セキュリティとコンプライアンスを両立させるには

はじめに

「組織が定めたセキュリティ基準に対して最低限のコンプライアンスを満たすだけでは十分ではない」 — Daniel Griggs

この引用は、サイバーセキュリティを適切に設定することの重要性だけでなく、コンプライアンスを維持するためには適切な状態を常に維持する必要がある理由も示しています。これにはデバイス、ユーザ、データのセキュリティを保つことも含まれます。

このブログでは、以下の要素に焦点を当てながら、サイバーセキュリティにおけるコンプライアンスの中核となる原則を詳しく紹介します。

• サイバーセキュリティにおけるコンプライアンスの役割
• 組織にとってのコンプライアンスの重要性
• セキュリティとコンプライアンスを両立させるという概念
• 両者のギャップを埋めるのに役立つテクノロジーの例

サイバーセキュリティにおけるコンプライアンスとは？

まずは、コンプライアンスの本来の意味を深く理解するために、ウェブスター辞書に記載されている様々な定義を見てみましょう。

compliance 名詞

com·pli·ance /kəm-ˈplī-ən(t)s/

1a

：願い、要求、提案、計画、または強制に従う行為またはプロセス

治療計画の実施に対する患者の順守はきわめて良好であった。

—Georgia A. Chrousos

b

：公的な要件を満たす際の適合性

彼の行動は州法に準拠していた。

2

：他人に譲歩する性質

3

：力が加えられたときに物体が弾性的に変形する能力：「flexibility」の項を参照

様々な定義がありますが、この中でサイバーセキュリティの意味が最も簡潔に表れているのは、1bの「公的な要件を満たす際の適合性」でしょう。なぜなら、それがサイバーセキュリティにおけるコンプライアンスの目的、つまり、規制当局や政府機関によって定められた要件を適切な方法で遵守することだからです。言い換えれば、許可されたユーザのみが保護対象のデータやシステムの

• 収集
• 操作
• 処理
• 保存
• 配布
• 開示
• 廃棄

を行い、他の（権限のない）すべてのユーザが保護対象のデータタイプにアクセスできないようにすることです。

サイバーセキュリティにおけるコンプライアンスの目標

一般的には、コンプライアンスの目標は、組織に適用される法律のあらゆる違反を避けることだと言えます。コンプライアンス対策を実装することで、いわば「見取り図」に沿って行動し、違反につながるおそれのある潜在的な地雷を回避するのが目標です。

サイバーセキュリティに関しても、上記がほぼ当てはまりますが、別の課題が加わります。それは、ビジネスデータにアクセスするユーザや、データが処理・保存されるデバイスに加えて、ビジネスデータそのものも常に保護された状態に維持しなければならないことです。ここでの「保護」は、脅威アクターから守ることだけでなく、規制による保護の対象データを違反リスクにさらすおそれのある事柄、アクション、状況を遵守状態に保ち続けることも意味しています。

その好例となるのが、従業員が業務データを保存するために使用するファイルサーバへのアクセス権を持つIT担当者です。各ディレクトリには、定義されたユーザのみが指定されたフォルダに明示的にアクセスできるようにユーザ権限が設定されていますが、ITチームには必要に応じてディレクトリ権限を変更できる管理者権限がデフォルトで付与されています。ユーザのフォルダに関する問題のトラブルシューティングチケットが届いた場合、ITチームはコンプライアンスに影響を与えることなく、権限を変更して問題を修正できます。しかし、一歩踏み込んで、ユーザのディレクトリを深く掘り下げ、保護されたデータを閲覧しようとすると、規制要件に違反するおそれがあります。この例では、IT担当者にこの種のデータを閲覧したり処理したりする権限がない可能性があるためです。

サイバーセキュリティのコンプライアンスに関連する主要な規制と標準

先ほど「見取り図」という言葉を使いました。建築家が建物を建てる際に施工チーム向けに見取り図を作成するように、ITチームやセキュリティチームもセキュリティ計画を実施する際に標準を頼りにすることで、組織が遵守すべき様々な規制要件の項目をチェックできます。

念のために補足すると、標準と規制は別物です。標準は、規制の遵守に関する目標を達成するための手段です。大まかに言えば、標準はセキュリティのベストプラクティスの体系的なセットであり、実用的なToDoリストのようにまとめられています。ほとんどの環境で、コンプライアンス目標を達成する対応プロセスの「実証済みのガイダンス」として活用できます。

組織はひとつひとつ違いますし、ニーズもそれぞれ異なります。コンプライアンス目標を達成する能力も多くの変数の影響を受けるのが通例です。けれども、規制を見れば、何を保護すれば遵守していると規制当局に認めてもらえるかがわかり、標準を見れば、規制に準じて保護を構成するための最善の方法がわかります。

世界のサイバーセキュリティに関する主要な規制をいくつか見てみましょう。

• HIPAA：医療データの保護策を提示し、医療データの共有に制限を設け、データの使用には患者による明示的な承認を義務づけています。
• PCI-DSS：クレジットカード決済代行業者向けに、カードベースデータの取得、処理、保管に関するガイドラインを定めています。
• GDPR：明示的な同意なしに個人データを利用することを禁じる、ユーザの権利を保護することを目的とした、プライバシー保護関連のガバナンスです。
• FERPA：生徒の教育記録やデータへのアクセスを制限し、その開示を管理します。
• FSMA：保険、投資業務、銀行業務に加え、暗号通貨などの新興フィンテック市場に対する監督を規定しています。

続いて、世界的に認められているサイバーセキュリティに関する主要な標準とフレームワークをいくつか見てみましょう。

• Essential Eight：サイバー脅威から組織を守るための対策に優先順位を付けるのに役立つ、最も重要な8つの軽減戦略です。
• NIST：幅広いセキュリティ脅威から企業を守るための方法論です。重要なインフラの保護に関するガイダンスを提供しています。
• ISO：一連の規格で構成される国際的な情報セキュリティマネジメントシステムです。サブセクションは様々なサイバーセキュリティの問題や脅威を扱っています。
• Cyber Essentials：インターネットベースの脅威から組織を守るのに有効とされるセキュリティ対策を実装するための情報保証フレームワークです。
• CIS：ベンチマークとベースラインを通じてサイバーセキュリティに対する重大な脅威を特定して防止するための、多層防御モデルの一部として機能する、優先順位が設定された保護策です。

サイバーセキュリティにおけるコンプライアンスの重要性

サイバーセキュリティにおけるコンプライアンスの役割は、「抑制と均衡の仕組み」に似ています。組織にリスクをもたらすサイバー脅威は、「組織は何から身を守る必要があるのか？」という問いに対する答えです。前述したように、標準は「組織の保護策を実装する最善の方法は？」という問いに対する答えです。そしてコンプライアンスは、「組織は保護に成功したのか？」という問いに対する答えです。

組織にとってのコンプライアンスのメリット

組織にとってコンプライアンスの最大のメリットは、間違いなく安心感です。デバイスが業界標準やセキュリティベースラインに準拠しているという確信が得られます。デバイスはセキュリティ脅威に対して堅牢なセキュリティが適用され、ユーザには職務を遂行するうえで必要なアクセス権のみが付与され、データは要件を満たすかそれを上回る効果的な管理策によって保護されるため、侵害や適用漏れのリスクが最小限に抑えられます。

コンプライアンス違反のリスク

特定の業界は、そこで行われるビジネスの性質、慣行、提携先に起因して規制監督の対象になっています。また、ビジネスを展開する地域によっては、適用される規制の数が変わることがあります。これは、規制は政府機関によって義務付けられるものであり、以下のレベルのいずれかまたはすべてで適用されるためです。

• 地方自治体（市町村、郡、区、部族領、準州など）
• 州、都道府県
• 連邦
• 国
• 地方、広域ブロック

コンプライアンス違反がもたらす影響の例

各規制にはそれぞれ独自の要件があり、厳格さも規制によって異なりますが、それでもやはり、規制対象業界に属する企業にはすべての政府機関の規制要件を遵守することが求められます。要件を満たさないと規制違反とみなされ、以下のような罰則が科される可能性があります。

• 違反1件ごとに高額な罰金（年間で数百万ドルに達する可能性もある）
• 民事責任（悪影響を受けたサービス/製品のユーザから）
• 従業員および幹部役員の刑事責任（故意に違反行為を行ったとして有罪になった場合）
• 助成金や政府の資金・奨励金の支給停止
• 世論/企業イメージへの悪影響
• ビジネス運営/収益への影響
• データ損失によるパートナーシップ/ビジネスチャンスの喪失
• 製品/サービスの使用を禁止する差し止め命令
• 資産の差し押さえ/事業の閉鎖

セキュリティとコンプライアンスの両立

ITの世界には、テクノロジーを説明するために様々な用語や略語が使われています。これらは同じような目的で使用されるツールやサービスのカテゴリーに説得力を持たせるために、ひとまとめにされることも少なくありません。時には矛盾していたり対照的だったりするように見えることもあります。

セキュリティとコンプライアンスは、どちらも「保護」の意味を含みながら、実際にはまったく異なるものを指す用語の好例です。言い換えれば、あるものが安全であるからといってコンプライアンスに準拠しているとは限らず、逆に、コンプライアンスに準拠しているからといって安全であるとは限らないのです。そのため、本セクションでは、セキュリティとコンプライアンスを両立させることは容易ではないものの、適切に行えば最終的には大きなメリットをもたらすことを説明します。

セキュリティとコンプライアンスを両立させるうえでの課題

自社に最適な両者のバランスを見つけるうえで解決すべき課題がいくつかあります。その中には組織固有の課題もあります。例えば、ITチームやセキュリティチームが利用できるツール、チームが持つ知識ベースやスキルセットの制限、そして当然ながら財務的な要素が、セキュリティとコンプライアンスのギャップを埋めるうえで重要な役割を果たします。

それ以外にも重要な考慮事項として次のようなものがあります。

• 業界に関連する規制・法令
• デバイスの管理とソリューションの回復力の監視
• 新しいツールを実装する際のリスクと価値提案の比較
• ユーザのプライバシーと生産性への影響
• 標準・規格の採用と実装に対するステークホルダーのサポート
• 時間的制約のある要件や制限事項

セキュリティを犠牲にすることなくコンプライアンスを実装する方法

IT分野において、どんな種類であれ新しいソリューションを実装する最も賢明な方法の一つは、綿密なプロジェクト計画を策定し、きめ細かく管理することです。これには、本番環境に実装する前にテスト環境で変更箇所のサンプリングを行うテスト工程も含まれます。

この手法は、サポートチームやステークホルダーがフィードバックを十分に得られるだけでなく、現在および将来の変更を評価する際にも大いに役立ちます。やはり、あらゆる変更管理プロセスにおいては反復的なサイクルが重要な鍵となるのです。

組織レベルではよくあるように、この手法は企業の具体的なニーズによって大きく変わります。セキュリティとコンプライアンスのギャップを埋める「万能」な方法、ソリューション、ツールは残念ながら存在しません。

セキュリティとコンプライアンスを両立させるためのベストプラクティス

バランスをうまく保つには、適切な計画が不可欠であることは、どれほど強調しても足りません。このプロジェクトを効果的に計画・管理するうえで重要なのは、セキュリティとコンプライアンスに関して以下の2つの点を把握することです。

1. 組織は現在どのような状況にあるか？
2. 組織はどうあるべき/どうなりたいのか？

前者は、初日時点のセキュリティ状態を指し、そこが出発点となります。後者は、リスク評価の実施、コンプライアンス基準やフレームワークの選定、実装フェーズとテストフェーズの実施、セキュリティとコンプライアンスの状況の差異を評価する分析を経て得られる、組織が目指すべき明確かつ簡潔な目標です。

忘れてならないのは、これは反復的なプロセスです。一回目で目標に到達できなくても、調査結果を文書化し、そのデータを教訓として活用することで、組織を目標とするバランスポイントに近づける機会にしましょう。

このセクションの最初のほうで、重要な考慮事項としてリスクと価値の比較も挙げました。反復的なプロセスの一環として、組織の現状を常に把握しておくことは、コンプライアンスとセキュリティにとってきわめて重要です。例えば、組織のポリシーで、社内のMDMで管理されている会社所有のデバイスのみが業務データにアクセスできる、と定められているとします。この組織では、個人所有デバイスを管理するための十分なライセンスを保有していないため、ユーザには個人デバイスの使用は禁止されていると口頭で伝えられています。会社所有でないデバイスのインサイトや、業務データへのアクセスを論理的に遮断するセキュリティソリューションがなければ、組織は個人所有デバイスから業務リソースにアクセスされてデータが処理/保存された場合にどのようにしてそれを把握できるでしょうか？

答えは「把握するすべはない」です。これは、コンプライアンスとセキュリティの両方にとって重大なリスクです。一方で、各ユーザの個人所有デバイスにライセンスを付与するには追加予算が必要になり、管理の必要なデバイスが増えるとIT担当者の増員が必要になる、というトレードオフもあります。リスクは、コストや従業員の増加に見合うほど大きいのか、小さいのか、それとも等しいのか。ここで挙げた例のポイントは、この問いにすぐに答えを出すことではなく（組織固有のニーズによって異なるため）、バランスをとる際に考慮すべきリスクと価値の違いを明確にすることです。

セキュリティとコンプライアンスを両立させるためのツールとテクノロジー

リスクの分析情報を活用して必要なセキュリティ対策を特定し、コンプライアンス目標の達成に使用する基準やフレームワークを選択できたら、次は、セキュリティとコンプライアンスのバランスをより緊密なものにするための手段が必要になります。

ここで重要な役割を果たすのが、テクノロジーとツールです。適切なテクノロジーで両者のギャップを埋められるだけでなく、適切なツールを用いることでセキュリティ構成が実装しやすくなり、その後もコンプライアンスを徹底しやすくなります。

組織によるセキュリティ実装を支援するテクノロジー

このセクションでは、組織が両立を実現するのに役立つ主要なテクノロジーをいくつか紹介します。セキュリティの観点では、以下のテクノロジーが、特定の規制に準拠した基準やフレームワークから生成されたガイダンスに基づいてセキュアな構成を実装する際に役立ちます。

• モバイルデバイス管理：MDMソリューションを使用すれば、モバイルデバイスが使われる物理的な場所を問わず、IT部門が数百〜数万台ものデバイスを管理する際の複雑さを緩和できます。会社所有のデバイスだけでなく、あらゆる所有モデルの個人所有デバイスも監視でき、セキュアなデバイス構成と設定、アプリの導入、業務データと個人データの分離、ポリシーベースのコンプライアンス基準の適用といった要素をバランスよく実現できます。
• エンドポイントセキュリティ：セキュリティソリューションは、デバイスの健全性を常に監視してレポートします。セキュリティチームは、既知の脅威を特定して防止することで、エンドポイントが基準となるセキュリティ状態を維持していると確信できます。脅威ハンティングチームは、挙動分析を通じて未知の脅威を発見し、修復ワークフローに沿って脅威を軽減してデバイスをコンプライアンスに適合した状態に戻すことができます。
• アイデンティティとアクセス：アイデンティティソリューションを管理とセキュリティに統合することで、信頼性を高めて、アクセス権限を認証されたユーザのみに制限することができます。さらに、コンプライアンス要件とセキュリティのベストプラクティスを遵守することで、アイデンティティ＆アクセスソリューションによって実現される最小権限の原則に基づいて、ユーザは職務遂行に必要な範囲でのみ保護対象データを扱うことが保証され、それ以上の権限が与えられることはなくなります。
• ゼロトラスト：このセキュリティモデルは、「安易に信用せず、常に検証を行う」の原則に基づき、アイデンティティ＆アクセスソリューションを基盤として、アクセス要求が来るたびに、デバイスの健全性に関する重要なパラメータが検証されるまで、すべてのエンドポイントへのアクセスをデフォルトで制限するという重要な機能を実行します。検証で問題がなければ、要求されたリソースへのアクセスが許可されます。問題がある場合は、セキュリティおよび管理ソリューションとの連携によって脆弱性が評価され、修復ワークフローが実行されてデバイスが自動的にサニタイズされてから、再度デバイスの健全性が検証されます。

