はじめに
「組織が定めるセキュリティ基準を満たす最低限のコンプライアンスだけでは十分ではありません」 — Daniel Griggs
上記の引用は、組織がサイバーセキュリティを正しく理解するだけでなく、コンプライアンスを維持するため常に適切に実施されていることがいかに重要であるかを例示しており、これにはもちろん、デバイス、ユーザ、データのセキュリティを保つことも含まれます。
そこで、この最新ブログでは、サイバーセキュリティにおけるコンプライアンスの基本について掘り下げます:
- サイバーセキュリティにおけるコンプライアンスの役割
- 組織におけるコンプライアンスの重要性
- セキュリティとコンプライアンスのバランス
- 両者のギャップを埋めるテクノロジー
サイバーセキュリティにおけるコンプライアンスとは?
まずはコンプライアンスの真の意味を知るために、Merriam-Webster辞書に記載されているコンプライアンスのさまざまな意味を検証してみましょう。
コンプライアンス名詞
com-pli-ance /kəm-ˈplī-ən(t)s/
1a
:欲望、要求、提案、規則、または強制に従う行為またはプロセス
治療計画に対する患者のコンプライアンスは良好であった。
—Georgia A. Chrousos
b
:公的な要件を満たす適合性
彼の行動は州法に準拠していた。
2
:相手に合わせること
3
力を加えたときに、物が弾性的にたわむ能力:柔軟性を参照
このようにコンプライアンスには複数の意味がありますが、サイバーセキュリティに最も当てはまるのは、1bの「公的な要件を満たす適合性」でしょう。なぜなら、適切な統治機関または政府機関が定める要件を遵守することが、サイバーセキュリティにおける準拠の真の目的だからです。保護データとシステムの
- 収集
- 取り扱い
- 処理
- 容量
- 配布
- 普及
- 廃棄
は許可されたユーザのみに認められ、それ以外(許可されていないユーザ)による保護データへのアクセスを防止します。
サイバーセキュリティにおけるコンプライアンスの目的
一般的にコンプライアンスの目的とは、組織が従うべき法律に違反しないようにすることであり、コンプライアンス対策を実施することで、ブループリントに沿い、違反につながる潜在的な地雷を回避することを目指します。
サイバーセキュリティでも、上記のことが依然大体当てはまりますが、データにアクセスするユーザ、データが処理・保存されるデバイスに加えて、ビジネスデータを保護し続けるという課題が新たに加わりました。この場合の“保護”という言葉は、脅威アクターから安全を守るだけでなく、規制によって保護されているデータを違反のリスクにさらすようなモノ、行動、または状況にうまく対処することも意味します。
この好例となるのが、従業員が業務データを保存するために使用するファイルサーバにアクセス権を持つIT従業員です。各ディレクトリには、定義されたユーザーのみが指定されたフォルダに明示的にアクセスできるようにユーザー権限が設定されていますが、IT部門には、必要に応じてディレクトリ権限を変更する管理者権限がデフォルトで付与されています。IT部門は、ユーザフォルダに関する問題のトラブルシューティングチケットを受け取った場合、コンプライアンスに影響を与えることなく、権限を変更して問題を修正することができます。しかし、さらに一歩踏み込んで、ユーザディレクトリをドリルダウンして保護データを閲覧すると、この例ではIT担当者はこの種のデータを閲覧したり取り扱ったりする権限を持っていない可能性があるため、規制要件に違反する可能性があります。
サイバーセキュリティのコンプライアンスに関連する主な規制と基準
先ほど“ブループリント”という言葉を使いました。これは、建築家が構造物を建設する際に建設チームが従うべきブループリント(設計図)を起草するように、ITチームやセキュリティチームもセキュリティ計画を実施する際に、組織が遵守しなければならないさまざまな規制要件をチェックするために、基準を頼りにすることができるからです。
念のため説明しておくと、基準=規定ではありません。基準は、規制を遵守するための目標達成手段です。ざっくり言うと、これらは実行可能なTo-Doリストと同様にグループ化された、形式的なセキュリティベストプラクティスであり、コンプライアンス目標を達成するため対応プロセスに’“実戦で実証されたガイダンス”を提供します。
