規制・規格遵守

人工知能、仮想現実、キャッシュレス決済、モノのインターネット、そして他の多くの情報技術分野は日々成長しています。

彼らの成長と拡大に伴い、サイバーランドスケープに新しい脅威ベクトルと脆弱性が現れます。2022年のサイバーセキュリティトレンドに関する報告書で、世界経済フォーラムは「デジタル化が進み、新しい技術が導入されるにつれて、サイバーリスクは避けられず増加する」と述べました。彼らはまた、調査を通じて「公共および民間部門の利害関係者がより高いサイバー耐性を達成しようと決意しているにもかかわらず、その努力はしばしばさまざまな[…]規制の障壁によって妨げられている」と指摘しました。

規制要件の理解は、実際、企業にとって大きな障害となることがあります。特に、国際的に拡大を目指す企業にとっては重要です。次の記事では、サイバーセキュリティ規制へのアプローチ方法、最も一般的な規制、そしてそれらへの対処方法について概説します。

II. 規則と基準

2005年、国際電気通信連合は、14の主要な世界経済とほぼ30の産業にわたる国家レベルのサイバーセキュリティ施策に関する調査を実施しました。彼らは、将来の政策につながる可能性のある174以上の施策が活発に行われていると推定しました。今日、世界中の規制や標準の数に基づいて、世界中で実施されているサイバーセキュリティポリシーの最低数は数千に上ると考えられます。

ただし、規制と標準の違いを理解することが重要です。組織は、どちらか一方または両方に従う必要がある場合があります。サイバーセキュリティ規制は、組織が従わなければならない法的に拘束力のある規則（または規則のセット）です。これらの規制を遵守することは義務であり、遵守しない組織は、罰金や政府機関からの法的措置を受ける可能性があります。

一方で、サイバーセキュリティ標準とは、組織がサイバーセキュリティの姿勢を改善するために従うことができるガイドラインまたはベストプラクティスのセットです。これらの標準への準拠は任意ですが、それに従うことで、組織は顧客、パートナー、および規制当局にサイバーセキュリティの姿勢の一貫性を示すことができます。

要約すると、規制は法的に拘束力があり、法によって施行される一方で、標準はそうではありません。ただし、標準はより頻繁に更新されるため、標準に準拠することが組織の規制遵守を助ける場合があります。さらに、規制は通常より広範囲にわたるため、組織の業界に特化した標準に準拠することは、競合他社との差別化に役立つ可能性があります。

したがって、組織の活動によっては、特定の規格や規制に準拠する必要がある場合があります。しかし、現代のビジネスはすべて、データ保護とサイバーセキュリティを遵守する必要があると考えるのが妥当です。このため、私はヨーロッパの2つの規制と、世界中の企業で一般的に要求される2つの標準について要点をまとめました：一般データ保護規則（GDPR）、ネットワークおよび情報システム（NIS）指令、ISO 27k、そして国家標準技術研究所（NIST）。

規制と標準の理解

上記のすべてのポリシーに詳しくない場合は、そのうちの4つについて簡単に紹介します:

• GDPR（一般データ保護規則）：これは、個人データの保護と個人の個人データに関する権利を管理するEUの規則です。EU市民の個人データを処理するすべての者に適用され、所在地を問わず適用されます。つまり、ヨーロッパ市民の個人データを処理するすべての個人はGDPRを遵守する必要があります。GDPRの条項は、個人データを保護するために講じられる措置、データ保護責任者の任命、違反のプロセスと報告などを規定しています。
• NIS指令（ネットワークおよび情報システム指令）：これは、ヨーロッパ全体の重要インフラストラクチャと必須サービスに対するセキュリティベースラインを提供することに焦点を当てたEU指令です。この指令に従い、重要な業界（エネルギー、輸送、医療など）で活動するすべての企業とそのデジタルサービスプロバイダー（検索エンジンやクラウドサービスなど）は、適切なセキュリティ対策を実施することが求められます。さらに、この指令は、EU加盟国に対して、NIS指令と同等またはそれ以上の国家的サイバーセキュリティ戦略とインシデント対応計画を備えることを要求しています。これにより、すべてのEU加盟国は、NIS指令のすべてのテーマを最低限の基準としてカバーする規制を実施する必要がありますが、より広範であるべきです。
• サイバーセキュリティのためのISO 27000規格：ISO 27kとも呼ばれ、情報セキュリティ管理システム（ISMS）の枠組みを概説する国際標準です。企業の機密情報を安全に保つための体系的なアプローチを提供します。これには、機密データを保護するために組織が使用できるポリシーと手順のセット、リスク管理およびコンプライアンスのガイドラインが含まれます。
• NIST（アメリカ国立標準技術研究所）サイバーセキュリティフレームワーク：NISTは、サイバーセキュリティに関するさまざまな標準、ガイドライン、ベストプラクティスを発表するアメリカの政府機関です。NISTのサイバーセキュリティフレームワークは、リスクベースのアプローチでサイバーセキュリティを管理する方法を提供します。標準は、準拠するための5つの主要なアクション（識別、保護、検出、対応、回復）を詳細に説明することで構成されています。

