ガイドラインを遵守する方法を学ぶ
学習の目的
この単元を完了すると、次のことができるようになります。
- サイバーセキュリティのコンプライアンスと規制の課題に対応する組織の機能を確認する。
- サイバーセキュリティのコンプライアンス評価を実施する方法を説明する。
- 複数の規制要件を効果的に満たすコントロールを実装する方法の例を共有する。
組織の機能
ビデオゲームを楽しく面白く前向きにプレーできるのは、そのためのさまざまなコンポーネントと機能が搭載されているからです。
組織には、データを安全かつセキュアに保存、アーカイブ、操作、廃棄するために必要な機能があります。サイバーセキュリティのコンプライアンスの目標達成に向けて使用できる機能を紹介しましょう。
コンプライアンスの目標 |
組織の機能 |
機能でできること |
---|---|---|
アセットを保護する |
リスクベースのコントロールを実装する |
業界に適用されるルールと要件に従って情報の機密性、完全性、可用性を保護する。 |
サイバーセキュリティのコンプライアンスを管理する |
一般的なフレームワークを利用する |
組織に適用されるさまざまな IT 規制および標準のコンプライアンスを管理および監視する。 |
情報テクノロジー (IT) のコンプライアンスを合理化および自動化する |
データを中央リポジトリに統合して制御する。 |
|
コントロールステートメントと規制を理解する |
コントロールテストにかかる時間を短縮し、IT コンプライアンスへの確信を高め、常に規制に関する最新情報を把握する。 |
|
リスクと脆弱性を縮小する |
セキュリティポリシーを適用する |
セキュリティコンプライアンス証明を維持し、ビジネスパートナーや監査人からのセキュリティに関するアンケートに回答し、ベンダーのコンプライアンスを把握する。 |
顧客情報の安全を徹底する |
組織の評判を守り、顧客の信頼を維持し、顧客ロイヤルティを築く。 |
|
機密データを管理するための明確で一貫したシステムを維持する |
運用効率を高められるようにする。 |
こうした機能を使用すると、組織はサイバーセキュリティのコンプライアンスと規制のレベルを上げることができます。また、規制、セキュリティ、報告に関する懸念にバランスよく対処できるだけでなく、コンプライアンスと規制へのアプローチをカスタマイズして独自のソリューションを作成することもできます。
サイバーセキュリティのコンプライアンスを評価する
機能がわかったら、どうすればサイバーセキュリティのコンプライアンス評価を組織に実装できるかを見てみましょう。以下はコントロールを評価するステップの例です (フレームワークが異なると使用するステップも異なる場合がありますが、大まかなプロセスは同じです)。
- 組織が遵守しなければならない規制、フレームワーク、標準を識別します。
- データが侵害された場合の影響に応じてシステムをカテゴリ化します。
- そのカテゴリ化に基づいてコントロールのベースラインを選択します。
- 必要に応じて追加の要件に基づき追加のコントロールを選択します。
- コントロールを実装します。
- 証拠の収集、ドキュメントレビュー、継続的な監視を通じてコントロールが目的を満たしているかどうかを評価します。
Allen は金融機関でサイバーセキュリティ評価およびコンプライアンスに携わるシニアマネージャーです。
Allen はまず、組織で扱うデータの種別と、どの要件が適用されるかを識別します。会社が扱っているのは金融データであるため、ペイメントカード業界データセキュリティ基準 (PCI DSS) の対象になります。Allen は、組織がどの種類の保護を顧客に提供する必要があるかを注意深く調べ、セキュリティ侵害の可能性を最小限に抑えるために防御対策を実施します。PCI-DSS では顧客のクレジットカードデータに特別な保護が求められることはわかっています。技術的な観点では、会社はクレジットカード情報の侵害を未然に防止し、侵害が発生したらすばやく対応する必要があります。
PCI-DSS では、クレジットカードデータの保存と処理を行うシステムにはコントロールの配置を義務付けています。Allen は、そうしたシステムを操作する担当者の活動を管理するポリシーと手順が設定されていることを確認します。また、担当者はクレジットカード情報を保護するという自分の責任についてトレーニングを受けていて、任務を適切に実行する方法を理解しており、意図的かどうかにかかわらず、システムを悪用する可能性はないことも確認します。
コントロールを効果的に実装する
Allen は PCI-DSS 以外についても考える必要があります。彼の組織は、金融業界向けの連邦金融機関検査協議会 (FFIEC) 要件を遵守することが義務付けられています。この要件では、金融サービスの継続的な監視とビジネスの継続性管理が特に強調されています。
Allen の上司は、米国標準技術局サイバーセキュリティフレームワーク (NIST CSF) や Center for Internet Security Critical Security Controls (CIS Controls) など、他のサイバーセキュリティフレームワークを使用して銀行のコンプライアンス体制を改善することにも興味を示しています。Allen は、会社に影響を及ぼすすべての規制とフレームワークの概略をまとめ、すべての要件を効果的に満たすために実装すべきセキュリティコントロールを判別します。
異なる規制や標準によく重複した要件が組み込まれていることを知っていたため、要件を個別に分解してシステムの重複部分にかかる時間とコストを節約し、重複作業をなくします。
コントロールを選択して実装したら、その効果を監視し、その情報を文書化して、コントロールパフォーマンスに関する内部の話し合いで伝えたり、監査人や規制当局に提供して金融機関のコンプライアンスを実証したりします。
まとめ
サイバーセキュリティ評価と構造化アプローチを使用して規制を識別し、コントロールを実装することで、サイバーセキュリティ要件を満たし、サイバーセキュリティ攻撃から顧客をしっかりと守る独自のソリューションを作成できました。うまくいきました! さっそく、次のサイバーセキュリティ規制コンプライアンスの検討を始めましょう。サイバーセキュリティのトピックに興味が湧いたら、サイバーセキュリティの学習ハブにアクセスして詳細を確認してください。実務でセキュリティに携わる人から話を聞くことができます。
リソース
-
PDF: PCI-DSS
-
PDF: FFIEC: Cybersecurity Assessment Tool (サイバーセキュリティ評価ツール)
-
外部サイト: NIST: CSF
-
外部サイト: CIS Critical Security Controls (CIS 重要なセキュリティコントロール)
-
Trailhead: Center for Internet Security の重要なセキュリティコントロール