セキュリティ標準を活用したコンプライアンス管理：4つのベストプラクティス

業界のセキュリティ標準を活用してセキュリティを強化する、コンプライアンス管理のためのベストプラクティス4項目を紹介する。

[Al Berg，TechTarget]

　情報セキュリティ標準は金融機関にとって、セキュリティ態勢強化のためのツールになり得る。ただし、適切に使えばの話だ。壁に絵を掛けるたびに金づちとくぎを発明・設計・制作する必要がないのと同じで、会社のセキュリティ標準をゼロから作る必要はない。しかし、基礎部品を使って金融機関としてのニーズを満たすには、多数の重要な選択をし、適切な手順を踏む必要がある。ここでは、業界のセキュリティ標準を最大限に活用するためのベストプラクティス4項目を紹介する。

利用者責任

　「標準的な」標準などというものは存在しない。どの標準を選べばよいか、そしてその選択の結果自分がどのような責任を負うことになるかを知ることが、コンプライアンス管理の第一歩だ。

　一部の業界や組織には、法令で定められた情報セキュリティ標準を満たすことが義務付けられている。金融業界はグラム・リーチ・ブライリー法（GLB法）を順守する必要がある。医療機関や健康保険会社、医療情報管理会社は医療保険の相互運用性と説明責任に関する法律（HIPAA法）に縛られる。さらに公開企業は、サーベンス・オクスリー法（SOX法）で、会計システムを詐欺や不正利用から守る責任が定められている。

　また、業界のベストプラクティスを標準としたセキュリティプログラムを導入したい金融機関のための自主基準も多数ある。以下に例を挙げる。

ISO 17799

　国際標準化機構（ISO）が管理するISO 17799は、情報セキュリティ標準の一般原則に最も近い。資格を持った外部の監査人による業務監査を受ければ、17799準拠企業として登録される。

Standard of Good Practice for Information Security

　「Standard of Good Practice for Information Security」（情報セキュリティのためのグッドプラクティス標準）は、セキュリティ強化に関心を持つ企業で作る世界組織Information Security Forum（ISF）が公表している。この文書は無料で入手できる。ISFは加盟社向けに、同標準に関連した幅広いツールやサービスを有料で提供している。

　どの標準を選ぶにしても（あるいは法令で順守が定められているどの標準にしても）、これらの文書化されたベストプラクティスから何が得られ、何が得られないかを理解しておくことが大切だ。例えば、情報へのアクセスは個別の認証情報で保護しなければならないとか、重要な情報は2要素認証で保護しなければならないといった一般原則は得られる。しかし、どの情報が重要で、どのような2要素認証を使えばいいのかは示されない。標準の意図はこうした疑問を生じさせることにあり、答えることを意図していない。

ポリシーと標準の関係

関連ホワイトペーパー

コンプライアンス | セキュリティポリシー | 経営