのあらゆる角度からのビューを提供します。これによって組織は、チームのレポートの負担を増やすことなく、コンプライアンスの懸念に対処し、組織がサイバーリスクを包括的に管理していることを確認できる効果的なサイバーレジリエンス計画を実行して管理できます。

サイバーセキュリティコンプライアンスは何らかの種類の機密データを収集、管理、分析、保護するすべてのビジネスに関係します。そのため、どの業種にいてもサイバーセキュリティコンプライアンスは重要です。さらに、内部監査を実施し、サードパーティの監査や評価を受ける組織は、自分がサイバー脅威に対する継続的な戦いに重要な役割を果たしていることを理解しています。このような監査や評価では、既存のコントロールや必要なコントロールについての独立したレビューが提供されるため、組織がデジタル環境の多様なリスクを理解し、それに対処するのに役立ちます。

規制コンプライアンスの標準や要件を満たしたり、それを超えたりすることで、組織には法律で義務付けられている機密データの保護以上のメリットがあります。適切な安全策やセキュリティ対策を実装してお客様や従業員の機密情報を保護することで、会社のセキュリティ体制が増強されます。その結果、企業秘密、ソフトウェアコード、商品仕様、会社に競争上の優位性をもたらすその他の情報などの知的財産を保護できることになります。 

まとめ

これでサイバーセキュリティコンプライアンス分析について理解が深まりました。次の単元では、サイバーセキュリティコンプライアンスアナリストの任務と資格について詳しく学習し、サイバーセキュリティコンプライアンスアナリストの成功に役立つスキルについても学習します。 

リソース

• 外部サイト: Accenture: The state of cybersecurity resilience 2021 (サイバーセキュリティレジリエンスの現状 2021)
  
• 外部サイト: Center for Internet Security (CIS): How to Build a Cybersecurity Compliance Plan (with Free CIS Resources) (サイバーセキュリティコンプライアンス計画の作成方法 (無料 CIS リソース付き))
  
• PDF: Fortinet: Why Compliance Is a Critical Part of a Cybersecurity Strategy (コンプライアンスがサイバーセキュリティ計画の重要な部分である理由)