コンプライアンスリスクを管理し、コントロールを実装する

学習の目的

この単元を完了すると、次のことができるようになります。

• コンプライアンスリスクの軽減、受容、移転に関するサイバーセキュリティコンプライアンスアナリストの役割を説明する。
  
• サイバーセキュリティコンプライアンスコントロールをドキュメント化して実装する方法を特定する。
  

サイバーセキュリティコンプライアンスリスクを軽減、受容、移転する

サイバーセキュリティコンプライアンスリスクを管理する 3 つの主要なタスクである軽減、受容、移転について見ていきましょう。 

Maddy はクラウドコンピューティングプロバイダーのサイバーセキュリティコンプライアンスアナリストです。この会社は非営利団体、財団法人、金融会社、教育機関、ヘルスケア組織、宗教団体にサービスを提供しています。彼女の仕事の一部は、組織の全体的なリスク管理プログラムのための情報として、会社のソフトウェアに関連するサイバーセキュリティコンプライアンスリスクや不適合をドキュメント化して追跡することです。さらにその後、そのようなサイバーセキュリティコンプライアンスの問題を内外のステークホルダーに一貫した繰り返し可能な方法で伝えます。特定したリスクごとに、彼女は軽減、受容、移転のいずれにするかの判断を通知するのに協力します。詳しく見てみましょう。

リスクの軽減

リスクを軽減する場合には、セキュリティコントロールを適用することでリスクを減らします。まず Maddy は会社のソフトウェアの潜在的な弱点や脆弱性を特定し、そのような脆弱性が悪用されるリスクを最小化するための予防措置を組織が講じられるようにサポートします。サイバーセキュリティリスクを軽減し、適用される規制、標準、ポリシーへのコンプライアンスを維持する方法として、ソフトウェアを最新に保つ、アンチウイルス保護ソフトウェアをインストールする、重要なデータをバックアップするなどが挙げられます。

Maddy は彼女の会社が金融サービス業種の会社に提供しているクラウドコンピューティングソフトウェアのコンプライアンス体制をレビューしています。この会社はペイメントカード業界データセキュリティ基準 (PCI-DSS) によって、カード所有者データ環境へのリモートログインに多要素認証 (MFA) を実装することが義務付けられています。会社がこのコントロールを実装しなければ、悪意のある攻撃者が正当なユーザーのユーザー名とパスワードを侵害し、支払カードデータへのアクセス権を不正に入手できるリスクが高くなります。このリスクを軽減するために、Maddy は ID およびアクセス管理チームと協力して、このソフトウェアでユーザーがリモートログインするときにはユーザー名とパスワードを入力するのに加えて、モバイルデバイスで受信した認証要求を承認する必要があるようにします。これでこのコンプライアンスリスクを軽減し、その過程でテクノロジーのセキュリティを強化することができました。 

この例からわかるように、サイバーセキュリティコンプライアンスアナリストとしての Maddy の仕事の重要な部分は、サイバーセキュリティコンプライアンスを改善するために、特定されたギャップを軽減するセキュリティコントロールソリューションを推奨することです。ギャップを特定したら、発見事項としてギャップをドキュメント化し、セキュリティチーム内の責任者と協力するか所有者を見つけて、ギャップの改善策の状況を監視し、報告します。さらに、ベンダーやビジネスユニットが彼女の組織の標準に従ってサイバーセキュリティ体制を改善するのに協力します。 

また、Maddy はコンプライアンス活動とコントロールをドキュメント化するポリシーを作成またはレビューして、軽減を形式化します。そのドキュメントは内部または外部の監査の基盤になります。彼女はシステム所有者と協力して、準拠していない各コントロールについてアクションプランを作成、レビュー、検証することで改善策の詳細を定め、問題を完了まで追跡します。コントロールの不備を適切にドキュメント化し、コントロールの免除や例外についてもドキュメント化することで、サイバーセキュリティコンプライアンスリスクに関する決定事項をすべての関係者が明確に理解できます。  

リスクの受容

リスクの受容とは、組織が特定の活動やプロセスに関連するリスクのレベルを受け入れても良いと考えることです。例外もありますが一般にこれはリスク評価の結果が組織が設定した許容限度内であるという意味です。場合によっては、リスクレベルが高いと考えられるにもかかわらず、他のすべての代替策が許容できないためにリスクを受容することを選択することもあります。これは、リスクを解決するためのリソースや時間がない場合や、コントロールのコストがリスクが実際に発生した場合の影響よりも大きい場合などです。 

