コンプライアンス＝セキュリティではない：Column

コンプライアンス出費を増やせばセキュリティが強化されると考えられがちだが、この誤解のせいで、セキュリティがおろそかになることもある。

[Khalid Kark，TechTarget]

　セキュリティ管理者はフラストレーションがたまっている。今やITコンプライアンス徹底の責任が加わるか、あるいは必ずしも意見が一致しない監査人の要求を満たすために時間と労力、予算を割くことを余儀なくされている。しかも経営陣は大概、コンプライアンスに費やす予算と出費を増やすことは、セキュリティ強化と同じことだと考えている。それが当てはまるケースもあるかもしれないが、この誤解によって、誤ったセキュリティ認識を持たれてしまう可能性もある。

コンプライアンスは必ずしもセキュリティ強化と結び付かない

　実際は、セキュリティが素晴らしくてもコンプライアンスが駄目な場合もあるし、コンプライアンスの監査には立派に合格してもセキュリティが貧弱ということもあり得る。コンプライアンスとセキュリティは同じものだという誤解のせいで、組織がコンプライアンスに過剰出費し、時にセキュリティがその犠牲になることもある。規制対象となる業界の多くは、セキュリティリソースの相当部分をコンプライアンス戦略に費やすようになった。実際、ある大企業ではセキュリティ予算を30％減らし、一部のセキュリティプロジェクトを延期した。サーベンス・オクスリー法（SOX法）順守の取り組みに細部まで念を入れるため、リソースを割り振る必要があったからだ。

　コンプライアンスがセキュリティ強化に結び付かないもう1つの最たる例は、米政府機関による米連邦情報セキュリティ管理法（FISMA）順守態勢に見ることができる。格付け評価が真に情報セキュリティを反映しているというのなら、2005年にFISMAコンプライアンスでA+を獲得した環境保護局は、国防総省（2005年はF評価）よりずっとシステムのセキュリティが優れていることになる。しかし実際は、国防総省のシステムはほかの省庁に比べてはるかに厳格なセキュリティ態勢を確立・堅持している。FISMAの評価が芳しくなかったのは、システムは統一されていないものの、すべてFISMAの条件に従って管理していることを国防総省がうまく示せなかったためだ。