セキュリティ要素 「自動化されたコンプライアンス」：最適な企業セキュリティ

セキュリティ対策においては、業界や当局が求める規制要件をクリアするという視点も求められる。コンプライアンスの達成に必要な条件を考えてみよう。

[Matt Fairbanks ，McAfee Blog Central]

（このコンテンツはマカフィー「McAfee Blog Central」からの転載です。一部を変更しています。）

　当社は、最適なセキュリティプログラムには3つの主な要素があると考えています。その3つの要素は「グローバルベースの脅威情報」「多層防御」「自動化されたコンプライアンス」です。今回はこの3番目の要素である「自動化されたコンプライアンス」について解説します。

　CIOやCISO（情報セキュリティ最高責任者）は、コストを削減し、セキュリティを高め、コンプライアンスを達成するのが職務であることを常に肝に銘じています。しかし、多くのITリーダーが膨大な数の規制に圧倒されていることもまた事実です。SOX、PCI、HIPAA、FISMAをはじめ、多くの規制が絶えず改定、更新されています。これらの規制の管理は継続的で、ときに困難な仕事であり、自動化、一元化されたコンプライアンスの実行により、初めて最適化されたセキュリティ体制が実現されるのです。

　当社では最近、コンプライアンスにおける最大の課題について、CIOに聞き取り調査を実施しました。CIOが指摘した上位3つの問題を以下に挙げましょう。

• 標準的な構成と要件の欠如
• 手作業による社内外の監査プロセス
• 監査前のやり直しを引き起こす構成のずれ

　企業は、広範囲に分散された複雑なシステムとさまざまなツールを使用することで、大量のデータを生成しています。これらのツールで一貫したアプローチを採用しない限り、コンプライアンス体制にギャップが生じ、複数の繰り返しの監査で数千もの工数が失われ、ROI全体が大きく減少することでしょう。

　それでは企業がコンプライアンス活動を合理化し、コンプライアンス体制を確立させるためには、どうすれば良いのでしょうか。以下の5つのステップが必要であると考えられます。

ポリシーの設定とアセットの優先順位の決定：所有を把握していないものを保護することはできません。何が管理され、何が管理されていないかを把握し、格納・処理されるデータの価値を理解することが必要です。また、金銭的な損失やダウンタイムの原因や規制監査の対象を把握することも重要でしょう。

脆弱性の管理と構成の監査：プロセスを重視することで、どこにギャップが発生しているのか、構成のずれが発生している可能性がある場所はどこか、システムのどのデバイスが管理されていないか、デバイス全体のセキュリティの状況はどうかなどを把握することが必要です。

リスクベースの修正：リスクの特定と優先順位付けが重要です。どのような脅威に狙われているのかを理解した上で、対策テクノロジーを配備し自動化しましょう。

ポリシーの施行と変更の監視：システムで何を変更できるか、誰が変更できるかを把握し、システムの整合性を維持しなければなりません。構成のずれは、機密情報の漏えいにおける、主な原因の1つです。

リアルタイムのレポーティング：データ収集を実行し、コンプライアンス体制を常に評価できる状況を維持してください。セキュリティレポートと財務レポートを同じように――それを自分の仕事として――作成できるかという視点で自問自答してみるべきでしょう。

　企業セキュリティの成熟度を高めるためには、これらの5つのステップを確実に実行する必要があります。自動化、一元化されたコンプライアンスに基づいた、最適化されたセキュリティ体制に取り組むことで、セキュリティのずれが抑制され、環境の可視性、効率性、および機敏さが向上されるでしょう。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

原文へのリンク