情報セキュリティ
vs コンプライアンス
情報セキュリティとコンプライアンス
情報セキュリティとコンプライアンスは、データの保護と財務面の安全性の維持において極めて重要です。コンプライアンスとセキュリティは同じものではありません。しかし、どちらも企業のリスク管理に資するものです。コンプライアンスとセキュリティの両方に取り組むことで、企業の重要な情報に対する脅威を軽減すると同時に、業界内でのレピュテーションを高めることができます。セキュリティとコンプライアンスの基準を満たす方法を理解することは、リスクを減らし、ビジネスをより確実に保護することに役立ちます。
この記事では、情報セキュリティとコンプライアンスの違いについて説明します。さらに、企業が両方に取り組む必要がある理由と、一般的に遵守されている規制のフレームワーク(枠組み)についても説明します。
情報セキュリティの概要
情報セキュリティとは、企業の情報と技術を保護するための一連の技術的プロセス、ツール、システムをさします。言い換えると、企業が技術的、物理的、管理的な統制によって、情報に関連するリスクを管理することを意味します。すなわち、情報セキュリティとは、リスクを管理し、重要な情報を脅威から守ることを意味します。
情報が保護されていないと、攻撃を受けた場合に多大なリスクにさらされることになります。情報を保護することで、データ漏えいをはじめとするセキュリティ上の脅威が企業に大きな損失を及ぼすリスクを軽減できます。通常、情報セキュリティは、機密性、完全性、可用性という3つの要素を維持することを目的としています。これらはCIAの三要素と呼ばれます。
機密性:承認されたユーザーが情報を利用できるようにする一方で、権限のない第三者から情報を保護することも重要です。セキュリティの役割は、情報の機密性を保ち、不正・不適切なアクセスを防ぐことにあります。情報の機密性を保つとは、第三者への不用意な情報漏洩を防ぎ、承認されたユーザーのみのアクセスを許可することを意味します。
完全性:情報セキュリティには完全性が重要です。完全性は、全ての情報が正確であることを意味します。データと情報を正確に保つことで、情報を活用する部門は、正しい情報に基づいた行動をとることができます。情報セキュリティの完全性が十分でない場合には、悪意のある行為者が不正な改ざんを行うリスクが生じます。結果として、チームは不正確な情報に基づいて意思決定を行うことになります。
可用性:企業・組織の情報は、承認されたユーザーが必要なときに確実に利用できなければなりません。情報にアクセスできなければ、業務に支障をきたします。
これら3つの要素と並んで、情報セキュリティは、データの安全性を確保するために3種類の管理策を備える必要があります。情報セキュリティシステムが正しく機能するには、技術的統制、管理的統制、物理的統制の全てが揃っていなければなりません。
技術的統制:技術的統制は、情報セキュリティのIT部分をさします。技術的統制には、ウイルス対策ソフトウェア、アクセス許可、パスワード、ファイアウォールなどが含まれます。情報セキュリティの統制について、まず思い浮かぶのは、技術的統制です。しかし、セキュリティの有効性を完全にするには、物理的統制や管理的統制と組み合わせる必要があります。
管理的統制:人に関連する脅威を最小化し、企業のセキュリティへの取り組みをより適切に管理するためには、管理的統制が極めて重要です。このような統制策は、トレーニング、手順、ポリシー、標準という形で具現化されます。管理的統制を行うことで、組織内の従業員に対して、企業のデータを安全に保つ方法を適切に指導することができます。
物理的統制:物理的統制は、文字どおり、物理的な統制です。情報の物理的な管理を支援し、必要に応じてアクセスを許可または防止することを目的としています。物理的統制の代表的な例としては、監視カメラ、警報システム、ドアロックなどがあります。技術的統制は、ウイルスやデジタルの脅威を防止・軽減できます。しかし、物理的統制も、従来型の盗難を防ぐために重要な役割を担っています。
