コンプライアンスリスクの定義
コンプライアンスリスクとは、業界の法律や規制に従わない場合に、組織が直面する法的、財務的、刑事的な危険性のことを指します。
規制とは、物事がどのように行われるべきかについての公式なルールです。多くの規制の目的は、人々や機密データを保護することにあります。組織は、データを安全に保持していることを確実にするために、ベストプラクティスとツールを設定する必要があります。そうしない場合、重い罰金、訴訟、あるいは刑事訴追に直面することがあります。
無料トライアル
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
コンプライアンスリスクとは?
ビジネスを運営することには本質的にリスクが伴います。法律や業界のルールに従わないあらゆるビジネス慣行は、コンプライアンスリスクを生じます。組織がコンプライアンスを満たしていない場合、潜在的な財務的、法的、その他の損失のリスクがあります。たとえば、組織がデータ規制に準拠していない場合、サイバー攻撃者がデータを盗んだときに罰金を科されたり、訴訟に直面したりする可能性があります。
インフラストラクチャを構築する際には、データの保護を最優先事項にすべきです。これは、コーディングルールの作成、データベースの開発、アプリケーション手続きの設定などすべて、データの安全性を念頭に置いて行うことを意味します。組織は通常、HIPAA、PCI-DSS、SOX、GDPRなどの規制基準に合わせてセキュリティコントロールを設定します。
データインテグリティに関するベストプラクティスは、データの安全性のためのロードマップを提供します。これには、誰がデータにアクセスできるかのようなルールも含まれます。ベストプラクティスに不慣れな小規模な組織は、専門家から指導を求めるべきです。
コンプライアンスリスクの種類と管理
リスクを限定する最良の方法は、弱点を見つけることです。人為的ミス、サーバーの誤設定、あるいはアプリケーションロジックの監視不足もコンプライアンスリスクです。一般的なコンプライアンスリスクを以下に示します。
- ヒューマンエラー: フィッシングやソーシャルエンジニアリングは、あなたのデータを危険にさらす恐れがあります。この2つの脅威は、ヒューマンエラーを誘うことで成功します。従業員がフィッシング詐欺や一般的なソーシャルエンジニアリングの脅威について十分な訓練と教育を受けていない場合、組織にリスクが生じます。
- 監視システムの欠如: 監視システムは、いくつかのコンプライアンス規制で要求されています。管理者が進行中の脅威を特定するのに役立ち、データ侵害時にアラートを提供します。監視を行うことで、企業は情報漏えいの深刻度を軽減し、情報漏えい後のコンプライアンスリスクに関連する罰金を削減することができます。
- 不適切な保管: 機密性の高いデータは、暗号化された状態で、承認と認証のルールのもとで保管される必要があります。平文で公開されたデータは、データ侵害の可能性があり、コンプライアンス規則に違反します。
- アクセス監査が行われていない: HIPAAなどの規制では、監査証跡に対して厳しい規則があります。誰かが機密データにアクセスするたびに、監査証跡に記録される必要があります。これらの監査証跡は、データ侵害の鑑識と調査に使用されます。
- 設定ミス: 単純な設定ミスが重大な情報漏えいにつながる可能性があります。セキュリティ管理の設定に誤りがあったり、データを保護するためのインフラが設定されていなかったりすると、コンプライアンス違反となり、多額の罰金を科せられる可能性があります。環境全体の構成は、本番環境に導入する前にテストする必要があります。
インテリジェントコンプライアンス
コンプライアンス維持のスマートな方法
コンプライアンスリスクの評価(アセスメント)
コンプライアンスリスク評価は、業界およびデータ特有のものです。例えば、医療機関はHIPAA規制に従わなければなりません。したがって、病院の評価は常にHIPAAルールを参照します。
組織はリスクを評価するために監査を使用します。しばしば、これらの監査はデジタルコンプライアンスリスクソリューションによって支援されます。監査は、組織のインフラを検査し、その中には以下が含まれます。
- セキュリティコントロール
- ディザスタリカバリプラン
- アプリケーション
- 認可と認証コントロール
- ストレージとクラウド環境
これらの監査は、組織がデータの保存および管理規則にどの程度従っているかを特定します。
リスク評価フレームワークとガイドラインは、監査人がビジネスの最もリスクの高い領域をレビューしてランキングする際に役立ちます。これらのガイドラインはまた、コンプライアンス問題を修正するためのロードマップを提供します。監査人は違反を減らす方法を推奨することもあります。
リスクを完全に排除することはできません。しかし、完全なリスク評価と、より良いセキュリティコントロールをともに行うことで、リスクを大幅に減らすことができます。
コンプライアンス違反事例とリスク対策
セキュリティの失策は、しばしばコンプライアンスリスクの原因となったり、寄与したりします。管理者は、ユーザーがデータをどのように扱っているか、また、ツールがデータをどのように保護しているかを見られない場合がよくあります。一般的なコンプライアンスリスクの事例を2つご紹介します。
- ソフトウェアを更新しない: サイバー攻撃者は、古いソフトウェアの脆弱性をしばしば悪用します。サーバーのオペレーティングシステムのアップデートがリリースされた後も未パッチのままの場合、組織はコンプライアンスを守っていないことになります。このリスクの例として、Equifaxのデータ侵害が挙げられます。攻撃者は古いソフトウェアを利用し何百万ものユーザーレコードを盗みました。
- データアクセスを監査しない: 顧客がクレジットカードアカウントについてカスタマーサービスに電話する場合、そのデータとやり取りする各代表者は追跡されるべきです。監査証跡により、データへのアクセスがチェックおよび評価されることを保証します。証跡は、データ侵害中および後のフォレンジック調査においても重要です。