コンプライアンスを徹底するツールの例

この最終セクションでは、組織がバランスを保つ過程でコンプライアンスを徹底するのに役立つツールを紹介します。以下に挙げるツールは、基準に基づいたセキュアな構成を導入するうえで重要な役割を果たします。管理、アイデンティティ、セキュリティの包括的なソリューションを使用すれば、エンドポイントだけでなくユーザとデータも保護しつつ、適用される規制に準拠した状態を確実に維持できます。

• Jamf Pro：macOS、iOS、iPadOS、tvOS、watchOSデバイスの管理を簡素化する、業界トップクラスのAppleデバイス管理ソリューション。簡単ながら強力なインターフェースを備え、ニーズに合わせて拡張できます。ゼロタッチワークフローを使用してハードウェアの導入と構成を行い、管理対象アプリをインストールし、各種設定を適用し、ポリシーを実装して、デバイスを常に管理された状態に保つことができます。
• Jamf Connect：クラウドベースのIDプロバイダをMacやモバイルデバイスと連携させることで、認証されたユーザのみがハードウェアを使用したり業務リソースにアクセスしたりできるようにします。強力なIDベースのワークフローにより、有効な認証情報を持ち脆弱性がないことが検証されたデバイスを使用するユーザのみが、保護されたリソースへのアクセスを許可されます。また、使用されるネットワーク接続の種類を問わず、各リクエストに対して暗号化されたマイクロトンネルを使用して、リモート接続におけるMitMなどのネットワークベース攻撃が阻止され、常時保護を実現します。
• Jamf Protect：セキュリティベースラインを使用してエンドポイントセキュリティを強化し、常時監視によってエンドポイントをセキュアな状態に維持します。未知の脅威が検出されればセキュリティチームに通知してインシデント対応ワークフローを開始し、OSの共通脆弱性識別子（CVE）などの既知のリスクがデバイスで検出されれば直ちに軽減措置が講じられます。お使いのSIEMソリューションと統合してログデータを一元管理し、セキュアなAPIを介してデバイスのテレメトリデータを管理・アイデンティティソリューションと共有することで、インフラのセキュリティを拡張し、最新の脅威インテリジェンスに基づいて機械学習を活用する高度な修復ワークフローの自動化を実現します。
• Jamf Compliance Editor：macOS セキュリティコンプライアンスプロジェクト（mSCP）を土台として、サポートされているグローバルなガバナンス基準やフレームワークに準拠したコンプライアンス要件に即してセキュリティガイダンスを生成し、組織固有のニーズに合わせてカスタマイズします。よりきめ細かいアプローチが必要な場合は、実装する構成のみを選択したり、設定するカスタムセキュリティレベルを指定したりできます。アセットは自動的に作成されてJamf MDMインスタンスにアップロードされ、デバイス全体に展開する準備が整います。
• Jamf Safe Internet：企業デバイスを対象とした業界最高レベルのネットワーク脅威対策と包括的なコンテンツフィルタリングは、Jamf Protectの主要な機能です。教育機関向けには、Jamf Safe Internetが用意されています。企業向け製品と同等の、ゼロデイフィッシングの脅威に対するきめ細かな保護、危険なコンテンツのブロック、プライバシーの保護を実現します。また、Jamf Schoolは、Jamfの主力製品と同様の、教育者、IT担当者、職員向けの教育機関に特化した管理とセキュリティの機能を備えています。教育に最適化されたこれら2つのソリューションを統合することで、シンプルで直感的なコンソールから、デバイスの使用状況に関する詳細なインサイトを得ることができます。
• Jamf Mobile Forensics：最新の脅威状況で進化する攻撃手法からの保護は、Jamfのエンドポイントセキュリティソリューションの中核を成す要素です。セキュリティチームは、高度な検出・修復機能を活用したセキュリティインシデントのリモート検出を通じて、インシデント対応に必要な手段を手にすることができます。さらに、インシデント対応チームは、脅威を深く掘り下げ、場所を問わずモバイルデバイスの状態を詳細に把握して、包括的な調査に役立てることができます。モバイルエンドポイントの豊富なテレメトリデータをリモートで簡単に収集できるため、調査時間はわずか数分に短縮されます。これは、企業や政府機関に最適な機能セットを拡張する統合機能を通じて実現されます。