これら3つの統制が揃わなければ、データが攻撃その他のセキュリティ脅威にさらされるリスクが高まります。
ITコンプライアンスの概要
情報セキュリティのコンプライアンスも、考慮すべき重要な要素です。コンプライアンスとは、企業がサードパーティの基準を満たすこと意味し、多くの場合、顧客との契約、セキュリティのフレームワーク、政府の規制という形で施行されます。これらの規制や基準は、組織が情報のセキュリティを向上させるためのものです。基準には、一般的に、企業が扱うデータの種類や業種に応じたベストプラクティスが含まれています。
企業が情報技術のコンプライアンス基準や法律の条件を満たさない場合は、厳しい罰金を科せられることがあります。また、コンプライアンス違反の状態が続くと、企業のセキュリティがデータ侵害の危険にさらされ、重要な情報が盗まれる危険性が高まります。ほとんどの組織は、何らかのセキュリティ規制の対象となっており、自社のデータと情報を保護するには、コンプライアンスを優先課題とする必要があります。
企業がコンプライアンス要件を満たすうえで最大の課題の1つは、自社に適用される基準はどれかを特定することにあります。適用される基準が特定できた場合でも、コンプライアンスを完全に達成するには、どの統制やポリシーが必要なのかがわかりにくいこともあります。
遵守すべき規則や規制を見極めることの難しさは、サードパーティがどのように情報セキュリティ基準を作成しているかに起因しています。サードパーティは、特定の企業向けに規制を策定するのではなく、同じような業界のさまざまな組織向けに規制を策定します。このような規制は多くの異なる組織に適用する必要があるため、サードパーティはある程度曖昧なまま規制を作成します。そのため、十分な前例ができるまで、企業はケースバイケースで規制を解釈することを強いられます。
規制には解釈の余地があります。したがって、情報セキュリティ関連のコンプライアンスについては、多くの場合に、規制当局や監査人の指示に従うことになります。規制当局や監査人は、サードパーティの規制が特定の企業にどのように適用されるかを解釈し、企業にその規制に従う方法を指示します。特定のサードパーティの情報セキュリティのコンプライアンス基準に従うことで、軍などの特殊な顧客との取引や、医療業界などの特定の市場での事業活動が可能になります。
コンプライアンス規制は、さまざまなサードパーティの利害によって大きく異なる可能性があります。例えば、事業を行うために組織が遵守すべき厳格な個人情報保護法を定めている国もあります。金融のような規制の厳しい市場では、企業は罰金等を避けるために業界基準も満たす必要があります。さらに、顧客によっては、守秘義務やセキュリティに関して高い基準を設けている場合があります。そのような顧客との取引をめざす企業は、その基準に従わなければなりません。
情報セキュリティとコンプライアンスの違いとは?
コンプライアンスとセキュリティは、企業を適切に保護するために、一体となって機能すべきものです。どちらも、企業のデジタル資産と物理的資産をリスクから守ることを目的としています。情報コンプライアンスとセキュリティの両基準により、企業は保護統制策を立案し、実施します。
しかし、セキュリティやコンプライアンス上のリスクから身を守るために、企業が理解しておくべき大きな違いがあります。情報セキュリティとは、企業の情報を保護するための統制策を導入することです。一方、コンプライアンスとは、それらの統制策が第三者の契約上または規制上の要件を満たしていることを確認することです。
情報セキュリティとコンプライアンスの主な違いは次のとおりです。
誰のために実施するのか:企業が情報セキュリティを実践するのは、サードパーティからの要求を満たす必要からではなく、企業自身のためです。企業にとっての適切な安全対策は、その企業独自のセキュリティニーズによって生まれます。組織は、事業活動を安全に行うために、外部の規制に対するコンプライアンスを実践しています。すなわち、セキュリティは個々の企業のために実践され、コンプライアンスは第三者のために実践されるということです。
