本ブログは、CSA本部のブログを著者の許可を得て翻訳したものです。本ブログの内容とCSA本部のブログとに相違があった場合には、CSA本部のブログの内容が優先されます。

コンプライアンス自動化革命：真の変革の時

2025年01月28日
Jim Reavis, Co-founder and Chief Executive Officer, CSA

最近、世界中のセキュリティ・リーダーと話をする中で、1つのテーマが常に浮上します。それは、コンプライアンス要件に溺れている一方で、本当の意味でのセキュリティ向上を示すのに苦労しているということです。平均的な米国企業では、従業員の報酬総額の1.3～3.3パーセントをコンプライアンスに費やしている（Cato Institute）と聞きます。また、GRCユーザーの60％がいまだにスプレッドシートですべてを管理している（Coalfire Compliance Report 2023）と聞きます。これらを聞くと、何かを変えなければならないと思うはずです。
そのため、CSA が以前から取り組んでいた新しい取り組みを紹介できることを嬉しく思います：The Compliance Automation Revolution。しかし、その詳細を説明する前に、なぜ私たちにこの変革が必要なのか、その原動力となったある見解をお話しします。

限界点（ブレイキング・ポイント）はここだ

最近、あるワーキンググループの会合で、ある人が、彼らの組織は137の国のデータ・プライバシー法を遵守しなければならないと話していました。これは 、GDPRのような州、セクター別、地域別の要件を数える前の話です。ITコンプライアンス上の義務をすべてマッピングしたところ、膨大な作業の重複が見つかりましたが、それでもまだ、何らかの形で抜けが残っていました。このような状況は、皆さんの多くにも思い当たる節があるのではないでしょうか。
数字が物語っています。Healthcare Financial Management Associationの調査によると、コンプライアンス違反によるコストはコンプライアンスへの投資額の3倍に上り、組織は1件あたり平均505万ドルのデータ侵害コストに直面しています（IBM’s Cost of a Data Breach Report 2023）。一方、世界の監査サービス市場は、2024年には2,266億ドルに達します（Mordor Intelligence社）。私たちはこれまで以上に支出を増やしていますが、本当に安全なのでしょうか？

前進のための現実的な道筋

CSA では、現実的な問題を現実的な解決策で解決することを信条としています。業界リーダーや会員コミュニティとの広範な協力の結果、私たちはコンプライアンスを変革するための3つの重要な柱を特定しました。

1. ビジネスに合わせて拡張できる自動化
2. 重複した作業を排除する規制の調和
3. 全員が足並みを揃えられるようにリアルタイムの情報交換

これは単なるフレームワークや要求事項のセットではありません。私たちは、コンプライアンスと保証への取り組み方を変革するための広範な連合体として、根本的に異なるものを構築しようとしています。

一緒に作り上げていくもの

私たちが何を提供するのかを明確にします。

• 継続的なモニタリングアーキテクチャにより、問題をリアルタイムで検出
• AIを活用した規制の分析により、複雑な要件を理解
• 自動化された管理策のテストにより、手動によるオーバーヘッドを排除
• マシン・ツー・マシンのコンプライアンス通信を可能にする標準

しかし、おそらく最も重要なことは、豊富な実世界のデータ分析を実施し、最もリスク低減に貢献するセキュリティ管理策を特定することです（そのリストは、皆さんが考えているよりも少ないかもしれません）。私たちは、長年の業界経験から、管理策の数が多ければ多いほどセキュリティが向上するとは限らないことを学んでいます。

技術的根拠

この革命のタイミングはこれ以上ないほど最適です。2030年までに世界中で572ゼタバイトに達するなど、データ作成の指数関数的な増加に企業が直面することが予測されています。2025年までに750億台のIoTデバイスが存在し、クラウド市場は2030年までに2兆4000億ドルに達すると予測されています。従来のコンプライアンスのアプローチでは、この成長に単純に追随できません。
だからこそ、私たちはこの取り組みにクラウドとAIの最新技術を活用します。そして、AIが私たちのソリューションの一部であると同時に、新たなコンプライアンス上の課題を生み出しているという皮肉な事実についても、私たちは十分に認識しています。検討しなければならないAIに関する規制、基準、フレームワークはすでに204件に達しています（Cloud Security Alliance AI Safety Initiative、2024年）。

行動を起こしましょう：革命に参加しましょう

私はこの業界に長くいるので、私たちが協力し合うことで真の変革が起こることを知っています。Compliance Automation Revolution は単なる CSA の取り組みではなく、この業界のすべての人に影響を与える課題に対する私たちの集団的な対応なのです。
トムソン・ロイターの「2023 Thomson Reuters Risk & Compliance Survey Report」によると、コンプライアンス・リスクへの対処を阻む要因のトップ3は、知識のある人材の不足、リソースの不足、企業文化の貧弱さでした。この方程式を変える必要があります。
段階的な改善の時代は終わりました。銀行を破綻させることなく、また私たちの意欲を失わせることなく、コンプライアンスが実際にセキュリティの改善を推進する未来を私たちと一緒に築きましょう。
私たちは2025年後半に「Compliance Automation Revolution」を正式に立ち上げる予定です。現在、この重要なイニシアチブの創設者になりたい先見性のある人材を募集しています。コンプライアンスの未来にどのように貢献できるか、ぜひお問い合わせください。結局のところ、最高の革命とは、私たちが共に築き上げるものなのです。

________________________________________
Jim Reavis
CEO, Cloud Security Alliance