コンプライアンスの達成
コンプライアンス (法令遵守) は複雑で避けては通れない問題になってきました。その内容は、規制要件 (連邦、州および地域)、企業方針、業界規格およびお客様からの期待に対する適合性にまで及びます。ですから、みなさんの部署でコンプライアンスが守られているかと尋ねられたら、簡潔に答えるのは難しいと思うかもしれません。
このコラムでは、「期待通りにポリシーが守られているか」というコンセプトにまとめて、コンプライアンスの多くの側面への対応について検証します。
社員が方針に従い、企業がコンプライアンスの規制を満たす手助けをすることは、業務を管理しやすいステップに分類すれば容易なことです。
1. | コンプライアンスの努力を集中して行う部分を判断する |
2. | コンプライアンスを検証する方法を使用する |
3. | コンプライアンスの管理を統一する |
4. | 階層的なアプローチによりコンプライアンスの方針を作成する |
5. | コンプライアンスのプロセスを自動化する決定を行う |
6. | コンプライアンスを有効にする技術を選択する |
コンプライアンスの努力を集中して行う部分を判断する
何がコンプライアンスの努力を推進するのでしょう? 規制する法規、企業方針、パートナー契約、業界規格、経費削減、効率性およびお客様からの期待はすべてコンプライアンスの強い推進力です。しかし、どこに努力が集中されるべきなのでしょうか?
ほとんどの企業にとって、コンプライアンス評価で中心になるのは、純利益に影響を与えるプロセスなはずです。この評価は、罰金、売上損失および必要以上の支出として、企業の負担となる不十分または足りないプロセスを特定するために行われる必要があります。その評価により、それぞれのコンプライアンスの推進力を満たすためのリスクに基づいた優先プランが整備されるべきです。
コンプライアンスを検証する方法を使用する
みなさんの企業がコンプライアンスを遵守していることを検証できるのは、コンプライアンス方法を選択する上で重要な部分です。みなさんは、業務プロセスが期待通りに確実に遂行されていることを監査の際に証明する必要があります。コインには裏表の 2 面があるのです。つまりコンプライアンスにも確保と検証という側面があります。
コンプライアンスの目的で技術の展開を考える場合、特に 2 種類の特徴について考慮してください。
1. | 技術は中央の制御コンソールから企業内に幅広く展開できるのでしょうか? |
2. | 技術の効果を検証するために、中央から報告が出せますか? |
例えば、大企業では CIO (最高情報責任者) は何千ものリソースを守る責任を担っています。許可の設定および暗号の展開はリソースの保護に役立ちますが、コンプライアンスを検証できません。CIO がインサイダー トレーディングを阻止したい場合、すべての買収に関するコンテンツに厳格なアクセス権限を定め、ほとんどの極秘データを暗号化することさえ可能です。しかし、監査役から買収のチームの一部の社員だけが関連文書を閲覧していることを確認したいという要求があった場合、監査役は暗号化された設定を望んでいません。CIO は、買収が行われている時期に買収のチームの社員だけが関連文書にアクセスしていることが確認できる報告を提出すればいいはずです。以下のような質問に対する回答を簡単に報告書に盛り込めるのは、アクセス ログだけです。
| • | 買収の期間に誰が保護されたコンテンツにアクセスしましたか? |
| • | それぞれの社員はコンテンツにアクセスする必要がありましたか? |
| • | コンテンツのセキュリティ グループの資格は変更されましたか? |
| • | 保存および伝送の間、関連のコンテンツはすべて保護されていましたか? |
| • | 買収に関するコンテンツで、企業の監視外の場所に送信されたものはありますか? |
これらの質問に答えるには、コンプライアンスの検証方法を整備する必要があります。
コンプライアンスの管理を整備する
コンプライアンスの法規の主な部分が新しく発表される度に、その対応のために新しいチームを組織する企業もあります。これは、倍の努力や矛盾したポリシーが作成される結果になったりする場合もあります。Sarbanes-Oxley、Gramm-Leach-Bliley および HIPAA はすべて、機密事項に対して制限されたアクセスを必要とします。企業は機密データを保護する方針を考えるために 3 チームも組織する必要はありません。
マイクロソフトは、ほかの企業と同じようなコンプライアンス問題を抱えています。マイクロソフトが直面している多くの規制要件への対応を簡素化するために、4 組の法規の要件が集約された一般的で高いレベルの IT 管理のセットを、「規制コンプライアンス計画のガイド」 (Regulatory Compliance Planning Guide) として開発しました。それぞれの IT 管理はテクノロジー ソリューションにマップされており、その実施が自動化されます。新たな法規が制定された場合、IT 管理に分類されて、以前のマップに追加することができます。特殊な管理には独自の新たなテクノロジー マップが必要です。このアプローチは、新しい法規により引き起こされる可能性のある混乱を最小限に抑える手助けをします。
コンプライアンスの管理を確立することにより、1 企業のコンプライアンス ポリシーの構築が容易になります。このように、コンプライアンスの新たな法規への対応は、数人の社員を一時的に割り当て、その必要性を判断し、必要な場合ひとつのポリシーが更新されるというシンプルな事柄なのです。