ニーズは組織ごとに異なり、コンプライアンス目標を達成する能力はさまざまな変数の影響を受けるのが通常です。規制は、統治機関によって準拠していると見なされるために保護する必要があるものに関する情報を提供し、基準は、規制ごとに保護を構成するための最適な方法の詳細を提供します。
サイバーセキュリティに関する世界の主要な規制をいくつかみてみましょう:
- HIPAA:健康データの保護と共有の制限を設定し、その使用には患者による明示的な承認が必要。
- PCI-DSS:クレジットカード決済処理業者向けに、カードベースのデータの取得、プロセス、および保存に関するガイダンスを設定。
- GDPR:明示的な同意なしに個人データを使用することを禁止するユーザーの権利を保護することを目的としたプライバシーベースのガバナンス。
- FERPA:生徒の教育記録やデータへのアクセシビリティを制限し、その開示を管理。
- FSMA:保険、投資ビジネス、銀行業務、および暗号通貨などの新興フィンテック市場を監督する規定。
続いて、サイバーセキュリティに関する世界的に認められている主要な基準やフレームワークを見てみましょう:
- Essential Eight:組織がサイバー脅威から身を守るための制御に優先順位を付けるのに役立つ 8 つの最も重要な緩和戦略。
- NIST:企業がさまざまなセキュリティの脅威から保護するための方法であり、重要なインフラストラクチャを保護するためのガイダンスを提供。
- ISO:国際的な情報セキュリティ管理システムであり、サイバーセキュリティに関する様々な問題や脅威を扱う規格群。
- Cyber Essentials:インターネットベースの脅威から組織を保護するために有効であると考えられるセキュリティ対策を実施するための情報保証フレームワーク。
- CIS:ベンチマークとベースラインを通じて、サイバーセキュリティに対する重大な脅威を特定し、予防するために、深層防衛モデルの一部として機能する優先的なセーフガード。
サイバーセキュリティにおけるコンプライアンスの重要性
サイバーセキュリティにおけるコンプライアンスの役割は、チェック・アンド・バランスのシステムと似ています。組織にリスクをもたらすサイバー脅威は、「組織は何から身を守る必要があるのか」という問いに、また基準は、前述したように、「組織の保護をどのように実装するのが最善か」という問いにそしてコンプライアンスは「組織を守ることに成功したか」という問いに答えを提示します。
組織におけるコンプライアンスのメリット
組織にとってコンプライアンスがもたらす最大のメリットは、デバイスが業界基準やセキュリティベースラインに準拠しているという安心感です。つまり、デバイスはセキュリティの脅威に対して強化され、ユーザは職務を遂行するために必要なものだけへのアクセスを許可され、データは要件を満たすか上回る効果的な制御によって保護され、侵害やエンフォースメント欠如のリスクが最小限に抑えられます。
コンプライアンス違反のリスク
特定の業界は、事業の性質、その慣行、および/または提携先により、規制の監督の対象となります。さらに、規制は政府機関によって義務付けられており、次のレベルのいずれかまたはすべてに適用されるため、事業を展開する地域次第で、対象となる規制の数が変化する可能性があります。
- 地方(市、郡、区、部族、地域)
- 州
- 連邦
- 国
- 地域
コンプライアンス違反がもたらす結果
それぞれが、次のものよりも厳しい(またはより緩い)独自の要件を持っている場合がありますが、規制産業に属する企業は、規制違反で有罪となって以下のペナルティが課せられないように、政府の各部門からの各規制要件を遵守することが求められます:
- 違反/違反行為ごとに課されられる高額の罰金(最高で年間数百万ドル)
- 民事責任(悪影響を受けたサービス/製品のユーザから)
- 従業員および重役の刑事責任(故意に違反を犯したとみなされ有罪となった場合)
- 助成金および/または政府からの資金提供/奨励金の拒否
- 世論/企業の評判に悪影響
- 事業運営/収益への影響
- データ損失によるパートナーシップ/ビジネス機会の喪失
- 製品/サービスの使用禁止命令
- 資産の差し押さえ/事業の閉鎖
セキュリティとコンプライアンスのバランス