GDPR、NIS指令、ISO 27k、NISTはすべてサイバーセキュリティとデータ保護に関係しています。それぞれ範囲や要件が異なる場合がありますが、そのうちの1つに取り組むことが、他の目標を達成するための重要なステップとなることがあります。例えば：

• ISO 27kとNISTを見てみると、両方の標準が広く採用されており、サイバーセキュリティのベストプラクティスとして認識されていることがわかります。しかし、ISO 27kはプロセスベースの標準で、企業の機密情報を管理するためのガイドラインを提供します。一方、NISTはリスクベースのアプローチに基づいており、サイバーセキュリティの脆弱性からのリスクを特定、管理、軽減することを目的としています。
• If we take the NIS Directive and GDPR, we can see that they provide guidance and requirements to improve cybersecurity posture. The two are, in fact, overlapping in some aspects. However, it must be noted that GDPR aims to protect personal data at all levels, while the NIS Directive aims to provide guidance on all aspects related to information security but only on an industry-specific scope.

To summarize: the scope, enforceability, and purpose of your cybersecurity policies can be defined after regulations and standards but you must be aware of the differences between them in order to understand which one best applies to you. Once you’ve figured that out, it is just a matter of implementing them correctly. In the next section, a few suggestions on this matter.”

ポリシーと規制の遵守をどのように管理していますか？ 課題と解決策

上記のポリシーを実施することは、法的要件や今後の監査のために必要になる場合があります。関連するポリシーに準拠するために、プロセスや構造を変更する必要があるかもしれません。しかし、その前に、これらの変更に備えるために取ることができる一般的なステップがいくつかあります。

• 在庫と資産管理: 組織は通常、自社の現行システム、プロセス、および手順を評価して、コンプライアンスのレベルを判断します。これには、既知の非準拠エリアや、現在のインフラストラクチャにおける既知のリスクや脆弱性の特定が含まれます。
• トレーニングとコミュニケーション: 組織内のすべての人が必要な変更を理解できるように、リソースを事前に準備することが重要です。監査やインフラのアップグレードは混乱を引き起こす可能性があり、従業員が新しいスキルを習得する必要がある場合もあります。これらの問題を認識することで、優先事項の設定や可能な解決策の計画にかかる時間を節約できます。
• サードパーティおよびベンダー管理: これは見過ごされがちな側面です。多くの基準や規制への準拠を確保するために、ベンダーの詳細で最新のリストが必要になる可能性があります。ポリシーが直接サードパーティに言及していなくても、外部サービスプロバイダーとの契約条件に間接的に変更を求める可能性があります。
• ギャップ分析: 規制や基準への適合性を確認する場合、重要な修正が必要な領域を特定するためにギャップ分析を実施する準備をすることが重要です。これは適合性に向けた最初のステップであり、達成しようとしている適合性に関する具体的な知識を持つ外部コンサルタントによって実施されるのが最適です。

結論として、規制や基準への準拠は困難で費用がかかる場合があります。必要な社内能力がない場合、外部コンサルタントに依存する必要があるかもしれません。しかし、ポリシーと規制の違いを理解し、戦略を立てることで、プロセスをスムーズにし、どのタイミングで基準を改善する価値があり、どのタイミングで規制に準拠する必要があるかを判断するのに役立ちます。