政府機関で、コンプライアンスとセキュリティを強化する

国民にサービスを提供するためには、官公庁や自治体が民間人の膨大な情報を取り扱い、管理することが必要です。これらのデータは、必要とする機関にとってもちろん貴重なものですが、詐欺やその他の悪意のある目的に使用する可能性のあるサイバー犯罪者にとっても魅力があります。

官公庁や自治体は、標的型攻撃やその他の悪意のある活動の地雷原を通過しながら、セキュリティを最重要視しなくてはなりません。データ、ユーザー、デバイスを効果的に保護するには、包括的なコンプライアンス戦略を実施することが必要です。日本であれば個人情報保護法、個人情報保護条例などが重大な要件になります。米国の政府機関であれば、HIPAA から FISMA、NIST SP 800-53 まで、さまざまな規制やセキュリティフレームワークがあり、IT 資産やデータをどのように保護しなければならないかという要件が設定されています。

Absolute のコンプライアンス・レポートでは、公共機関におけるサイバーセキュリティの取り組みを促進する、これらの規制やその他の業界標準について米国を例として考察しています。

セキュリティとコンプライアンス要件は密接に連携しています。各種規定では、セキュリティ保護が満たさなければならない全体的な基準値を定めています。政府機関では、ネットワーク外のデバイスの制御、リモートで働くスタッフとそのデータの保護、リスクの評価など、いくつかの課題が山積しています。アクセス制御、暗号化、エンドポイント管理は、政府機関がこれらの課題に対応するための重要な機能です。法規制や業界標準は、組織に対して、何に気をつけて何を保護する必要があるか、何が機密データとしてカウントされるか、そのデータとユーザーのデバイスを保護するために実装しなければならない管理レベルを示しています。

組織はどのような規制が適用されるかを理解し、その情報を支出や戦略の優先順位の決定に役立てなければなりません。組織によっては、複数の規制に対応する必要があり、対応が煩雑になる場合があります。継続的なコンプライアンス管理には、時折の点検だけでなく、エンドポイントや環境を常時監視して、悪用されたり正式な監査で発覚したりする前に問題を検出し修正することが必要です。コンプライアンス要件を理解することは、リスクを理解するために必要です。機密データを保護する場合、脅威の攻撃を受けるとデータ漏えいの可能性があるだけでなく、要求される基準に準拠した情報保護を行っていない場合、罰金などの処罰を受けることもあります。また、インシデントが発生した後になって初めて何が起こったかをさかのぼって調査する場合には、多額の費用が発生することもあります。

政府機関では、非常に多くのデバイスに機密データが存在するため、すべてのエンドポイントについて、資産インテリジェンス、自動エンドポイントハイジーン、継続的なコンプライアンス監視などの問題に焦点を当てる続ける必要があります。官公庁におけるコンプライアンスとサイバーセキュリティの融合について詳しくは、官公庁・自治体向けレポートを こちらからダウンロードしてください。コンプライアンスとサイバーセキュリティに関する一般的な見解と、組織がコンプライアンスに対してリスクベースのアプローチを取る方法については、メインレポート をダウンロードしてください。