必要とされる理由:企業のセキュリティ対策を推進するものは、継続的な技術的脅威からビジネスを保護するという必要性です。一方、コンプライアンスの必要性を高めているのは、業界基準への準拠や罰金の回避といった一般的なビジネスニーズです。セキュリティは技術的な脅威の防止に重点を置き、コンプライアンスは企業の事業運営能力に対する脅威を最小限に抑えることを目的としています。
何をもって完了とするか:セキュリティに終わりはありません。テクノロジーの進化に伴い、攻撃も巧妙化します。それに対応するには、セキュリティ対策を常に最新の状態に保っておく必要があります。一方、コンプライアンスは、企業が基準を満たしているとサードパーティが判断した時点で完了します。もちろん、サードパーティが基準を満たしていると認めた後も、企業は基準を維持しなければなりません。しかし、新たな法律や規制が適用されない限り、業務を変更する必要はありません。
施行方法:企業は、自らセキュリティ基準を作成し、実施しなければなりません。コンプライアンスに関しては、規制の実効性を確保するため、サードパーティである規制当局や監査人が企業を検査・監査します。
コンプライアンスとセキュリティは、どちらもリスクを低減させるものです。しかし、管理方法が大きく異なります。例として、セキュリティ部門の業務と、コンプライアンス部門の業務がどのように異なるかを見てみます。
セキュリティ部門の業務
セキュリティ部門は、通常、ソフトウェアを使用して資産の追跡を行い、システムの脆弱性を検知・修正する業務を遂行します。ファイアウォールの設定と管理、セキュアな設定管理、ファイルの整合性の維持なども行います。これらの業務は、保管中および転送中のデータを保護するセキュアなシステムの設計と実装に役立ちます。
セキュリティ部門には、システムへの侵入を防止し、攻撃が発生した場合には迅速に対応する任務もあります。さらに、多くのセキュリティ担当者は、サイバーセキュリティ強化のためにログの管理と監視を行います。サイバーセキュリティ以外にも、企業は、重要な施設への不正な立ち入りを阻止するために警備員を配置し、ドアロックやフェンスなどの物理的な防壁を維持するための作業員を雇用しています。
これらのセキュリティ業務を組み合わせることで、悪意ある行為者から企業の情報とテクノロジー資産を守ることができます。セキュリティ部門の任務は企業の情報の保護であるため、コンプライアンスを重要視しない場合があります。セキュリティ担当者のなかには、規制が自社のビジネスを保護する能力の妨げになると考えれば、コンプライアンス基準に反発するケースがあるかもしれません。
コンプライアンス部門の業務
コンプライアンス部門の業務は、組織の情報資産の保護にとどまりません。コンプライアンス部門は、法律、規制、ポリシーの遵守を保証する責任も担っています。コンプライアンス部門は、企業が従うべき基準を常に把握することで、法的、物理的、財務的リスクから組織を守っています。
また、該当する従業員にコンプライアンス情報を提示し、規制や法律にあわせて必要な変更を行うことも、コンプライアンス部門の任務です。コンプライアンス部門のメンバーは、コンプライアンスに関する詳細な情報を得るために、他部門の主要メンバーとの面談や、該当する業務の監査を行います。これらの面談や監査の後、必要な変更の承認権限のある関係者に調査結果を報告します。
自社に関連する基準を読み、理解することは、コンプライアンス部門の業務の重要な部分です。コンプライアンス基準を分析し、適切な規制当局や監査人と協議し、その結果を踏まえて自社が従うべきポリシーを策定します。セキュリティ部門は、コンプライアンスに準拠した統制策を導入した後、新しい統制策が自社の基準を満たしているか否かについて、サードパーティ機関に検証を依頼します。セキュリティ部門は、セキュリティ統制策を策定することの責任を負うと同時に、その統制策がコンプライアンス基準を満たしていることを証明しなければなりません。
情報セキュリティとコンプライアンスの両方が必要である理由とは?
セキュリティとコンプライアンスは異なるものである一方で、排他的にではなく、一体となって機能すべきものです。セキュリティとコンプライアンスは、それぞれの目的は異なるものの、リスクを軽減するという点では一致しています。セキュリティとコンプライアンスを連携させることで、ビジネスを脅威から守り、データの安全を確保することができます。コンプライアンスとセキュリティはともに重要な保護機能を果たすため、連携すべきものです。
セキュリティとコンプライアンスは、それぞれ単独ではたりない部分があることも、連携が必要な理由となります。例えば、コンプライアンスのみを重視する企業では、ユーザーの意識向上トレーニング、多層的なセキュリティシステム、外部のセキュリティ統制の定期的なサードパーティのテストなど、強力なセキュリティ対策がおろそかになるリスクが生じます。同様に、セキュリティのみを重視する企業では、規制基準に準拠するメリットを見落とす、既存のセキュリティ統制の欠落部分に気づかないといったリスクが生じます。
セキュリティとコンプライアンスは互いに補完しあうものであるため、組織は両方を組み合わせたシステムを構築する必要があります。このシステムには、情報とデータ資産を保護するためのセキュリティ統制が含まれます。セキュリティ統制が整備された後に、コンプライアンス部門が検証し、必要な基準を満たしていることを確認します。セキュリティとコンプライアンスを組み合わせることで、将来のセキュリティ統制が強化され、コンプライアンス監査のためのレポートや文書の作成が容易になります。
ITセキュリティコンプライアンスは、データの保護だけでなく、業界内でのレピュテーションの向上にもつながります。適切なコンプライアンス施策と強力なセキュリティ統制は、潜在顧客に対してデータの安全が確保されることの証となります。また、強力なセキュリティコンプライアンスプログラムの存在は、コンプライアンス関連の規制によってビジネスに財務的な問題が生じないことの証ともなります。コンプライアンスとセキュリティを組み合わせることで、最高の情報セキュリティの提供にコミットしていることを、潜在顧客や業界リーダーに対してアピールすることができます。
特定のフレームワークに基づくコンプライアンスとセキュリティ
コンプライアンスは、組織が従うべきセキュリティ施策を定義したサイバーセキュリティフレームワークによって規制されています。監査人や規制当局は、企業の現在のセキュリティ統制と実施状況がフレームワークの要件を満たしているかどうかを判断します。企業がフレームワークの基準を満たしていない場合は、金銭的な処罰を受けたり、セキュリティ上の脅威にさらされたりするリスクが生じます。フレームワークは、ベストプラクティス標準、業界の規制、法律をベースとして構築されます。フレームワークには、必須のものと任意のものがあります。
次に、企業が日常的に遵守している主なフレームワークを紹介します。
SOX
米国の公認会計事務所、投資会社、株式公開会社の取締役会は、サーベンスオクスリー法(SOX法)を遵守しなければなりません。この法律は、企業に最長7年間の財務記録の保存を義務づけています。エンロンのような不祥事の再発を防ぐために制定されました。
NIST
NISTは、National Institute of Standards and Technology(米国国立標準技術研究所)の略称です。この組織は、サイバーセキュリティのリスク低減・管理を目的として、カスタマイズ可能なガイドを広く提供するためのフレームワークを構築しました。このフレームワークは、さまざまなベストプラクティス、ガイドライン、標準の組み合わせで構成されています。企業は、業界間のコミュニケーションの改善を目的とした共通のリスク言語の作成のため、NISTを利用しています。このフレームワークの採用は任意です。しかし、多くの企業が利用してリスク低減を図っています。
PCI DSS
PCI-DSS(PCIデータセキュリティ基準)は、顧客のクレジットカード情報を保護し、不正行為を防止するための基準を定めた12の規制によって構成されています。クレジットカード情報を扱う企業は、常にこの基準に準拠していなければなりません。
ISO 27000ファミリー
国際標準化機構(ISO)は、情報セキュリティマネジメントシステムを維持する目的で、主要なセキュリティ要件を定義するISO 27000規格ファミリーを規定しました。これらの要件を満たすためには、一定のセキュリティ統制を実施しなければなりません。このフレームワークの規定は、さまざまな種類のビジネスに適用されます。多くの企業は、サイバーセキュリティ対策の有効性を評価するために、これらの規定に従っています。
