Skip to main content

各役割を担う関係者を知る

学習の目的

この単元を完了すると、次のことができるようになります。

  • サイバーセキュリティのコンプライアンスと規制における主要な関係者を識別する。
  • サイバーセキュリティのコンプライアンスと規制の主な関係者が直面する課題について説明する。

さまざまな関係者

ゲーム大会でも、仲間うちの「トリビア」でも、みんな楽しい時間を過ごすことが大好きです。特にビデオゲームに熱中するのは楽しいものです。先に進んでいくと、ユニークなスタイルを持つさまざまなタイプのキャラクターに遭遇します。

ユーザーが選択できるさまざまなビデオゲームプレーヤーが映っているテレビ画面。

ビデオゲームをしているうちに、プレーヤーの人となりが明らかになることがあります。

  • 勝つことが目的の人
  • 楽しめればいい人
  • ルールに従う人、流れに任せる人

ゲーム大会で目にしたプレーヤーと同様に、サイバーセキュリティのコンプライアンスと規制の関係者にも特性があり、それぞれ固有の役割と責任を担っています。コンプライアンスの世界で最も影響力を持つプレーヤー (関係者) を紹介しましょう。

役割

関心事項

立法者
  • 市民をデータ侵害から保護する
  • 個人情報が侵害されたら市民に通知する

組織
  • 保護するデータを識別する
  • 脆弱性とリスクを管理する
  • 機密情報を脅威から保護する
  • コンプライアンスを維持する

第三者
  • 組織とのパートナーシップの潜在的リスクを評価する
  • 組織と自社の顧客のデータを安全に管理していることを証明する

監査人
  • 配置されているコントロールを検証する
  • 組織のコンプライアンスの証拠を収集する
  • 監査結果を社内外の関係者に報告する

規制機関
  • セキュリティ標準を策定する
  • 企業がセキュリティ体制を強化できるようにする
  • コンプライアンス非対応の場合は罰金を含む罰を科す

業界団体
  • セキュリティ標準を作成してメンバーに遵守を義務付けることで、業界のレベルを引き上げ、公平な競争を促す
  • メンバーにコンプライアンス要件を満たすためのベストプラクティス、ツール、助言を提供する

顧客
  • ひいきにしている企業が既存の法律を完全に遵守していると確信する
  • 自分のデータが保護されていることを知っている

規制コンプライアンスにおけるギャップの拡大

関係者の概要とその関心事項がわかったところで、規制コンプライアンスに関して関係者が現在直面している課題を確認しましょう。 

サイバーセキュリティの規制コンプライアンスは複雑

サイバーセキュリティの規制は、立法者や監督する規制当局にとって特に難しい任務です。また、多国籍のグローバル環境でのコンプライアンスに対応しようとしている組織にとって、サイバーセキュリティの洗練度や法律のレベルがまちまちな各国のサイバーセキュリティを管理する業務は非常に複雑になります。規制に応じて、何らかの類似性はあるものの、重点や意図が異なる多様なコンプライアンス環境が複数作成されます。

異なるビジネスセクターがあって複雑になることから、連邦法、州法、地域法のコンプライアンスには途方もない困難が伴います。ほぼすべてのセクターが情報テクノロジー (IT) に大きく依存しているため、規制コンプライアンスはサイバーセキュリティの非常に重要な要素になっています。ただし、ここ数年、規制を守らなかったり、守っても不十分だったりする例が見られます。 

コンプライアンス = セキュリティではない

過去 10 年間でサイバー脅威が急増し、サイバーセキュリティの手法や活動を規制し、規制違反には刑罰や制裁を科す必要性が高まっています。

ただし、コンプライアンスのみに頼ってセキュリティ保護を実現しても、組織がすべてのサイバーセキュリティニーズを満たせるとは限りません。コンプライアンス要件はサイバーセキュリティのリスクとテクノロジーの後追いになりがちで、多くの組織に広く適用できるように作成されるのに対し、セキュリティ戦略は特定の組織のニーズに合わせる必要があるからです。

こうした法規制のコンプライアンスは、サイバーセキュリティ計画には絶対に必要であるため、法規制は会社のサイバーセキュリティ目標を設定するにはよい出発点ですが、最終目標と見るべきではありません。コンプライアンスは難易度が普通のゲームで勝つようなものですが、適切なセキュリティはレベルアップして高度なモードのゲームで勝つことです。

もっと重要なのはコンプライアンス要件の変化に備えることです。組織はサイバーセキュリティへのセキュリティファーストアプローチを作成して、進化する要件の先を行けるようにする必要があります。すべてのサイバーセキュリティ侵害を予防できる 100% 有効な方法はありませんが、サイバーレジリエンスへの長期的な戦略的アプローチの一環として、サイバーセキュリティをリスク管理プロセスの一部として組み込む必要があります。

サイバーレジリエンスとは、難しいサイバー事象があっても、堅実に成果を出し続ける組織の能力です。文化、人とプロセス、テクノロジーを視野に入れてサイバーリスクを包括的に捉えます。そのためには準備をし、脅威を予測し、リスク選好度を決定し、問題が起きた場合の対応と回復計画を策定します。

少なくとも、組織は基本的なサイバーハイジーンを維持する必要があります。これには、定期的でセキュアなバックアップ (攻撃された場合にレジリエンスを維持し、すばやく復旧するために必須) と、ソフトウェアを最新に保ってセキュリティパッチの適用を徹底することが含まれます。さらに、セキュリティを商品ライフサイクルの中核にする必要があります。適切なインセンティブによって、将来のデバイスとネットワークには強固なセキュリティが (後付けではなく) 最初から設計に組み込まれるようにする必要があります。

組織でセキュリティ意識の高い文化を育めば、コンプライアンスは比較的簡単に実現できます。セキュリティを組織の文化に組み込むには、規制を遵守するだけでは足りません。効果的で効率のよい対策とエンゲージメントを促進するメトリクスを使用してトップダウンで文化を変えることができます。

強固なセキュリティ文化があれば、電子アセットの保護に対する従業員の警戒心が自然と高まっていきます。また、標準ユーザーアカウントと管理アカウントの分離、ログイン情報の共有がないことの確認、緩いセキュリティ行動によるリスクに関する定期的なスタッフトレーニングなども行われます。

まとめ

ここでは一般的な関係者とその課題を識別しました。次は主要なトレンドと規制コンプライアンスの課題を見ていきます。

リソース

Salesforce ヘルプで Trailhead のフィードバックを共有してください。

Trailhead についての感想をお聞かせください。[Salesforce ヘルプ] サイトから新しいフィードバックフォームにいつでもアクセスできるようになりました。

詳細はこちら フィードバックの共有に進む