情報セキュリティは、技術的な課題にとどまるものではなく、業務上の課題です。データ侵害のインシデント、新しい法令と規制、セキュリティ監査は、世界中で企業の役員の注意を引き、情報セキュリティを主に技術的な問題から業務上の課題へと進化させる原動力になっています。現在、企業の役員は、あらゆる組織にとって最も重要な資産、つまり知識とデータを保護するために注意を払う必要があります。
こうした役員に対する重要な要求が増大を続ける一方で、彼らは失敗が許されない環境で働いています。仮に企業がセキュリティ侵害を発生させてしまった場合、投資家や顧客からの信頼を失うことを含め、多くのレベルで重大な損害をこうむるおそれがあります。また、企業が規制の監査に合格できなかった場合、役員は刑事上または民事上の処罰の対象になる可能性もあります。企業は、自社データの機密性、完全性、可用性を保証する必要があります。
各社の役員会議では、ガバナンスリスクとコンプライアンス、および IT インフラ統制の必要性について議論が交わされています。これらの点が注目されるようになったのは最近のことであり、その結果、多くの情報セキュリティ構想が生まれましたが、どこから手をつけるかという問題は残ったままです。
IT ガバナンスリスクとコンプライアンス ( IT GRC ) に対して、トップダウンでリスクベースのアプローチを採用することにより、組織はリスクを最小化し、デューデリジェンスを顧客や利害関係者に証明できます。このアプローチにより、次のことを実現できます。
- 業務に適用される規制を特定し、理解および解釈する
- こうした規制に基づいて、一般的なベストプラクティスのフレームワークと企業のセキュリティポリシーを作成し、管理目標を定義するための構造を確立する
- ベストプラクティスのフレームワークを、一連の技術的なチェックと手順による管理に対応させる
- 技術的なチェックと手順による管理を、IT インフラおよび IT スタッフ全体にわたって統合する
- コンプライアンスの状態を文書化し継続的に監視して、コンプライアンスの遵守を監査担当者、上級経営陣、他の利害関係者に対して実証する
IT GRC プログラムを下部から開始する組織は、手元のツールの機能に頼りがちで、技術的な管理と手順による管理を急いで確立しようとして、最終的には非効率的な出費を行ったり、問題に対して多数の不必要な技術を投入したりするという結果に終わります。最善のセキュリティを確立するには、まず上級経営陣がセキュリティを実装するための実際のポリシー、または業務命令を作成することから始めます。
最初の手順は、企業のセキュリティポリシーを作成することです。役員は、どこにリスクがあるのか、組織は何を達成しようとしているのか判断し、次にそれらのリスクを軽減することを目的とした企業のポリシーを明文化する必要があります。企業のセキュリティポリシーは、セキュリティに関するプラクティスの概要であり、組織のすべての役員が遵守に同意する必要があります。
企業のセキュリティポリシーは、ビジネス環境でセキュリティの設定と管理をするための手順、ガイドライン、プラクティスを定義するものです。ポリシーの役割は、ユーザーに対して何が許可されているのか伝え、管理者とマネージャに対して、システムの構成と使用方法を選択する際の指針を伝えることです。
CoBIT、ISO 17799、HIPAA、およびPCI DSS など、情報セキュリティ基準と法的規制は、企業のセキュリティポリシーの基盤として最適です。非常に多くの企業において、従業員に対して伝えられる企業のポリシーと、規制およびフレームワークが要求する実際の管理目標との間に、大きなずれがあります。ポリシーは、業界の標準と規制に基づいて決定する必要がありますが、従業員に対して伝えられるポリシーとしては、明快で簡潔なバージョンも作成する必要があります。
すべての従業員がポリシーを実装することに協力した場合、情報セキュリティと法令の遵守に関する組織の体勢は強力なものになります。従業員の参加を推進する最善の方法は、企業全体のセキュリティに対する意識向上とトレーニングです。
容易に測定と適用ができるセキュリティポリシーを作成することも重要です。企業のセキュリティポリシーは、コンプライアンスの度合いを測定するための基準となる、受け入れ可能な標準を提供します。また、最悪のシナリオを想定することで、企業は、ポリシー違反に対してより適切な準備をすることができます。
効果的なセキュリティポリシーは、静的な状態にとどまるわけではありません。ポリシーは流動的な文書であり、企業のニーズに応じて変化します。認識された脅威に対して防御をするため、および変化を続けるシステムアーキテクチャに対応するために、ポリシーは進化します。
企業のセキュリティポリシーを作成したら、次の手順は、明文化されたポリシーを、組織のインフラを形成している個別のコンポーネントに対する管理と結びつけることです。この管理には、具体的な手順による管理と技術的な管理があります。この構造を文書化することは、監査担当者の優先事項として定着してきました。
手順による管理は、個人に対して期待される行動と、個人が従う必要のあるプロセスに関する文書から成り立っています。こうした管理には、セキュリティインシデントレスポンスの手順と、ビジネス継続性に関する計画が含まれていることもあります。
技術的な管理には、技術的に自動化できるポリシー、または IT インフラ全体に対して適用するポリシーが含まれます。たとえば、技術的な管理には、企業のパスワードポリシーや、システムサーバーに関する安全な設定と保護方法が含まれます。
ポリシーと管理を文書化した後、IT GRC の業務は、継続的な IT インフラの評価、検証、監視へと移行します。監督担当者と監査担当者は、管理構造の中にギャップが存在することが明らかな場合は、組織がただちに矯正タスクを特定し、そのタスクを完了させる体制が保証されることを要求します。規制機関のみならず、役員も、同様の保証を求めます。したがって組織は、継続的な監視、報告、矯正の実行によってコンプライアンスを維持できることを保証するようなプロセスを自動化できなければなりません。
業界コンプライアンスのリーダー企業は、業界の後進的な企業に比べて、管理の監視、測定、および評価を 12 倍の頻度で実行しています。コンプライアンスの欠陥が 2 つ以下で、データの損失も 2 度以下である企業は、毎年 19 日に 1 度の割り合いで評価を実施しています。一方、後進的な企業の評価の頻度は、230 日に 1 度です (「Core Competencies for Protecting Sensitive Data」、IT Policy Compliance Group ( IT Policy Compliance Group、2007 年 10 月 )。
さらに、コンプライアンスリーダーとして行動している企業では、ほぼすべての IT セキュリティ技術による管理と手順がすでに自動化されています。IT Policy Compliance Group によると、これらのリーダーは外部の委託業者に依頼する代わりに、管理と手順の監視および測定を自動化する機器とソフトウェアに投資し、そのような反復タスクを自動化していない企業に比べると、常に 32 パーセント少ない時間をコンプライアンスに費やしています。
* Configuration Management Journal、2008 年 3 月 14 日号に掲載された記事
業界および法的な規制を遵守することに失敗した場合、罰則、企業ブランドの失墜、財務上の損失などの形で深刻な損害をこうむることになります。価値あるデータを保護するために、現在の企業はポリシーと技術両方の観点から自社の IT GRC プログラムの改善を考える必要があります。幸いなことに、多くの役員はこのプログラムの重要性を認識しつつあり、IT GRC は企業全体の存続に影響する業務上の決定であることを理解するようになっています。Sandeep Kumar は、コンプライアンスおよびセキュリティ管理製品を担当する、シマンテックのプロダクト マネージメント担当シニアディレクターであり、業界をリードするシマンテックの IT ガバナンス、リスク、およびコンプライアンス管理ソリューションの戦略立案と提供を指揮しています。
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg
