各役割を担う関係者を知る
学習の目的
この単元を完了すると、次のことができるようになります。
- サイバーセキュリティのコンプライアンスと規制における主要な関係者を識別する。
- サイバーセキュリティのコンプライアンスと規制の主な関係者が直面する課題について説明する。
さまざまな関係者
ゲーム大会でも、仲間うちの「トリビア」でも、みんな楽しい時間を過ごすことが大好きです。特にビデオゲームに熱中するのは楽しいものです。先に進んでいくと、ユニークなスタイルを持つさまざまなタイプのキャラクターに遭遇します。
ビデオゲームをしているうちに、プレーヤーの人となりが明らかになることがあります。
- 勝つことが目的の人
- 楽しめればいい人
- ルールに従う人、流れに任せる人
ゲーム大会で目にしたプレーヤーと同様に、サイバーセキュリティのコンプライアンスと規制の関係者にも特性があり、それぞれ固有の役割と責任を担っています。コンプライアンスの世界で最も影響力を持つプレーヤー (関係者) を紹介しましょう。
役割 |
関心事項 |
---|---|
立法者 |
|
組織 |
|
第三者 |
|
監査人 |
|
規制機関 |
|
業界団体 |
|
顧客 |
|
規制コンプライアンスにおけるギャップの拡大
関係者の概要とその関心事項がわかったところで、規制コンプライアンスに関して関係者が現在直面している課題を確認しましょう。
サイバーセキュリティの規制コンプライアンスは複雑
サイバーセキュリティの規制は、立法者や監督する規制当局にとって特に難しい任務です。また、多国籍のグローバル環境でのコンプライアンスに対応しようとしている組織にとって、サイバーセキュリティの洗練度や法律のレベルがまちまちな各国のサイバーセキュリティを管理する業務は非常に複雑になります。規制に応じて、何らかの類似性はあるものの、重点や意図が異なる多様なコンプライアンス環境が複数作成されます。
異なるビジネスセクターがあって複雑になることから、連邦法、州法、地域法のコンプライアンスには途方もない困難が伴います。ほぼすべてのセクターが情報テクノロジー (IT) に大きく依存しているため、規制コンプライアンスはサイバーセキュリティの非常に重要な要素になっています。ただし、ここ数年、規制を守らなかったり、守っても不十分だったりする例が見られます。
コンプライアンス = セキュリティではない
過去 10 年間でサイバー脅威が急増し、サイバーセキュリティの手法や活動を規制し、規制違反には刑罰や制裁を科す必要性が高まっています。
ただし、コンプライアンスのみに頼ってセキュリティ保護を実現しても、組織がすべてのサイバーセキュリティニーズを満たせるとは限りません。コンプライアンス要件はサイバーセキュリティのリスクとテクノロジーの後追いになりがちで、多くの組織に広く適用できるように作成されるのに対し、セキュリティ戦略は特定の組織のニーズに合わせる必要があるからです。
こうした法規制のコンプライアンスは、サイバーセキュリティ計画には絶対に必要であるため、法規制は会社のサイバーセキュリティ目標を設定するにはよい出発点ですが、最終目標と見るべきではありません。コンプライアンスは難易度が普通のゲームで勝つようなものですが、適切なセキュリティはレベルアップして高度なモードのゲームで勝つことです。
もっと重要なのはコンプライアンス要件の変化に備えることです。組織はサイバーセキュリティへのセキュリティファーストアプローチを作成して、進化する要件の先を行けるようにする必要があります。すべてのサイバーセキュリティ侵害を予防できる 100% 有効な方法はありませんが、サイバーレジリエンスへの長期的な戦略的アプローチの一環として、サイバーセキュリティをリスク管理プロセスの一部として組み込む必要があります。
サイバーレジリエンスとは、難しいサイバー事象があっても、堅実に成果を出し続ける組織の能力です。文化、人とプロセス、テクノロジーを視野に入れてサイバーリスクを包括的に捉えます。そのためには準備をし、脅威を予測し、リスク選好度を決定し、問題が起きた場合の対応と回復計画を策定します。
少なくとも、組織は基本的なサイバーハイジーンを維持する必要があります。これには、定期的でセキュアなバックアップ (攻撃された場合にレジリエンスを維持し、すばやく復旧するために必須) と、ソフトウェアを最新に保ってセキュリティパッチの適用を徹底することが含まれます。さらに、セキュリティを商品ライフサイクルの中核にする必要があります。適切なインセンティブによって、将来のデバイスとネットワークには強固なセキュリティが (後付けではなく) 最初から設計に組み込まれるようにする必要があります。
組織でセキュリティ意識の高い文化を育めば、コンプライアンスは比較的簡単に実現できます。セキュリティを組織の文化に組み込むには、規制を遵守するだけでは足りません。効果的で効率のよい対策とエンゲージメントを促進するメトリクスを使用してトップダウンで文化を変えることができます。
強固なセキュリティ文化があれば、電子アセットの保護に対する従業員の警戒心が自然と高まっていきます。また、標準ユーザーアカウントと管理アカウントの分離、ログイン情報の共有がないことの確認、緩いセキュリティ行動によるリスクに関する定期的なスタッフトレーニングなども行われます。
まとめ
ここでは一般的な関係者とその課題を識別しました。次は主要なトレンドと規制コンプライアンスの課題を見ていきます。
リソース
-
外部サイト: CompTIA: Quick Start Guide to Security Compliance (セキュリティコンプライアンスのクイックスタートガイド)
-
PDF: MIT Management Sloan School: Analyzing the Interplay Between Regulatory Compliance and Cybersecurity (規制コンプライアンスとサイバーセキュリティ間の相互作用を分析する)
-
外部サイト: Global Cyber Alliance (GCA): Small Business Toolkit: Backup and Recover (中小企業向けツールキット: バックアップと復元)
-
外部サイト: GCA: Update Your Defenses (防御をアップデートする)