コンプライアンスと規制の基本を学ぶ
学習の目的
この単元を完了すると、次のことができるようになります。
- サイバーセキュリティにおけるコンプライアンスと規制の役割を説明する。
- サイバーセキュリティの規制機関を識別する。
- サイバーセキュリティの一般的な規制を挙げる。
ルールは大切
どこにでもルールはあります。もちろんビデオゲームにもあります。説明書どおりでも、自分たちで決めたルールでも、始める前に全員がルールに同意していれば、楽しくフェアにゲームを楽しむことができます。
ビデオゲームと同様、私たちの生活にも多くのルールがあります。携わる業種に関係なく、サイバーセキュリティの規制コンプライアンス (組織が機密データの保護に関して法的に義務付けられたルールを守ること) は間違いなく一大関心事です。
サイバーセキュリティコンプライアンスとは?
サイバーセキュリティのコンプライアンスには、さまざまなコントロール (通常は規制機関、法律、または業界団体によって制定される) に従い、データの機密性、完全性、可用性を守ることが含まれます。規制コンプライアンスとは、組織が地域、州、連邦、多国間で定められたそのビジネス機能に関連する法規制に従うことです。
コンプライアンスおよび規制フレームワークとは、一連のガイドラインとベストプラクティスであり、サーバー室から役員会議室まであらゆる場所でセキュリティを強化するために使用できる共通の言語または標準を提供します。
コンプライアンスはどのセキュリティプログラムでも重要な要素であり、もはや規制の厳しい業界だけの問題ではありません。あらゆるビジネスや組織でサイバーセキュリティプログラムの一部として重要性が高まっています。それは、サイバー攻撃の範囲や規模が広がり続け、攻撃者が新たな業種を標的にしているからです。
コンプライアンス要件は変化し、法律、規制機関、民間の業種団体によって課せられる場合があります。1 つの重要な特徴は、法律として成文化されない、政府機関以外の団体によって作成されて執行される他のサイバーセキュリティフレームワークがある点です。たとえば、米国標準技術局 (NIST) および国際標準化機構 (ISO) 27001 のサイバーセキュリティフレームワークはどちらも多くの業種や政府機関で幅広く使用されている標準です。企業には、業界の動向として、または組織と政府機関やその他団体との協力関係によって、こうしたフレームワークに従うことが求められる場合があります。
法規制の目的
機密データを保護するために、立法者はサイバーセキュリティおよびプライバシー法を制定しています。プライバシー侵害などの問題への対応として新たな法整備が行われることもよくあります。この法律に続いて、規制機関が規制を制定 (業種やデータの種別に基づくガイドラインとベストプラクティスを提供) し、組織が情報セキュリティ戦略を改善できるようにサポートします。規制機関が罰金やその他の対策を通じてこうした規制へのコンプライアンスを強化することもあります。
サイバーセキュリティのコンプライアンスはパズル
業種によっては、組織が数千もの規制およびコンプライアンス要件の対象になることがあります。そのため、組織でどのコンプライアンス対策を実施すればよいかわからないという混乱が生じることもあります。サイバーセキュリティのコンプライアンスは簡単ではありません。頭字語の羅列とおびただしい数のコントロールを前に、多くの組織は途方に暮れています。難しいのは、コンプライアンスを達成するために、どれが適用されるかを判断し、どのポリシーとコントロールが必要かを解明することです。
しかも、規制フレームワーク内でコンプライアンスを達成して終わりではなく、プロセスを継続する必要があります。環境は絶えず変化しており、コントロールに運用上の有効性がなくなるかもしれません。定期的な監視、修正、報告は必須です。各フレームワークには、具体的に何を定期的に監視する必要があるかについてのガイダンスが記載されています。コンプライアンスの一環として、組織が定められたポリシー、標準、法律、規制などをどのように実装したか証拠を文書化し、必要に応じて証明を発行することもあります。
サイバーセキュリティの規制機関
コンピューターセキュリティが概念として登場したのは 1970 年代ですが、1990 年代から 2000 年代前半にかけて世界でオンライン化が進み、メールが普及し、ファイルが共有されて、新たなウイルスやマルウェアの数や影響が飛躍的に増加しました。それに応じて、世界中の立法者がヘルスケア組織、金融機関、政府機関向けに保護を義務付けるさまざまなサイバーセキュリティ規制を作成して、収集、保存、処理された機密データが保護されるようになりました。
さらに、多様な組織が法律を制定し、罰金/刑罰を科し、フレームワークを作成してサイバーセキュリティリスク管理手法を改善しました。こうしたコンプライアンスおよび規制標準は次のように利用されています。
- 内部監査人や他の内部ステークホルダーが自組織内に配置されているコントロールを評価するために利用する
- 外部監査人が組織内に配置されているコントロールを評価し保証するために利用する
