次のステップ

セキュリティ リスクとコンプライアンス監査要件の管理には、システムベースのアプローチが必要です。このアプローチでは、ネットワーク自体がセキュリティにおける基礎的な役割を果たすことが求められます。ネットワークは IT インフラストラクチャのあらゆる側面に接しているからです。

今日のネットワーク セキュリティ リスク、コンプライアンス、および監査の要件を管理するには、個別のソリューションではもはや十分ではありません。ネットワークとセキュリティの管理者がネットワーク セキュリティ リスクを詳細に管理するためには、統合型、コラボレーション型、適応型のエンドツーエンド アプローチが必要です。またこのアプローチを採用することで、監査役も内外のコンプライアンス要件を満たすことができます。

このようなアプローチは、CobiT や ISO/IEC 17799 のような業界の統制フレームワークをサポートする必要があります。そのことによって企業はネットワーク セキュリティ リスクを管理すると同時に業界規制への準拠も促進できます。

課題

今日の公共団体や民間企業の大多数は、自動化されたビジネス プロセスに依存しています。そのプロセスをサポートする情報システムとネットワークは、企業の戦略的資産になっています。その結果、ネットワーク管理者とセキュリティ管理者は、これまでより高速で複雑で危険な新種の攻撃からネットワーク(およびネットワークで扱われるデータやアプリケーション)を保護する新たな方法を見つける必要に迫られています。

グローバル企業は、ビジネスを行う各国の規制に準拠する必要があります。政府や一般市民が企業情報と個人情報の適切な使用と保護を主張するにつれて、企業に課せられた法規制への準拠要求は大きくなっています。これはプライバシーからセキュリティ、会計報告までのすべてを網羅しています。そのなかには、日本版 SOX 法、Gramm-Leach-Bliley(金融機関の顧客情報保護法)、HIPAA(医療保険の相互運用性と責任に関する法律)、EU の免責規定、カリフォルニア州のオンライン プライバシー保護法などがあります。

従来、ネットワーク セキュリティ リスクとコンプライアンス監査要件の管理アプローチは、組織の部門ごとに細分化されていて、結果的に作業やテクノロジーが重複していました。必然的に、このようなアプローチは一貫性がなく、コントロール システムに重複や矛盾があったり、互いに機能を損ねたりしています。測定と報告も細分化されていて、管理者は、新たなコンプライアンス要件を含めて、ネットワーク リスクを効率的かつ効果的に管理しているのかどうかわからないことさえあります。

ソリューション

セキュリティ リスクとコンプライアンス要件を管理する最良の方法は、COSO(The Committee of Sponsoring Organizations of the Treadway Commission)の企業リスク管理フレームワークの要件内で機能する業界のベスト プラクティスに基づいた、体系的かつ包括的なアプローチを採用することです。そのために最初に必要となるのが、すべての個別のネットワーク セキュリティとコンプライアンス要件に対処できる、単一の包括的で全社的な統制フレームワークです。

次の 2 つの IT 統制フレームワークが広く認識され、導入されています。

  • CobiT:米国 IT ガバナンス協会によって開発されました。Control Objectives for Information and Related Technologies の略です。
  • ISO/IEC 17799:各国の状況を参考に国際標準化機構(ISO)によって開発されました。ISO/IEC 17799(情報セキュリティ マネジメントのための実施基準)は ISO 27001 によってサポートされています。


これらのフレームワークは適切なたたき台であり、併用することもできます。これらの間で、IT 関連のリスクとネットワーク セキュリティ コンプライアンス監査要件に加えて、現在の企業ガバナンスと内部統制体制のニーズを管理できる IT ガバナンス フレームワークがサポートされます。

共通の基礎から構築されたアプリケーションとネットワークのインフラストラクチャによって、監査とコンプライアンスに関連する負担は大幅に軽くなります。政府の規制に共通点は少ないように見えても、アベイラビリティの保護、機密性、およびあらゆる状態にある(保管中、送信中、または処理中)情報の完全性という決定的な要素は共通しています。

CobiT と ISO/IEC 17799 によって、定評あるベスト プラクティスを使用して ITプロセスと内部定義統制の両方を簡易化および統一化できます。

CobiT と ISO/IEC 17799 の違いは次のような点です。

  • CobiT は主に IT 監査コミュニティで使用され、組織の管理コミュニティに科学技術者によって導入されたリスク軽減と回避メカニズムを具体的に示します。ISO/IEC 17799 は、セキュリティ管理を実装するための、国際的に認知された標準です。
  • CobiT は情報システムのライフサイクル プロセスを重視し、ISO/IEC 17799 はセキュリティを重視します。
  • CobiT は情報セキュリティ管理プロセスの要件に対処し、ISO/IEC 17799 は統制対象に対処します。


CobiT と ISO/IEC 17799 のベストプラクティス フレームワークを順守して得られるメリットで最もわかりやすいものの 1 つは、人件費と経費の両方を節約できることです。さまざまな規制管轄があるなかで、保証やセキュリティのテクノロジー実装に対する要件が不明確な場合もあります。このような要件を満たし、それに準拠するためには、ビジネスの要件を迅速かつ十分に満足するようなベスト プラクティスを実装します。