マカフィーでは、最適なセキュリティプログラムには3つの主な要素があると考えています。その3つの要素は「グローバルベースの脅威情報」、「多層防御」、「自動化されたコンプライアンス」です。今回はこの3番目の要素である「自動化されたコンプライアンス」について解説します。
CIOやCISOは、コストを削減し、セキュリティを高め、コンプライアンスを達成するのが職務であることを常に肝に銘じています。しかし多くのITリーダーが、膨大な数の規制に圧倒されていることも、また事実です。SOX、PCI、HIPAA、FISMAをはじめ、多くの規制が絶えず改定、更新されています。これらの規制の管理は継続的でときに困難な仕事であり、自動化、一元化されたコンプライアンスの実行により、初めて、最適化されたセキュリティ体制が実現されるのです。
マカフィーでは最近、コンプライアンスにおける最大の課題について、CIOに聞き取り調査を実施しました。CIOが指摘した上位3つの問題を以下にあげましょう。
- 標準的な構成と要件の欠如
- 手作業による社内外の監査プロセス
- 監査前のやり直しを引き起こす構成のずれ
企業は、広範囲に分散された複雑なシステムと様々なツールを使用することで、大量のデータを生成しています。これらのツールで一貫したアプローチを採用しない限り、コンプライアンス体制にギャップが生じ、複数の繰り返しの監査で数千もの工数が失われ、ROI全体が大きく減少することでしょう。
では、企業がコンプライアンス活動を合理化し、コンプライアンス体制を確立させるためには、どうすれば宜しいのでしょうか。マカフィーでは、以下の5つのステップが必要であると考えています。
- ポリシーの設定とアセットの優先順位の決定:所有を把握していないものを保護することはできません。何が管理され、何が管理されていないかを把握し、格納・処理されるデータの価値を理解することが必要です。また、金銭的な損失やダウンタイムの原因や規制監査の対象を把握することも重要でしょう。
- 脆弱性の管理と構成の監査:プロセスを重視することで、どこにギャップが発生しているのか、構成のずれが発生している可能性がある場所はどこか、システムのどのデバイスが管理されていないか、デバイス全体のセキュリティの状況はどうかなどを把握することが必要です。
- リスクベースの修正:リスクの特定と優先順位付けが重要です。どのような脅威に狙われているのかを理解した上で、対策テクノロジーを配備し自動化しましょう。
- ポリシーの施行と変更の監視:システムで何を変更できるか、誰が変更できるかを把握し、システムの整合性を維持しなければなりません。構成のずれは、機密情報の漏えいにおける、主な原因の一つです。
- リアルタイムのレポーティング:データ収集を実行し、コンプライアンス体制を常に評価できる状況を維持してください。また、セキュリティレポートと財務レポート並行して実行可能かどうか、確認が必要です。
企業セキュリティの成熟度を高めるためには、これらの5つのステップを確実に実行する必要があります。自動化、一元化されたコンプライアンスに基づいた、最適化されたセキュリティ体制に取り組むことで、セキュリティのずれが抑制され、環境の可視性、効率性、および機敏さが向上されるでしょう。
関連記事
- [2011/08/18] 継続的なコンプライアンスの達成に向けて
- [2011/01/20] PCIコンプライアンスの管理と改善
- [2010/12/02] 最適な企業セキュリティ-第5回:セキュリティへの企業ニーズ
- [2010/11/18] 最適な企業セキュリティ-第3回:セキュリティ要素「多層防御」
- [2010/11/11] 最適な企業セキュリティ-第2回:セキュリティ要素「グローバルベースの脅威情報」
- [2010/11/04] 最適な企業セキュリティ-第1回:セキュリティの成熟度モデル
※本ページの内容はSecurity Insights Blogの抄訳です。
原文:Elements of Optimized Security: Automated Compliance
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)