ISO 31000ファミリー
ISO 31000規格ファミリーは、リスクの管理と対応に関する主要原則を規定しています。ISO 27000ファミリーと同様に、さまざまな企業が自社のサイバーセキュリティ対策の有効性を評価するのに役立ちます。
HIPAA
HIPAA は、Health Insurance Portability and Accountability Act の略称で、米国における医療・ヘルスケア情報の取り扱い方を規定しています。Title Iは、解雇された人、求職中の人が医療を受ける権利を保護するものです。Title IIは、電子記録を義務化することにより、主要な医療記録プロセスを簡素化し、患者のプライバシーを保護するものです。この法律は、病院、診療所、雇用主、保険会社など、医療・ヘルスケアデータを扱う全ての組織に適用されます。
特定のフレームワークの情報技術コンプライアンス基準を満たす方法
フレームワークのITセキュリティコンプライアンス基準に準拠するためには、特定の手順を踏む必要があります。企業は、さまざまなフレームワークの準拠状況を定期的に確認することで、自社のセキュリティに追加の対策が必要な領域を判別します。経営陣は、自社のコンプライアンスとセキュリティのプロセスが、フレームワークの要件を満たすようにする最終的な責任を負います。
セキュリティ統制におけるコンプライアンスのための主な手順を以下に示します。
- 現行のセキュリティツールを一覧にして把握する。
- 処理する情報をリスクアセスメントにかけ、弱点を特定する。
- フレームワークの規制と要件を確認し、ニーズを理解する。
- セキュリティ統制策を分析し、フレームワークのコンプライアンス要件に不足している領域を特定する。
- セキュリティ統制に不備があった場合の対策を立てる。
- 複数のソリューションを検証し、最も効率的・効果的なソリューションを特定する。
- セキュリティ要件とフレームワークのコンプライアンス基準の両方を満たす最適なソリューションを選択する。
これらの手順を実施し、適切なソリューションを導入した後も、引き続きソリューションの適合性を定期的に評価することが必要です。評価の見直しを繰り返すことで、セキュリティとコンプライアンスが組織内で統合的に機能するようになります。セキュリティとコンプライアンスを統合するアプローチには、関連するコンプライアンスフレームワークの使用、セキュリティシステムの分析、問題点の修正、システムの効率性の定期的な評価などが含まれている必要があります。
Boxのセキュリティ/コンプライアンス機能について
Boxのコンテンツクラウドは、セキュアなコンテンツコラボレーションのために設計されたオールインワンのプラットフォームです。エンタープライズグレードのセキュリティとコンプライアンス管理機能を備えており、企業のリスク管理を支援します。Boxのプラットフォームは、データ、アクセス、ユーザーの高粒度な制御を可能にします。また、コンテンツクラウドのインテリジェントな脅威検知機能と完全なライフサイクル管理およびガバナンス機能により、情報を保護し、規制要件に容易に準拠できます。
Boxは、あらゆるコンテンツにセキュリティとコンプライアンスを提供します。Boxに組み込まれた垂直セキュリティおよびコンプライアンス機能は、以下の基準に準拠しています。
- 全業界を対象とするFLSA、OSHA、SOX(1、2、3)、PCI DSS
IRSに関するNIST 800-53、FIPS 140-2、TLS - 金融サービスに関するFINRA、MiFid II
- 米国連邦政府に関するFedRAMP、DoD Cloud SRG、ITAR/EAR、NIST 800-171/DFARS
- 米国のヘルスケア・医療に関するHIPAA、HITECH
- ライフサイエンスに関するGxP
Boxのセキュリティ/コンプライアンス認証の一覧は、Box Trust Centerのページをご覧ください。
Box Governanceは、保持ポリシー、リーガルホールド、廃棄管理を通じて、コンテンツのライフサイクルの適切な管理を可能にします。
Boxのセキュリティとコンプライアンスに関する機能について詳しくは、こちらのページをご覧ください。ご不明な点がありましたら、お気軽にお問い合わせください。無料のeBookもダウンロードしてご覧いただけます。
**Boxは、高度なプライバシー、セキュリティ、コンプライアンスを備えた製品とサービスの提供に尽力しています。ただし、このブログ記事で提供される情報に関しては、法的助言を提供することを意図しておりません。適用される法律の遵守を検証する際には、見込み顧客および既存顧客が自らデューデリジェンスを実施することを推奨します。