階層的なアプローチを使用してコンプライアンス ポリシーを構築する
大企業にとって、すべての部署の業務のやり方を示す企業方針の構築は面倒であるとしか言いようがありません。部署毎に処理されるデータと、部署毎の業務を深く理解する必要があります。さらに、部署の業務が変更された場合、企業方針の更新の必要性に気づかずに消滅する可能性があります。
業務の遂行における企業の位置を示す企業方針を持つことはより実用的なことです。その後、それぞれの部署では企業方針に沿っていて、コンプライアンスに関する部署独自のニーズに対応する部署の方針を作成することについて検討します。
例えば、企業方針により、すべての機密データの制限とアクセスの監視が定められている場合があります。その反対に、部署毎に担当している機密のデータ処理に関するポリシーを持っている場合があります。その場合、経理部は機密の財務データを処理するために独自のポリシーを持ち、営業部には顧客の機密データを処理するための独自のポリシーがあります。
コンプライアンス プロセスの自動化を決定する
ひとたび企業により望ましい企業方針の管理方法が理解され、手動のプロセスが整備されると、次に検討されるのは、これらのプロセスの自動化の方法であるはずです。
紙、電子メールのメッセージまたは乱雑なファイルおよびアプリケーションを用いた業務プロセスの実施はミスを引き起こす傾向があり、自動化は次の重要なステップです。多くの混乱や見落としなどが起こる可能性があります。さらに、監査には費用がかさみ、手動で行わなければならない場合は、骨の折れる仕事です。
企業に自動化の準備ができると、業務プロセスをくまなく管理するシステムを探すことになります。これらのシステムは優れた報告機能を備えている必要があります。例えば、新入社員が監督下で確実に適切なシステムに追加されていることを確認するために、ワーク フローに結びつけるプロセスを提供したい場合などです。展開されているすべてのコンプライアンス システムは動作の理由とその許可を与えた人物が誰なのかに答えられなければなりません。自動化されたセキュリティとワークフローは、それが実行されているかどうかを自動的に判断する方法がなければあまり役に立ちません。
コンプライアンスを有効にする技術を選択する
自動化が必要な業務プロセスを判断するために評価が行われると、次のステップは自動化のプロセスを支援するソリューションを見つけることです。下記に分類されたソリューション (詳細は Regulatory Compliance Planning Guide をご覧ください) は、一般に利用でき、コンプライアンスのニーズを自動化している企業を支援することができます。実際、マイクロソフトはそれぞれの分野にガイダンスおよび/またはソリューションを提供しています。
ID 管理のソリューション
種類と機能でリソースが特定され、業務の役割で社員が特定されると、コンプライアンスが非常に楽になります。ID 管理のソリューションではプロビジョニング、転勤および組織からの社員の解雇などの管理ができます。選ばれたシステムは企業のすべての正当なシステム ユーザーを特定する方法として、ほかのシステムすべてと連携するべきです。これは、業務プロセスに携わっている社員を明確に特定するために役立ちます。
管理ソリューションの変更
管理ソリューションの変更により、企業のリソースに対する変更を管理する正式な方法が提供されます。例えば、お客様の記録、支出の上限、業務プロセスまたはコンピュータの構成などが変更される場合はいつでも、監査のプロセスのために記録される提出、確認および許可のプロセスなどに対応します。このように、企業はリソースがどうしてその状態にあるのか判断できるのです。
文書管理のソリューション
文書管理のソリューションは文書のライフサイクルを管理するもので、変更の管理、アクセス管理、バージョニング、バックアップおよびポリシーの保持などの機能が含まれています。これらのソリューションは、企業の重要なお客様または財政上のデータが含まれている可能性のある文書へのアクセスを制限する SOX、HIPAA および GLBA の要件を達成するのに役立ちます。
危機管理のソリューション
優れた危機管理のソリューションは、企業がコンプライアンス プロジェクト展開の優先順位を定め、監視を行うのに役立ちます。企業方針の開発はそれが実際に実行された場合に価値があるものです。コンプライアンスの追跡調査は、企業に悪い影響を及ぼす危機を回避するための鍵となります。
業務プロセスの管理ソリューション
業務プロセスの管理ソリューション (BPM) のアプリケーションは徹底した透明性を提供し、ひとつ、またはそれ以上の組織における複数のアプリケーションと、社員が関連しているすべての複雑な複数のステップの情報の要求またはトランザクションを管理します。規制されたコンプライアンスに関しては、BPM はトランザクションのセキュリティ、信頼性の高いサービスと可用性、そして洗練されたサービス レベルの確保に役立ちます。
プロジェクト管理のソリューション
プロジェクト管理のソリューションにより、特定のプロジェクトの条件を満たすために役立つ幅広い活動のための知識、スキル、ツールおよび技術が適用されます。組織ではプロジェクトの実施、稼動の信頼性およびコンプライアンス プログラムの維持のためにプロジェクト管理ソリューションを使用しています。
ネットワークセキュリティのソリューション