- 第三者 (見込み客、投資家など) が組織とのパートナーシップの潜在的リスクを評価するために利用する
消費者をサイバー犯罪者から保護し、透明性を確保するために、立法者は複数の規制機関に監督権限を与えています。欧州連合 (EU) では一般データ保護規則 (GDPR) という 1 つの法律でサイバーセキュリティとプライバシーを規制するのに対し、米国には同様の単一連邦法がありません。さらに、米国の複数の州では独自にサイバーセキュリティとデータ侵害の通知に関する法律を定めています。そのため、米国内および世界各地で事業活動をする組織に課題が生じることがあります。たとえば、カリフォルニアに本社を置き、EU とビジネスをする企業では、州、連邦、EU でそれぞれ異なる侵害通知要件を理解し、遵守する必要があります。
ここですべてを取り上げることはできませんが、現在のサイバーセキュリティ環境における規制をいくつか見ていきましょう。
規制機関 |
役割 |
---|---|
米国証券取引委員会 (SEC) |
サイバーセキュリティリスクおよび重要なサイバーセキュリティインシデントに関する適正な開示の要件を適用します。 |
米国通貨監督庁 (OCC) |
金融セクターの第三者リスクを管理する手順を公開しています。 |
欧州ネットワーク・情報セキュリティ機関 (ENISA) |
EU 加盟国にセキュリティ侵害対策に関する提言を行います。また、全加盟国にポリシーの作成と実装に関するサポートを提供します。 |
連邦取引委員会 (FTC) |
企業にセキュリティ対策の導入を義務付け、妥当なセキュリティ対策を導入していないと認められた企業に対して法的措置を執ります。 |
情報コミッショナーオフィス (ICO) |
英国 (UK) において GDPR を統制し、執行します。 |
サイバーセキュリティ規制入門
セキュリティ担当者は、組織の SOC (Systems and Organizations Controls) コンプライアンスの実現、NIST フレームワークの導入、新たなセキュリティ法の遵守などのタスクを担う場合があります。この例は一部に過ぎず、多くの要件に直面する可能性があります! 各業種でサイバーセキュリティを強化するために立法者が作成した規制を見ていきましょう。
規制 |
要件 |
---|---|
グラム・リーチ・ブライリー法 (GLBA) |
米国の金融機関に、顧客記録のセキュリティと機密性を確保し、予想される脅威から保護するための妥当に設計され明文化されたポリシーと手順を導入することを義務付けています。 |
連邦情報セキュリティ近代化法 (FISMA) |
米国連邦政府機関内の情報セキュリティを強化するために、情報セキュリティプログラムを導入してシステムの機密性、完全性、可用性を確保することを義務付けます。 |
カリフォルニア州消費者プライバシー法 (CCPA) |
カリフォルニア州居住者にデータ侵害訴権を与えるもので、影響を受けたビジネスが妥当なセキュリティ対策を導入していなかったことを原告が証明した場合、違反行為に対して消費者 1 人またはインシデント 1 件につき 100 ~ 750 ドルの罰金が科されます。 |
GDPR |
全 EU 加盟国を対象にデータ保護に関する統一標準を定めることを目的とし、データが処理される場所に関係なく、EU で事業を行うか、EU 居住者のデータを扱う事業体に適用されます。 |
医療保険の携行性と責任に関する法律 (HIPAA)/HITECH オムニバスルール |
米国のヘルスケア情報の機密性とセキュリティを保護することを目的としています。 |
サーベンス・オクスリー法 (SOX) |
米国の上場企業に、侵害が発生した場合に適切なタイミングで一般開示できるように、財務報告書で使用される財務情報が格納されている IT インフラストラクチャとアプリケーションに対し、強固な内部統制プロセスを導入することを義務付けています。 |
習得度チェック
では、これまでに学んだ内容を復習しておきましょう。次の習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側の説明を右側の対応する用語にドラッグしてください。全項目を結び付けたら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[リセット] をクリックしてください。
おつかれさまでした。
まとめ
サイバーセキュリティにおけるコンプライアンスと規制の役割への理解が深まりました。単元 2 に進み、サイバーセキュリティのコンプライアンスと規制の主な関係者を確認しましょう。
リソース
-
外部サイト: Center for Internet Security® (CIS): Cybersecurity Compliance: Start with Proven Best Practices (サイバーセキュリティのコンプライアンス: 実証済みのベストプラクティスで始める)
-
外部サイト: IPOhub®: Cybersecurity Laws & Regulations (サイバーセキュリティの法と規制)