コンプライアンスのトレンドを識別する
学習の目的
この単元を完了すると、次のことができるようになります。
- サイバーセキュリティのコンプライアンスと規制に影響を及ぼす主なトレンドを識別する。
- 組織がこれらのトレンドにどう直面しているか説明する。
サイバーセキュリティのコンプライアンスと規制のトレンド
サイバーセキュリティのコンプライアンスと規制のトレンドはあらゆる組織に影響を及ぼしています。今日の規制環境はかつてないほど煩雑です。この絶え間なく変化する環境が組織にとってどのようなものかをきちんと理解するために、サイバーセキュリティの規制コンプライアンスを変容させる重要なトレンドや課題を検討していきましょう。
サイバーセキュリティのコンプライアンスは IT だけの問題ではない
多くの人は、サイバーセキュリティのコンプライアンスを情報テクノロジー (IT) 部門のみが対処する無定形の問題と考えています。実際は、データ侵害から発生する財務、法務、評判上の問題が組織全体に影響を及ぼします。
たとえば、製薬業界の場合、医薬品製造システムの侵害は、生産の停止など広範囲の混乱を引き起こしかねません。結果として医薬品の効能欠如や有害化、危険物の漏出などが生じるおそれもあります。さらに、サイバーセキュリティ侵害は消費者にも影響を与えます。
サービスプロバイダーから自分のアカウントが侵害されたという連絡を受けたら、その会社を信頼してサービスを使い続けることをためらうのではないでしょうか。
サイバーセキュリティ侵害が組織に与える潜在的な悪影響はとても大きなものです。組織はサイバーセキュリティ規制のコンプライアンスに重点を置いた包括的なセキュリティ中心の文化を築く必要があります。リスクおよびコンプライアンスチームは、攻撃の影響に関する全員の意識向上と教育で重要な役割を果たします。役員は、組織のマインドセットを意識からアクション、継続的な評価と監視へのコミット、修正、サイバーセキュリティのコンプライアンスリスクの管理へとシフトするために不可欠な役割を果たします。
規制の課題
標準、規制、ルールへの対応が面倒だと、組織やその従業員が安全ではない回避策でビジネスニーズを満たすおそれがあります。スタッフにビジネスニーズを損なわずにセキュリティを実現する方法を伝えることが重要です。
さらに、必須のサイバーセキュリティ規制の負担がますます大きくなると、組織はその実装に時間とコストを優先的に振り向けざるをえなくなり、コンプライアンスと引き換えに他のイニシアチブや改善が妨げられます。また、こうした規制の多くに規制機関や立法機関への詳細な報告義務が伴うため、セキュアな運用に専念しづらくなります。重要なのは、規制機関と組織のリーダーが、セキュリティコントロールに効果があるか、コンプライアンス要件によってセキュリティが向上しているかを検証することです。
規制機関によって課されるすべてのセキュリティ要件に対応する体力のない中小企業の場合、新しいテクノロジーやサービスを商品化しようとしているときにコンプライアンスが障壁となることもあります。立法者は新しい規制の利点を慎重に検討し、セキュリティと企業のイノベーション能力のバランスが取れるようにする必要があります。
変化に対応する
ガイダンスと規制はすぐに進化するため、組織に毎年変化についていくだけのリソースがない場合もあります。サイバーセキュリティは変化の速いセクターです。攻撃者とセキュリティプロバイダーの両方が相手を出し抜こうと競い合っているからです。
新たな脅威とそれに立ち向かうための革新的な方法が絶え間なく現れます。残念ながら、攻撃者は脆弱性を 1 つ見つけて悪用すればよいのに対し、セキュリティ担当者はそのすべてを軽減することに取り組まなくてはなりません。セキュリティ担当者には不利な状況です。脅威と潜在的な悪影響を考慮して優先できるような方法でリスクを管理する必要があります。以降のセクションでは、最も重要な脆弱性を優先しつつ、コンプライアンス活動も合理化する方法を紹介します。
新興テクノロジーによっても規制の課題は生じます。新たなテクノロジーが登場するとフレームワークを修正してもすぐに古くなり、業種間で重複する規制が設計されます。
組織は、最新のテクノロジー環境に最適とはいえない古くなったコンプライアンス要件に時間やリソースを割くことなく、柔軟に新しいテクノロジーから生じるリスクを軽減する必要があります。たとえば、システムとサービスがクラウドに移行すると、システムの境界がなくなるため、過去の規制では不十分になります。これが特に当てはまるのは、新型コロナウイルスのパンデミックで現れたハイブリッドワークのニューノーマルです。リモートユーザーによるリスクの管理で組織に新しい課題が生じています。
コンプライアンスを自動化する
かつて組織では、スプレッドシートを使用してコントロールを文書化してから、コピーして貼り付け、他の規制に対して繰り返していました。今日、組織は自動化を使用して 1 回だけ文書化し、多くの異なる標準を遵守します。自動化されたツールを使用し、証拠 (脆弱性のスキャン結果と分析、ログの相関など) を収集してセキュリティ体制を評価し、ワークフローを追加してパッチ適用などの項目を実行し、上級役員に報告します。
自動化でコンプライアンスの合理化が促進されます (特にソフトウェアエンジニアがシステムや商品が自動的にコントロールの目的を満たすように設計してコンプライアンスをコードとして使用する場合)。コンプライアンスを自動化する例については、National Institute of Standards and Technology (NIST) の Open Security Controls Assessment Language (OSCAL) を参照してください。
サイバーセキュリティのコンプライアンスには適切な人材が必要
コンプライアンス要件を満たすには、適切なセキュリティ担当者の採用、維持、トレーニングが重要になります。理想的には、コンプライアンスアナリスト、セキュリティ運用スペシャリスト、ソフトウェアエンジニアでチームを結成します。組織の規制コンプライアンスの負担が大きくなる可能性があるため、社内のリスクチームと連携する専任のサイバーセキュリティチームを作る必要があります。組織は業界に関連するセキュリティ要素について十分なトレーニングを受けたスタッフを増員しなければなりません。
コンプライアンスをアウトソーシングする
新型コロナウイルスのパンデミックによる経済への影響がまだ大きいため、組織はサードパーティベンダーやパートナーと継続的に協力することでコストを抑えようとしています。
アウトソーシングが検討されている領域がコンプライアンスです。これは特にギャップ評価の実行や報告要件への対応に役立ちます。中小企業などで、社内に適切なスタッフがいない場合や、新しい規制への対応や単発の監査への回答など短期的にわずかな増員が必要な場合などに有効です。コンプライアンスのアウトソーシングが普及してセキュリティの低下が発生することがないように、フレームワークとベンダー評価でサードパーティ検査のレベルを引き上げることも必要です。
まとめ
この単元では、サイバーセキュリティのコンプライアンスと規制に影響を及ぼす主要なトレンドを紹介しました。次は、こうした規制の課題に対するソリューションを詳しく見てみましょう。
リソース
-
外部サイト: Forbes: Cybersecurity Compliance Trends in a Post-Pandemic World (パンデミック後の世界におけるサイバーセキュリティのコンプライアンスのトレンド)
-
外部サイト: NIST: OSCAL