ITの世界では、テクノロジーを説明するために実にさまざまな表現や頭字語が用いられており、同じような目的で使用されるツールやサービスのカテゴリーに重みを与えるため、矛盾や対比しているように見えるものでも、グループ化することがあります。
その一例である、セキュリティとコンプライアンスは、どちらも保護という意味を持ちながら、2つの異なる意味を持っています。言い換えれば、何かが安全であるからといって、それが準拠しているとは限りませんし、逆も同じで、準拠しているからといって、必ずしもそれが安全とは限りません。このセクションでは、セキュリティとコンプライアンスのバランスを取ることは、非常に困難ではあるものの適切に行われれば最終的に実りあるものとなることを説明します。
セキュリティとコンプライアンスのバランスを取る上での課題
組織に合った適切なバランスを見つけるには、いくつかの課題を解決する必要があり、その中には、組織特有のものもあります。例えば、ITチームやセキュリティチームが利用できるツール、ITチームの知識ベースや(ある場合は)スキルセットの制限、そして財務的な側面などがセキュリティとコンプライアンスのギャップを埋める上で重要な役割を果たします。
その他の重要な考慮事項:
- 業界に関連する規制・規則
- デバイスの管理とソリューションのレジリエンスのモニタリング
- 新しいツールを導入する際のリスクと価値の比較
- ユーザのプライバシーと生産性への影響
- 標準規格の採用と実施にあたってのステークホルダーのサポート
- 時間的制約のある要件と制約
セキュリティを犠牲にすることなくコンプライアンスを統合する方法
あらゆる種類の新ソリューションをIT に統合する最も賢明な方法とは、慎重なプロジェクト計画と管理を行うことであり、これにはテスト要素も含まれ、本番環境に導入する前に、テスト環境内で変更をサンプリングする必要があります。
この手法は、サポートチームと利害関係者に豊富なフィードバックを提供するだけでなく、そのフィードバックは現在および将来の変更を評価するときに最も役立ちます。つまり反復的なサイクルは、あらゆる変更管理プロセスにとって重要なカギとなるのです。
組織レベルではよくあることですが、それは会社の特定のニーズによって大きく変化します。セキュリティとコンプライアンスのギャップを埋める“オールマイティ”な方法、ソリューション、ツールは、残念ながら存在しません。
セキュリティとコンプライアンスのバランスを取るためのベストプラクティス
うまくバランスを取るためには、適切なプランニングが絶対に欠かせません。このプロジェクトを効果的に計画および管理する上で重要なことは、セキュリティとコンプライアンスに関する次の2つの具体的なポイントを知ることです:
- 現在、組織はどのような状況にあるのか?
- 組織はどうあるべき/どうありたいのか?
前者は、Day1(初日)のセキュリティポスチャであり、そこが出発点となります。後者は、リスク評価が実行され、コンプライアンス基準やフレームワークが選択され、実装とテストフェーズが完了し、セキュリティとコンプライアンスの状況の不一致を評価するための分析が実行されると、組織に明確で簡潔な目標を提供します。
繰り返しのプロセスであることを決して忘れてはなりません。最初から必要な場所にたどり着けない場合は、調査結果を文書化して、そのデータを教訓として使用。組織を目標のバランスポイントに近づけることで、その機会をつかみます。
このセクションの前半で触れたもう1つの側面は、リスクと価値の提案です。反復プロセスの一環として、組織の立ち位置を常に把握することは、コンプライアンスとセキュリティに不可欠であり、たとえば、組織のポリシーで、会社のMDM によって管理されている会社所有のデバイスのみがビジネス データにアクセスできるようにすることが義務付けられているとします。組織には個人所有のデバイスを管理するための十分なライセンスがないため、ユーザは個人所有のデバイスの使用は禁止されていることを口頭で伝えられています。社外のデバイスに関する洞察や、ビジネスデータへのアクセスを論理的に防止する追加のセキュリティソリューションがなければ、組織はビジネスリソースがアクセスされ、データが個人のデバイスで処理または保存されたかどうかをどのように知ることができますか?
