コンプライアンス=セキュリティではないColumn

コンプライアンス出費を増やせばセキュリティが強化されると考えられがちだが、この誤解のせいで、セキュリティがおろそかになることもある。

2007年03月02日 07時00分 公開
[Khalid Kark,TechTarget]

 セキュリティ管理者はフラストレーションがたまっている。今やITコンプライアンス徹底の責任が加わるか、あるいは必ずしも意見が一致しない監査人の要求を満たすために時間と労力、予算を割くことを余儀なくされている。しかも経営陣は大概、コンプライアンスに費やす予算と出費を増やすことは、セキュリティ強化と同じことだと考えている。それが当てはまるケースもあるかもしれないが、この誤解によって、誤ったセキュリティ認識を持たれてしまう可能性もある。

コンプライアンスは必ずしもセキュリティ強化と結び付かない

 実際は、セキュリティが素晴らしくてもコンプライアンスが駄目な場合もあるし、コンプライアンスの監査には立派に合格してもセキュリティが貧弱ということもあり得る。コンプライアンスとセキュリティは同じものだという誤解のせいで、組織がコンプライアンスに過剰出費し、時にセキュリティがその犠牲になることもある。規制対象となる業界の多くは、セキュリティリソースの相当部分をコンプライアンス戦略に費やすようになった。実際、ある大企業ではセキュリティ予算を30%減らし、一部のセキュリティプロジェクトを延期した。サーベンス・オクスリー法(SOX法)順守の取り組みに細部まで念を入れるため、リソースを割り振る必要があったからだ。

 コンプライアンスがセキュリティ強化に結び付かないもう1つの最たる例は、米政府機関による米連邦情報セキュリティ管理法(FISMA)順守態勢に見ることができる。格付け評価が真に情報セキュリティを反映しているというのなら、2005年にFISMAコンプライアンスでA+を獲得した環境保護局は、国防総省(2005年はF評価)よりずっとシステムのセキュリティが優れていることになる。しかし実際は、国防総省のシステムはほかの省庁に比べてはるかに厳格なセキュリティ態勢を確立・堅持している。FISMAの評価が芳しくなかったのは、システムは統一されていないものの、すべてFISMAの条件に従って管理していることを国防総省がうまく示せなかったためだ。

ITmedia マーケティング新着記事

news131.jpg

メッシやベリンガム、ヴィルツも登場 アディダスが世界で展開する豪華過ぎるサッカー推しキャンペーンの中身
Adidasが夏のサッカーシーズンに向けて新キャンペーンを世界各地で展開する。デビッド・...

news058.jpg

Web広告施策に課題を感じている企業は9割以上――リンクアンドパートナーズ調査
企業のWeb広告施策を推進している担当者約500人を対象に、課題と今後の取り組みについて...

news183.jpg

TikTokマーケティングの最適解へ スパイスボックスが縦型動画クリエイター集団M2DKと業務提携
スパイスボックスが縦型動画クリエイター集団であるM2DKと業務提携。生活者に向けて訴求...