従業員がカード所有者データ環境にログインするために MFA を使用することが PCI で義務付けられているという先ほどの例をもう一度見てみましょう。Maddy はごく一部の従業員が勤務するコールセンター拠点では携帯電話サービスが届かずに認証アプリケーションが使用できないことを知っています。この場合、組織は例外として対象のユーザーがユーザー名とパスワードのみを使用して認証することを許可することにします。その間に Maddy はコールセンターの情報テクノロジー (IT) 部門と協力して、代替 MFA ソリューションについて調査し、推奨される軽減策を将来の特定の時点で実装することを提案します。組織は現時点では正当な理由によってリスクを受容することにしましたが、将来の特定の日付にリスクを軽減する手順をドキュメント化しました。 

Maddy は例外は常に経営陣に伝えて、経営陣または取締役会の承認を得る必要があることを知っています。そこで、この決定プロセスをドキュメント化し、リスクが受容されたこと、今後軽減される可能性があることを内外のステークホルダーに保証します。 

リスクの移転 

これは、リスクを他のエンティティに移転することです。たとえば、保険の購入やサードパーティベンダーへの機能のアウトソーシングがこれに該当します。この例では、Maddy は金融機関にサイバーセキュリティ保険の購入を勧めます。これは、現在 PCI のリモートアクセスログイン手順に準拠していないコールセンターの従業員のログイン情報が漏洩して銀行に罰金が科せられる侵害となった場合の損失に備えるものです。 

サイバーセキュリティコンプライアンスコントロールを実装する

前述のとおり、リスクの軽減を目指して Maddy は組織がサイバーセキュリティコンプライアンスプログラムを実装するのをサポートするために、包括的なセキュリティコントロールセットの開発に協力します。セキュリティコントロールとは、情報アセットまたはシステムの機密性、完全性、可用性 (CIA) を保護し、定義された一連のセキュリティ要件を満たすように設計された安全策または対応策のことです。次の人が関与します。

• 管理セキュリティコントロール: 既存の法律や規制 (PCI DSS など) の適用、またはサイバーセキュリティ変更管理ポリシーと手順を作成し、構造化され管理されたプロセスを確立した上での組織の IT 環境の変更、およびリスクの最小化とセキュリティの維持。
  
• 運用セキュリティコントロール: 変更アドバイザリボードの設置、標準的な変更要求フォームの作成、および管理コントロールを運用可能にするために人またはその他の非技術的/物理的手段によって実装されるその他の活動またはプロセスなど。
  
• 技術的セキュリティコントロール: 変更の要求、送信、承認を行うための自動化された変更管理ツール、事前に承認されたアプリケーションのみがシステム上で実行されるようにするためのアプリケーションホワイトリスト、および管理コントロールを運用可能にするためにソフトウェア、ハードウェア、ファームウェアによって実装されるその他の活動やプロセスなど。
  

サイバーセキュリティコンプライアンスアナリストとして Maddy は組織がコンプライアンスに必要なコントロールはどれで、優先するのがビジネスにとって理にかなっているのはどれかを検討するのをサポートできます。彼女はコントロールの有効性と現状についてレビュー、テスト、分析を行い、報告します。また、新しい規制や既存の規制がビジネスにどのように影響するかについて IT チームへの教育や通知を行います。Maddy はコンプライアンス部門と IT 部門が一致団結すれば、機密データを徹底的に保護する堅牢なサイバーセキュリティエコシステムが実現すると知っています。

習得度チェック

では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側の説明を右側の対応する用語にドラッグしてください。全項目を結び付けたら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[リセット] をクリックしてください。

おつかれさまでした。次の単元では、サイバーセキュリティコンプライアンスアナリストが組織のサイバーセキュリティコンプライアンス体制の変更を検出する方法について詳しく学習します。

リソース

• 外部サイト: PCI Security Standards Council: PCI Standards (PCI セキュリティ基準審議会: PCI 基準)
• 外部サイト: National Institute of Standards and Technology (NIST): Managing Information Security Risk (情報セキュリティリスクの管理) 
• 外部サイト: CIS: Getting a Grip on Basic Cyber Hygiene with the CIS Critical Security Controls (CIS 重要なセキュリティコントロールを使用した基本的なサイバーハイジーンの把握)
• Trailhead: Center for Internet Security のリスク評価手法