知る術はないでしょう。これは、各ユーザーの個人用デバイスのライセンスをプロビジョニングするための追加の資金と、現在管理する必要があるデバイスの流入をサポートするための追加のIT従業員を必要とするトレードオフを考えると、コンプライアンスとセキュリティの両方に重大なリスクをもたらします。リスクは、追加されるコストや従業員の懸念よりも大きいか、小さいか、あるいは等しいのどれでしょう?ここでのポイントは、質問に完全に答えることではなく (組織固有のニーズに依存するため)、リスクと価値の違いを強調することであり、これらは適切なバランスを保つ上で考慮される必要があります。
セキュリティとコンプライアンスのバランスを取るためのツールとテクノロジー
どのセキュリティ保護が必要かを判断するためのリスク分析情報を入手し、コンプライアンスの目標を達成するために使用する標準とフレームワークを選択した組織は、セキュリティとコンプライアンスのバランスを互いに近づける手段を必要としています。
ここで活躍するのがテクノロジーとツールです。適切なテクノロジーは両者のギャップを埋めるのに役立ち、さらに適切なツールはセキュリティ構成を実装し、コンプライアンスを強化します。
組織がセキュリティを実装する際に役立つテクノロジー
このセクションでは、組織がバランスを取るのに役立ついくつかの幅広いテクノロジーを紹介します。セキュリティにおいて、以下のテクノロジーは、特定の規制に沿った標準とフレームワークから生成されたガイダンスに基づいて安全な構成を実装するのに役立ちます。
- モバイルデバイス管理:MDMソリューションにより、IT部門は物理的な場所に関係なく、数百から数万のデバイスを管理する複雑さを簡素化できます。管理ソリューションは、会社所有のデバイスだけでなく、あらゆる所有モデルの個人所有のデバイスも監視でき、安全なデバイスの構成と設定、アプリの展開、個人データ量からのビジネスデータのセグメント化、コンプライアンス基準のポリシーベースの適用の間で独自のバランスを提供します。
- エンドポイントセキュリティ:セキュリティソリューションはデバイスの正常性を積極的に監視し、報告します。既知の脅威を特定し防御することで、セキュリティチームはエンドポイントが基本的なセキュリティポスチャを維持していることを確認できます。行動分析は脅威ハンティングチームが未知の脅威を発見するのを支援し、修復ワークフローは脅威を緩和してデバイスのコンプライアンスを回復します。
- アイデンティティとアクセス:アイデンティティソリューションを管理およびセキュリティに統合することで、信頼のレイヤーを追加し、アクセス許可を許可されたユーザのみに制限します。さらに、コンプライアンス要件とセキュリティのベストプラクティスを遵守し、アイデンティティとアクセシビリティソリューションが可能にする最小特権の原則により、ユーザは自分の職務を遂行するために必要な保護データにのみアクセスが制限されます。
- ゼロトラスト: “決して信頼せず、常に検証する”という原則に基づき、このセキュリティモデルはIDとアクセスのソリューションに基づいて構築されています。重要なデバイスヘルスパラメータが検証されるまで、リクエストが行われるたびにデフォルトですべてのエンドポイントへのアクセスを制限するという重要な機能を実行します。検証されると、要求されたリソースへのアクセスが許可されます。そうでない場合は、セキュリティおよび管理ソリューションとの統合により、修復ワークフローが展開される前に脆弱性が評価され、デバイスの正常性が再度検証される前にデバイスが自動的にサニタイズされます。
コンプライアンスを強化するツールの例
この最後のセクションでは、バランスを模索する際に、コンプライアンスを徹底するのに役立つツールについて取り上げます。以下にリストされているツールは、標準ベースの安全な構成を展開するために不可欠であり、包括的な管理、ID、およびセキュリティソリューションは、適用される規制に準拠しながら、エンドポイントだけでなく、ユーザとデータも保護します。
- Jamf Pro:macOS、iOS、iPadOS、tvOS、watchOSデバイスを簡単かつ強力なインターフェイスで管理でき、ニーズに合わせて拡張可能なApple製品の最高管理ソリューション。ゼロタッチのワークフローを使用してハードウェアを導入および構成し、管理アプリをインストールして設定を適用し、ポリシーを導入することで、デバイスを管理し続けることができます。
