コンプライアンスリスクの定義
コンプライアンス規制は、患者データ、財務データ、個人を特定できる情報(PII)など、消費者とその個人データを保護することを目的としています。企業は、データの保存やアクセス、個人情報の保護に関するコンプライアンス規制を遵守しなければ、違反による高額な罰金が課せられます。これらの規制は、顧客からPIIを適切な方法で管理する責任を組織に課しています。コンプライアンスリスクは、組織がどのようにセキュリティツールを導入し、データの完全性とプライバシーを保護するための方法を実行するかに潜んでいます。
コンプライアンスリスクとは?
組織は、インフラストラクチャー、コーディングルール、データベースストレージ戦略、アプリケーション手順を構築する際に、可能な限り最善の方法で保存データを保護する必要があります。データの完全性と保護に関する対策に精通していない小規模の組織では、効果的な保護手順の作成にサポートが必要です。コンプライアンスは、組織がどのようにデータを保存し、保護するかを決定するためのロードマップを作成するのに役立ちます。また、権限付与のルールを決定し、誰がデータにアクセスできるかを定義することもできます。
リスク因子は、貴重なデータを狙う脅威や悪質な行為者を定量化するために使用されます。コンプライアンスリスクとは、企業の現在のコンプライアンス状態に影響を与える要因のことです。リスクは、脅威者がインフラの防御を突破し、個人データを入手した場合の潜在的な損失を判断するために、数値や金銭的に定量化されることがよくあります。組織がコンプライアンスに違反した場合、多額の罰金に直面する可能性があります。このような罰金を回避するために、組織はリスクを評価し、HIPAA、PCI-DSS、SOX、GDPRなどのいくつかの規制基準に基づいてセキュリティ管理を適用しています。
コンプライアンスリスクの種類と管理
リスクは、データ保護における弱点を特定することで管理することができます。コンプライアンスリスクは、人為的なミス、セキュリティの設定ミス、アプリケーションロジックの見落としなどから発生する可能性があります。リスクが特定されると、管理者は保護ツール、ロジック、監視システムを使ってリスクを管理することができます。
一般的なコンプライアンスリスクには、以下のようなものがあります。
- ヒューマンエラー: フィッシングやソーシャルエンジニアリングは、あなたのデータを危険にさらす恐れがあります。この2つの脅威は、ヒューマンエラーを誘うことで成功します。従業員がフィッシング詐欺や一般的なソーシャルエンジニアリングの脅威について十分な訓練と教育を受けていない場合、組織にリスクが生じます。
- 監視システムの欠如: 監視システムは、いくつかのコンプライアンス規制で要求されています。管理者が進行中の脅威を特定するのに役立ち、データ侵害時にアラートを提供します。監視を行うことで、企業は情報漏えいの深刻度を軽減し、情報漏えい後のコンプライアンスリスクに関連する罰金を削減することができます。
- 不適切な保管: 機密性の高いデータは、暗号化された状態で、承認と認証のルールのもとで保管される必要があります。平文で公開されたデータは、データ侵害の可能性があり、コンプライアンス規則に違反します。
コンプライアンスリスクの評価(アセスメント)
コンプライアンス規制の違反や脅威要因に関連するリスクは、管理する前に評価する必要があります。リスク管理は、データを保護するためのツールや手順を定義するプロセスが主です。しかし、最初のステップは、コンプライアンス違反がないかどうか環境を評価することが必要です。リスク評価にはいくつかの最適解がありますが、その実施方法はビジネスや保存されているデータの種類によって異なることがよくあります。例えば、医療機関ではHIPAAの規定に従わなければならないため、HIPAAに特化した評価を実施する必要があります。
組織はまず監査を行うことでリスクを評価し、多くの場合、デジタルコンプライアンスリスクソリューションを活用します。インフラ、セキュリティ管理、災害復旧手順、アプリケーション、権限付与と認証管理、ストレージの場所と技術、クラウド環境の変数などは、監査で確認されるIT要素のほんの一部に過ぎません。インフラストラクチャーに関連するリソースとコンプライアンスのルールを定義することで、リスクの所在が明らかになります。
監査人は、組織のインフラや監査人の好みによって決定される様々なリスク評価のフレームワークを用いてレビューを実施します。フレームワークの目的は、リスクの優先順位付け、従業員や利害関係者との情報共有、是正措置やセキュリティ対策の展開に向けたロードマップを提供するための標準的なプロセスを適用することです。
評価によってリスクに優先順位をつけることで、監査人はリスクを適切なチームに割り当て、リスクを管理するために実施すべき適切な手順を決定することができるようになります。リスクを100%削減することはできませんが、徹底した評価とセキュリティ手順の導入により、リスクを大幅に低減することができます。また、リスク評価と管理は、コンプライアンス違反の件数を減らし、現行の規制要件に対する過失による罰金を回避するためにも必要になります。
コンプライアンス違反事例とリスク対策
コンプライアンスリスクの原因となるセキュリティ上の不手際はいくつかありますが、その多くは、ユーザーのデータ操作方法や攻撃者から保護するツールの可視化に関連しています。全てのコンプライアンス規制に通じる要件の1つは、ソフトウェアのパッチを適用し、常に最新の状態に保つことです。ベンダーが既知の脆弱性に対してアップデートをリリースした後、パッチが適用されていない状態を放置している管理者は、コンプライアンスに違反することになります。古いソフトウェアは、データ漏洩や悪用における脆弱性になります。数百万人のユーザー記録が盗まれたEquifaxのデータ流出は、古いソフトウェアが攻撃者にデータへのアクセスを許した一例です。
データアクセスの監査を怠ることも、コンプライアンスリスクとなります。例えば、クレジットカードの利用者がアカウントについて相談するためにカスタマーサービスに電話をかけた場合、そのデータを確認した担当者を追跡する必要があります。担当者が閲覧したデータは監査証跡として残され、不適切なアクセスを評価・検証できるようにしなければならなりません。監査証跡は、データ漏洩後のインシデントレスポンスにおける鑑識にも必要になります。