SOX、HIPAA、GLBA、PCIなど、頭字語で知られる規制は現在、数多くあります。そしてこれらは、規制の管理、レポーティング、監査になると、「来週のSOX監査の準備をしているところだ」、「PCIの監査人のために新しいレポートを作成しなければならない」など、独立した存在として処理されていることでしょう。このように増え続ける規制に対し、どうすればより効果的に規制の順守を管理できるかについて、今回は考えてみたいと思います。
世界中には約500の異なる規制があります。業種、所在地、企業規模によって、1つの規制から100を超える規制まで、その順守が求められています。これには、同じく順守が求められている社内のコーポレートガバナンスポリシーは含まれません。残念なことに、監査はすべて、それぞれの規制に基づいているため、一度にひとつずつ処理しなければならいのが現状です。そして企業は毎年、新しい規制、既存の規制の更新に対応しようと、前年よりも多くの時間と費用を費やしていることでしょう。
また、監査に合格し、自社が「規制を順守」していることを確認したとしても、必ずしも安全ではない、という問題も存在します。情報漏えいの事件の大半は、企業が主な規制を順守していることを確認した直後に発生しています。その原因には、IT管理者が監査合格だけに注意を払い、企業データの適切な保護に向けて正しい取り組みを行わなかったことがあげられます。
このような事件・事故を回避し、適切なセキュリティに向けて取り組むためには、戦略的に考え、戦術的に行動することが重要です。セキュリティに専念すれば、副産物としてコンプライアンスを達成することができます。規制で順守が求められているIT統制の大半は、すべての規制で共通です。適切な統制を設けることでコンプライアンスの取り組みを拡大し、数百とはいかないまでも、数十の規制には容易に対応することができます。
システムや企業、規制が絶えず変化するものだという事実に対処するには、継続的なコンプライアンスに焦点を当てることが重要です。すなわち、規制を順守するためのIT統制を設けるだけでなく、規制を順守し続けるためにIT統制を自動化および管理しなければなりません。95%以上の企業が、規制の監査に合格してから24時間以内に、その規制に違反しています。一方、最も成功を収めている企業、つまり残りの3~5%は、監査が簡単になるような一貫性があり、繰り返し可能なプロセスを設けることの重要性を理解しています。企業の中には、このプロセスをさらに洗練させ、内部監査レポートがコンプライアンスの証拠として外部の監査人に受理されるようにしている企業もあります。
セキュリティやコンプライアンスのソリューションを探す際には、最善のものを選択すると同時に、ソリューションが自社のセキュリティ製品と統合可能なことを確認しましょう。製品や機能が統合されていないと、効率性や拡張性が損なわれ、セキュリティリスクやコンプライアンスの欠陥が発生してしまいます。
また、継続的なコンプライアンスには、セキュリティを重視する社風を作り出すことも必要です。IT管理者だけがセキュリティとコンプライアンスに注力するのではなく、企業の誰もが取り組む必要があります。セキュリティとコンプライアンスは、システムやデータを作成・操作する人にも当てはまるものであるため、企業全体でその重要性を認識することは継続的なコンプライアンスの第一歩といえるでしょう。従業員を啓蒙して認識させ、動機付けることができれば、継続的なコンプライアンスを達成することができ、常に改善していくことが可能になります。
セキュリティとコンプライアンスの管理を成功させるために、多くの企業は規格や規制を細部まで理解しようとしますが、この方法は間違っています。成功させるためには、セキュリティに注力しなければならず、セキュリティ確立してはじめてコンプライアンスを達成できます。まずはセキュリティのプロセスを作成し、企業のアセットを最大限保護するのに必要なテクノロジーを手に入れてください。次に、プロセスを自動化・統制するだけでなく、統制し続けることができる継続的なコンプライアンスのモデルを作り出してください。継続的なコンプライアンス達成の一番の近道は、その場の「監査の合格」ではなく、企業データを適切に保護できるセキュリティ体制なのです。
関連記事
- [2011/01/20] PCIコンプライアンスの管理と改善
- [2010/11/25] 最適な企業セキュリティ-第4回:セキュリティ要素「自動化されたコンプライアンス」
