コンプライアンスギャップを特定する
学習の目的
この単元を完了すると、次のことができるようになります。
- サイバーセキュリティコンプライアンスフレームワークを実装する方法を説明する。
- 既存のポリシー、手順、テクノロジーを評価してコンプライアンスギャップを特定する方法を説明する。
- 脅威、リスク、脆弱性を分析して重要なアセットの弱点を見つける方法を説明する。
サイバーセキュリティコンプライアンスフレームワークの使用
お客様のデータを保護するために重要なことは、政府、規制当局、自分の組織がサイバーセキュリティに関して設定した法律、規制、標準、ポリシーに準拠することです。サイバーセキュリティコンプライアンスアナリストは、サイバーセキュリティのリスク、脅威、脆弱性を予測して最小限に抑え、複数の情報テクノロジー (IT) コンプライアンス要件を満たすことで、組織が常に先手を打てるようにします。そのために、既存のコントロール環境と必要な状態とのギャップを特定するコンプライアンス評価を実行します。この分析は内部チームメンバーへの面接とプロセスや手順の評価を行うことによって実施します。
すべての要件を追跡すると同時に組織のコンプライアンスを評価するにはどうすればよいのでしょうか? それにはサイバーセキュリティコンプライアンスフレームワークを使用します。これは、コンプライアンスリスクに対処するための基盤です。このフレームワークを使用することで、機能やコントロールを適用される規制や標準に対応付けることができます。異なる法律、規制、標準、ポリシーに同じような重複する要件があることが多いため、要件をサイバーセキュリティコンプライアンスフレームワークに対応付けます。これによって、特定の要件セットを 1 つのコントロールで満たせる状況を特定しやすくなり、組織のセキュリティアプローチの効率が向上します。その後、要件からの逸脱があれば、具体的に何を行う必要があるかを企業が解釈するのをサポートします。
では、認識しておくべきさまざまな法律、規制、標準、ポリシーとは何でしょうか? それは、ビジネスを行っている管轄、属している業種、扱っているデータの種類によって異なります。組織に影響を及ぼす可能性のある標準の例をいくつか次に示します。
サイバーセキュリティ標準 |
適用対象 |
---|---|
アメリカ公認会計士協会 (AICPA) サイバーセキュリティ用システムと組織のコントロール (SOC)
|
公認会計士 (CPA) がサービス組織のサイバーリスク管理プログラム内のコントロールを評価するために使用する自主的なレポートフレームワーク |
|
クラウド製品およびサービスのセキュリティ評価、認証、継続的な監視に対する標準化されたアプローチを提供する米国連邦政府のプログラム。連邦政府データを処理または保存するために使用されるすべてのクラウド製品およびサービスに適用されます。 |
|
欧州連合 (EU) で顧客にサービスを提供する企業または個人と取引を行う企業に対する規制。個人データが技術的また組織的に適切な手段で安全に処理されることを義務付けます。 |
|
ヘルスケア提供者、ヘルスケアプラン、保険料請求会社、給付管理会社、請求処理会社などを対象として、保護対象保険情報 (PHI) と呼ばれる個人の識別が可能な健康情報を保護するために米国保険福祉省 (HHS) が設定したセキュリティ、プライバシー、侵害通知に関するルール。 |
ISO/IEC 27001 情報セキュリティ管理に関する業界標準
|
あらゆる種類の組織が金融情報、知的財産、従業員情報などのアセットのセキュリティを管理するための人、プロセス、テクノロジーに関する自主的な国際標準 |
米国標準技術局 (NIST) サイバーセキュリティフレームワーク
|
重要なインフラストラクチャに対するサイバーリスクを軽減するために業界の協力を得て米国連邦政府が既存の標準、ガイドライン、手法に基づいて開発した自主的なフレームワーク。 |
ペイメントカード業界データセキュリティ基準 (PCI-DSS)
|
小売業者や支払カード発行会社など、支払カードデータの受け入れ、処理、送信を行うすべての組織を対象とした基準 |
サイバーセキュリティコンプライアンスギャップの特定
各自の組織に適用される法律、規制、標準、ポリシーへのコンプライアンスを維持するには、サイバーセキュリティ環境を詳しく調べて攻撃者が悪用できるサイバーセキュリティギャップを特定する必要があります。まず、既存のポリシーや手順を評価して、それがビジネス目標に沿ったものであり、明確で理解しやすく、リスクを最小限に抑えるためのベストプラクティスに従っていることを確認します。次に、テクノロジーにギャップがないかを評価します。それには次のようなツールを使用します。
-
バグバウンティプログラム: 報奨を提供することで組織内外のセキュリティ調査員に脆弱性の報告を奨励し、Web サイト、商品、サービスの脆弱性を特定します。たとえば、セキュリティ調査員はクラウドストレージコンテナに未承認でアクセスできることを発見して、敵対者が同じことを発見する前に警告します。
-
フィッシングシミュレーション: 従業員がフィッシング攻撃を識別して報告する能力を評価します。たとえば、フィッシングシミュレーションを実施することで、一部の管理ユーザーが悪意あるリンクを含む不審なメールに引っかかることを発見します。これが本物のフィッシングメールであれば、攻撃者はそのユーザーのアカウントに不正にアクセスできてしまいます。これが発見されるということは、セキュリティ認識トレーニング、メールコントロール、認証メカニズムにギャップがある可能性があります。
-
