チートシート: セキュリティコンプライアンス基準に対応する
2022年9月15日
0 分で読めますセキュリティとコンプライアンスは、あらゆる組織で大きな役割を担っています。ビジネスは顧客の信頼と忠誠なくしては成り立ちません。創業間もない新興企業から多国籍企業に至るまで、多くの企業にとって信頼を勝ち取るには、まず最初にセキュリティ管理が正しく行われていることを証明する必要があります。
ISO 27001、PCI-DSS、SOC 2 などの国際的に認知されたコンプライアンス規格は、ほとんどの企業や組織が取得を求める業界標準の目標となっています。このチートシートは、コンプライアンスプログラムの開始に関するガイダンスと、特定のコンプライアンス基準に合致するコントロールに関する情報を提供しています。
以下のステップは、独自のコンプライアンスプログラムを確立するためのガイドとしてご利用ください。また、Snyk が SOC 2、ISO、および PCI のコンプライアンス要件を満たすためのコントロールの確立を支援している方法については、上記のリンク先のチートシートを参照してください。
1) 要件を明確にする
セキュリティコンプライアンスは、確立された規制や企業基準を満たすために、組織が満たさなければならない要件を決定することから始まります。この要件リストとその導入方法は、所属する業界、組織の優先順位、収集するデータの種類、保存方法によって異なります。セキュリティコンプライアンスに関しては、万能なアプローチは存在しません。複数のフレームワークがあるのはそのためです。
セキュリティのフレームワークに厳密な公式はありませんが、データセキュリティの 3 つの主要属性の機密性 (C)、完全性 (I)、可用性 (A) から始めるのが最善です。「CIA の 3 要素」と呼ばれるこの 3 つの属性は、データセキュリティの実践でコンプライアンス基準を満たすための鍵になります。一般的なセキュリティフレームワークは、機密性、完全性、可用性の基準を満たすために、多くの場合、いくつかの同じ要件を共有しています。たとえば、SOC2 および PCI コンプライアンスの両方で、データに対するアクセス制限の問題が取り上げられています。
2) ギャップ分析を実施する
具体的な要件が判明し、目指すべきセキュリティフレームワークが決まったなら、次はギャップ分析を実施します。ギャップ分析とは、組織のセキュリティプログラムの現状と目指すべき姿とを比較評価することです。ギャップコンプライアンス分析では、既存のアセット、手順、ポリシーを満たすべきセキュリティ要件やそのために構築するフレームワークと照らし合わせて測定します。これにより、すでに完了したステップと、これから確立する必要のあるステップを判断できるようになります。
ギャップ分析は、既存の脆弱性の検出とセキュリティ管理について規定するすべてのアセット、ツール、プロセス、およびポリシーを特定することから始めます。そして、この情報をもとに、架空のセキュリティインシデントに組織がどのように対応するかを評価します。この情報は、正確なリスク評価を行い、組織の現在のセキュリティプログラムにおけるギャップを特定するのに役立ちます。この基準値は、新しいコンプライアンス基準を施行し、評価するための基準点として機能します。
3) コントロールを設定する
コントロールとは、一連のコンプライアンス要件を満たすために使用する特定の手順や手続きのことをいいます。個人情報へのアクセス制限など、多くの一般的なコントロールは、主要なセキュリティフレームワークで共有されています。重要なことは、1 つのツールやポリシーで組織のすべてのコントロールのニーズを満たすことはできないということです。コントロールの問題を解決するために複数のツールやポリシーが求められる場合があります。
要件を決定し、ギャップ分析を完了したら、必要な領域をカバーするためのコントロールの定義を開始できます。幸いなことに、満たすべきコンプライアンス要件に対して、要件を満たすコントロールに対応するリソースには事欠きません。私たちは Secure Controls Framework を推奨しています。
4) サイバーセキュリティ環境の変化に注意する
サイバーセキュリティやソフトウェア開発分野の多くの物事と同様に、コンプライアンス基準も常に進化しています。PCI セキュリティ基準協議会は、2022 年 3 月に PCI データセキュリティ基準の更新版を発表しました。米国公認会計士協会が定める SOC 2 の準拠基準は、最新版が 2018 年 1 月に改訂されています。また、国際標準化機構は、2022 年 2 月に ISO コンプライアンス基準の新しいリリースを発表しました (2022 年 10 月に更新予定)。
コンプライアンス基準が進化するにつれて、基準を満たすためのポリシーも進化させる必要があります。コンプライアンス計画は動的に更新する必要があることに注意してください。
Snyk でセキュリティとコンプライアンスの基準を確立する
このガイドはコンプライアンスプログラムを確立する点で、プロセスを簡素化するのに役立ちます。コンプライアンスについて監査を担当する人は、SDLC におけるリスクマネジメントの証拠を探します。Snyk の機能が SOC 2、ISO、および PCI のコンプライアンス要件を満たすためのコントロールの確立にどのように役立つかについての詳細は、今すぐコンプライアンスチートシートをダウンロードし、実際に Snyk を体験できるデモを予約してください。