- Jamf Connect:クラウドIDプロバイダをMacやモバイルデバイスに活用し、許可された人だけがハードウェアを使用したり、ビジネスリソースにアクセスできるようにします。強力なIDベースのワークフローは、有効な認証情報を持ち、脆弱性がないことが確認されたデバイスを使用するユーザが、保護されたリソースへのアクセスを許可されることを保証します。各リクエストには暗号化されたマイクロトンネルを使用し、使用されるネットワーク接続に関係なく、リモート接続でのMitMのようなネットワークベースの攻撃を防止します。
- Jamf Protect:セキュリティベースラインによりエンドポイントセキュリティを拡張し、エンドポイントがアクティブに監視され、未知の脅威をセキュリティチームにアラートすることでインシデント対応ワークフローを開始する一方で、OSの一般的な脆弱性や暴露(CVE)のような既知のリスクを管理し、デバイスフリート全体で検出時に直ちに緩和します。お好みのSIEMソリューションと統合してロギングデータを一元管理し、安全なAPIを介してデバイスの遠隔測定データを管理ソリューションやアイデンティティソリューションと共有し、最新の脅威インテリジェンスに基づく高度な自動化ワークフローや機械学習による改善を可能にすることで、インフラストラクチャのセキュリティを拡張します。
- Jamf Compliance Editor:macOSセキュリティコンプライアンスプロジェクト(mSCP)に基づき、サポートされているグローバルガバナンス基準やフレームワークに沿った特定のコンプライアンス要件に基づくセキュリティガイダンスを生成し、組織独自のニーズに合わせてカスタマイズできます。よりきめ細かなアプローチが必要な場合は、導入されたい構成設定を選択したり、設定したいセキュリティレベルをカスタム指定したりするだけで、自動的にアセットを作成し、Jamf MDMインスタンスにアップロードし、デバイスフリート全体に導入できるようにします。
- Jamf Safe Internet:クラス最高レベルのネットワーク脅威対策と包括的なコンテンツフィルタリングソリューションであり、エンタープライズデバイスを対象とするJamf Protectの主要機能です。教育機関向けに、Jamf Safe Internetは、Jamf Schoolと同様に、ゼロデイフィッシング脅威に対するきめ細かな保護、危険なコンテンツのブロック、プライバシー保護をエンタープライズ向けと同レベルで提供し、教育関係者、IT、スタッフ向けに、フラッグシップサービスと同様の教育に特化した管理、セキュリティを提供します。教育用に最適化された両ソリューションは統合されると、シンプルで直感的なコンソールから、デバイスの使用状況に関する詳細な洞察を提供します。
- Jamf Executive Threat Protection:現代の脅威環境における最新の進化に対する保護は、Jamfエンドポイントセキュリティソリューションの中核を成すものです。しかし、高度な検出および修復機能を利用してセキュリティインシデントをリモートで検出することで、セキュリティチームはインシデントに対応するために必要なツールを利用できます。さらに、インシデントレスポンスチームは、脅威をより深く掘り下げ、どこからでもモバイルフリートに対する可視性を拡大し、包括的な調査を支援することができます。豊富なモバイルエンドポイントテレメトリデータをリモートで収集できるため、調査時間はわずか数分に短縮されます。これは、企業や政府ベースのセクターに最適な機能セットを拡張する統合機能のおかげです。
セキュリティソリューションとコンプライアンスソリューションの間に互換性がないために、丸い穴に四角い釘をはめ込もうとしているような気分になっていませんか。
Jamf Trusted Accessは、適切なバランスを取るためにゼロから設計された管理、アイデンティティ、セキュリティソリューションを提供します。
Jamfブログの購読
市場トレンドやAppleの最新情報、Jamfのニュースなどをお届けします。
当社がお客様の情報をどのように収集、利用、移転、および保存するかに関しては、プライバシーポリシーをご参照ください。