侵入テスト: コンピューターシステムに対するサイバー攻撃をシミュレーションして、悪用可能な脆弱性をチェックします。たとえば、サードパーティがシステムに対して実施した侵入テストでテスト担当者がフィッシングメールを使用して管理ログイン情報へのアクセス権を入手し、そのログイン情報を使用してデータを盗み出し、その盗難に関連するログファイルを削除できるということが発見される可能性があります。これは、監査とログ、任務の分離、認証メカニズムにギャップがある可能性を示しています。
-
レッドチーム評価: 内部チームが環境内の人とテクノロジーに関する情報をできるだけ多く収集し、機密情報へのアクセス権の入手を試み、組織の検出および応答機能をテストします。たとえば、チームはランサムウェアが仕込まれた USB を受付のデスクに置いておき、受付担当者がラップトップにそれを接続したとします。ランサムウェアは、会社が成功するために必要な重要ファイルを暗号化してロックすることができます。会社が信頼できるバックアップからファイルを復元できなければ、災害復旧と不足事態対応の計画にギャップがあると共に、ユーザーを教育するセキュリティトレーニングや、悪意あるテクノロジー周辺機器をブロックし、そもそもそのような周辺機器がネットワークにアクセスできないようにするための技術コントロールが必要である可能性があります。
アセット、インフラストラクチャ、コントロール、戦略のレビューが完了しました。次は何をすべきでしょうか。次は、関連する脅威、リスク、脆弱性を分析して、組織を脅かすサイバーセキュリティコンプライアンスギャップが存在する可能性がある箇所を発見しましょう。
脅威、リスク、脆弱性を特定する
脅威
Sanako を紹介します。Sanako はクレジットカードを専門とする金融会社である Capital International のサイバーセキュリティコンプライアンスアナリストです。彼女の役割の 1 つは、Capital International の脅威インテリジェンスチームと協力して組織のアセットに対する脅威を分析し、先手を打つことです。Sanako とチームが懸念する脅威には次のようなものがあります。
-
マルウェア: サイバー攻撃者によって開発されたコードで構成され、データとシステムに広範囲に及ぶ損害を与えたり、ネットワークへの不正アクセスを入手したりするために設計されたコンピューターウイルスなどの悪意のあるソフトウェア。
-
ランサムウェア: コンピューターに感染し、システムの機能を戻すために金銭の支払いを要求するメッセージが表示される悪意のあるソフトウェア。
-
フィッシング: 信頼できる企業や個人からであると称して、ユーザーにパスワードやクレジットカード番号などの個人情報を開示させようとするメールを送信する詐欺行為。
リスク
Sanako は Capital International のリスクマネージャーとも協力して、リスクを特定し、組織のリスクエクスポージャーを測定します。これにはサイバーセキュリティリスクだけではなく財務、法務、評判に関するリスクも含まれます。たとえば、必要なセキュリティコントロール (カード所有者データへのアクセス権を業務の実施にその情報を必要とするユーザーのみに制限するなど) を実装できなかった場合、サイバーセキュリティリスクと財務リスクの両方が発生し、PCI DSS への準拠違反により罰金が科せられることがあります。
そのようなリスクを評価するときには、Sanako は内部システムとサードパーティベンダーの両方を調べます。さまざまなシステムのサイバーセキュリティ体制を評価するデータを収集し、アンケートを使用してビジネスリスクとテクノロジーリスクを理解します。これを実施するのは、ビジネスのコア能力や目標と、それが Capital International のサイバーセキュリティ侵害のリスクレベルにどのように影響するかを評価するためです。
脆弱性
最後に Sanako は Capital International の脆弱性を評価します。脆弱性管理チームと協力し、組織の重要なアセット内の弱点を見つけます。また、システム所有者とも協力して是正措置を実行し、攻撃者がビジネスを妨害したり機密情報を盗んだりするために弱点を悪用するのを防ぎます。その後、組織が満たす必要がある標準に脆弱性を対応付けます。
たとえば Sanako は、クラウドストレージコンテナでアクセス権限にベンダーのデフォルト設定である [公開] を使用したために、お客様の支払カードデータが露出していたことを発見することが考えられます。彼女はこれは攻撃者が悪用できる脆弱性だと知っています。またこれはセキュリティパラメーターにベンダーが供給するデフォルトを使用せず保存されたカード所有者データを保護するという PCI DSS 要件に違反しています。彼女はシステム所有者にこのギャップをすぐに知らせます。さらにサイバーセキュリティコンプライアンスフレームワークの一部として組み込むことで、Capital International がこのギャップを認識し、対処する計画を設定するようにします。組織的な視点を持つことで、会社のコンプライアンスを維持し、お客様に強力なサイバーセキュリティ保護を提供できます。多くの作業が必要ですが、それだけの価値はあります。
リソース
- 外部サイト: FedRAMP
- 外部サイト: UK NCSC: GDPR
- 外部サイト: HHS: Summary of the HIPAA Security Rule (HIPAA セキュリティルールの概要)
- 外部サイト: ISO: ISO/IEC 27001
- 外部サイト: PCI Security Standards Council: Maintaining Payment Security (PCI セキュリティ基準審議会: 支払セキュリティの維持)