ネットワーク セキュリティのソリューションにより、ファイアウォール、サーバー、クライアント、ルーター、スイッチおよびアクセス ポイントなど、組織のネットワークのすべてに及ぶセキュリティに対応する幅広い分野のソリューションが整備されます。多くの規制で必要とされているのは、組織が IT 環境に対して適切なセキュリティを提供するための手段を講じることです。なぜなら、ネットワーク セキュリティは情報セキュリティ全体にとって不可欠な要素であり、規制されたコンプライアンスのために重要なものであるからです。
ホスト管理のソリューション
ホスト管理のソリューションはサーバーおよびワークステーションのオペレーティング システムを管理します。ホスト管理は機密性、完全性および可用性などに分類された中心となるセキュリティ管理のすべての基礎になります。
悪意のあるソフトウェア防止のソリューション
悪意のあるソフトウェア防止のソリューションには、ルートキット検出ツールと同様に、ウイルス対策、スパイウェア対策およびスパム対策のソリューションが含まれています。悪意のあるソフトウェアの検出、監視および削除に役立つアプリケーションなしには、組織における企業の機密情報が侵害または破壊される危険性が増大します。
アプリケーションセキュリティのソリューション
アプリケーション セキュリティは優れた開発業務と特定のソフトウェアのセキュリティを組み合わせたもので、監査役が重要な業務システムを検証する際に重点を置く主要なアプリケーション管理が関わっています。
メッセージングおよびコラボレーションのソリューション
メッセージングおよびコラボレーションのプログラムは、コンプライアンスの目標を達成しようとしているチームに対して優れた生産性を提供し、組織全体の効率性が追加されます。コラボレーション アプリケーションは Microsoft® Office、インスタント メッセージ、オンラインのプレゼンテーション用ソフトウェアおよび P2P のプログラムなどの統合文書プログラムからポータルにまで及びます。
データの分類および保護ソリューション
データの分類および保護は、システム上または伝送中のデータがどのセキュリティ レベルに分類されるかに関連します。コンプライアンスでは、データの分類は重要です。それは、レベル毎に分類されたデータによりユーザーにデータの重要度、データの処理方法および取るべき防衛手段と処分の方法が示されるからです。
認証、承認およびアクセス管理のソリューション
この管理目的は、中心となるセキュリティの原則である機密性、完全性および可用性の要件を満たすために重要なものです。認証には通常ユーザー名およびパスワードが含まれますが、スマート カード、網膜スキャン、音声認識または指紋などの身元を示すための追加の方法を含むこともできます。承認は、ID の確認後、要求されたリソースにそのアクセスが許可されるかどうかの判断に重点を置いています。アクセスの許可または拒否は、クライアントのネットワーク アドレス、時刻または使用されているブラウザなどの幅広い基準によります。
トレーニングのソリューション
法規制の順守は、組織のセキュリティとコンプライアンスのトレーニングへの対応が必要です。通常、ほとんどの組織のセキュリティとコンプライアンス トレーニングのソリューションは変更された既存のトレーニング ソフトウェアのソリューションです。このトレーニングでは企業と部署のコンプライアンスが対象になります。
物理的なセキュリティソリューション
物理的なセキュリティ ソリューションは、組織のシステムとワークステーションの物理的なアクセスおよび管理を確保します。
脆弱性識別のソリューション
脆弱性識別のソリューションは組織の情報システムの脆弱性のテストに役立つツールを提供します。組織における定期的なコンピュータおよびサーバーの脆弱性に関する監視は、業務のアプリケーション ソフトウェアを実行するための管理されたプラットフォームが提供されるので特に重要です。侵害された環境は管理されないので、コンプライアンスに従った業務ソフトの実行には適さなくなります。
監視および報告のソリューション
監視および報告のソリューションは、システムに対する認証およびアクセスによるログの収集および監視をします。これらのソリューションはある規制に対するコンプライアンスをベースにした特定の情報収集、またはオペレーティング システムやソフトウェア パッケージに組み込まれた既存のログを使用するために設計されました。
障害復旧およびフェールオーバーソリューション
自然または人災による障害が起こった場合、できるだけ早く組織の情報システムを復旧させる必要があります。規制および基準の多くが障害復旧およびフェールオーバー ソリューションを必須にしているのは言うまでもありません。
インシデント管理および問題追跡のソリューション
インシデント管理および問題追跡のソリューションは、特定の業務プロセスを初めから終わりまで管理するカスタマイズされたシステムが使用されています。特に、いくつかの規制および基準では、組織でインシデント管理および問題追跡のソリューションを使用するように定めています。
結論
コンプライアンスを達成するためには、まず、コンプライアンスの努力をどこに重点的に置くか判断し、管理しやすいように要件を分類し、その管理のために IT 管理を展開します。次に、業務が重複しないようにコンプライアンスの努力を組み合わせ、企業のコンプライアンスの要件を満たす企業方針を定めます。その後、それぞれの部署で企業方針に沿っているポリシーを作成する必要があります。その後、IT 管理を実施するために手動のプロセスを作成し、最後にコンプライアンス用に設計された手動のプロセスをコンピュータで自動化するための機会を探します。
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。