タグ別アーカイブ: コンプライアンス

継続的な保証とコンプライアンス自動化はなぜ必要なのか

コメントをどうぞ

2025年2月11日
情報セキュリティ大学院大学
CSAジャパン クラウドセキュリティ自動化WGメンバー
対馬 亜矢子

本ブログは、CSA本部のブログを著者の許可を得て翻訳したものです。本ブログの内容とCSA本部のブログとに相違があった場合には、CSA本部のブログの内容が優先されます。

継続的な保証とコンプライアンス自動化はなぜ必要なのか

2024年10月15日
Daniele Catteddu, Chief Technology Officer, CSA

私たちの業界では「信頼」について多くのことが語られますが、信頼は実際には目的を達成するための手段にすぎません。組織にとっての「目的」は、組織のミッションを達成することです。組織のミッションを達成するためには、組織内外の関係者との健全な交流が必要です。したがって、この文脈における信頼とは、あらゆる取引や関係が安全を持つのに値するものであるという信頼性を確立し、信用を築くことを意味します
信頼性と信用は、誰か/何かをどれだけ信頼できるかを測る尺度である保証につながります。これにより私たちは、ある主張が述べられたとおりに展開するだろうという一定の保証を感じるのです。

信頼、保証、ガバナンス、リスク

保証が信頼の代用品であるとすると、次に保証をどのように定義し、測定するかが問題となります。ある事象がその通りに進む確率を、私たちはどのように定義し、定量化/定性化するのでしょうか。
そこで、ガバナンスとリスクマネジメントの出番となります。ガバナンスとリスクマネジメントは、原則、ポリシー、手順、管理策を定め、下記に対する組織体制を確実にします。

  • ミッション目標の達成
  • リスクの許容範囲内への抑制
  • 不確実で変化する環境における、法律、規制、標準、ポリシー遵守の継続

組織におけるガバナンスとリスクマネジメントの枠組みは、ポリシーと管理策を設計し、実装し、施行し、モニターするために使用される仕組みであるはずです。また、データを収集し、分類し、分析し、評価し、それに基づいて行動することで、変化する環境の中で長期にわたり正しい方向性が設定され維持されることを確実にするものでもあります。
そこで質問に戻りましょう:私たちは保証をどのように定義しますか?そして、それをどのように測定しますか?保証は信頼を構成する要素であり、その伝達手段です。誰かあるいは何かが提供できる保証が多ければ多いほど、その相手はより信頼できるということになります。サイバー空間における保証は、データ主導で、エビデンスに基づき、ゼロトラスト原則に従うべきです。サイバー空間における保証とは、組織が運営上のリスクを管理しながら、ガバナンスをいかに適切に識別し、設計し、構築し、実装し、監視し、変更し、改善しているかを、評価・測定・伝達・報告した結果なのです

サイバー空間における保証の測定

サイバー空間における保証の測定とは、ある前提条件において、適切なガバナンスのアクションがどの程度機能しているかを定性化/定量化することです。前述したように、ガバナンスの主要なツール/アクションはポリシーと管理策です。ポリシーとは、組織の運営を導くルールです。管理策とは、内外の世界との相互作用において、周囲の状況が期待されたとおりにふるまうことを確実にするために導入される尺度です。
これを信頼に戻すと、私たちは組織、サービスなどの信頼度を示すために「サイバー空間における保証」を使い、そのレベルを測るために「ポリシーと管理策のパフォーマンス」を使うわけです。

管理策のパフォーマンス

管理策のパフォーマンスとは、ある管理策が適用され運用される状況において、その管理策がどのように機能しているかを示すものです。個々の管理策の実績は、システム(ドメイン)およびサブシステムに集約され、統制システム全体のパフォーマンスを示します。統制システムとは、ガバナンスとリスクマネジメント戦略の実施結果です。
「良好な管理策」と「良好なパフォーマンス」を判断するためのパラメータは、リスクプロファイルに応じたユーザーの主観に基づきます。これらのパラメータは、標準、ベストプラクティス、ベンチマーク、法的・規制的要件によっても左右されます。
良し悪しのパラメータが何であろうと、下記を確実にするため、管理策のパフォーマンスはモニターされる必要があります

  • モニタリングしているものは、目的やスコープに関連がある
  • ロギングおよびモニタリング中に生成されたデータは、信頼でき、正確で、完全で、機密性がある
  • パフォーマンスは、目標パラメータ(通常、ポリシー、メトリクス、ベンチマークとして表される)の範囲内にある

どの管理策が必要か?

各組織が必要十分な保証を得るために導入すべき統制システムは、多くの要因によって異なります。これらの要因には、事業ニーズ、リスクプロファイル、対象市場、対象ユーザー、法規制要件などが含まれます。
規制、標準、ベストプラクティスは管理策の主要な情報源であり、特定の管理策に関する統合され標準化された定義を提供します。例えば、CSA Cloud Controls Matrix はクラウドセキュリティのための標準化された管理策フレームワークです。
一般には、適用する管理策の数が多ければ多いほど、また適用可能な範囲内で管理策が厳格であればあるほど、組織/サービス/取引/相互作用はより多くの保証を提供(すると主張)し、信頼できることに(潜在的に)なります。言い換えれば、統制範囲(誰かが適用する管理策の数)が高ければ高いほど、提供(主張)される保証のレベルも高くなります
例えばクラウドサービスではCCM v4 Lite、CCM v4、CCM v4 plus addendaのいずれかを、管理システムの基盤として使用することができます。CCM v4 plus addendaは管理策の数が最も多く、要求事項のカバー率も高くなります。したがってCCM v4 plus addendaは、より高いレベルの保証を提供します。

管理策をどう評価するか:統制のモニタリングと監査

管理策が望ましい効果をもたらしているかを判断するためには、証拠データを収集し、監視し、分析し、評価し、テストし、監査する必要があります。これは通常、モニタリング、評価、監査機能を通じて行われます。
統制のモニタリングは、組織がガバナンスとリスクマネジメント戦略の結果として導入することを決定した相互作用・取引・管理策を、可視化できるようにします。
統制の監査は、モニタリング中に収集されたデータ/情報が適切で、信頼でき、タイムリーで、完全で、正確であることと、パフォーマンスが期待される目標の範囲内であることを確認します。
理想的には、統制のモニタリングと監査は継続的であるべきです。そこでは、適用される管理策の文脈に適した定期的な頻度で測定が行われます。
統制のモニタリングと監査の目的は、内部統制の有効性を監督、評価、報告することです。また、その目的は、内部統制の信頼性と、確立された標準、フレームワーク、または適用される法規制への準拠を保証することにあります。
モニタリングと監査の精巧さ、頻度、厳格さ、正確さ、完全性が高ければ高いほど、提供される保証のレベルも高くなります。自己評価/監査、第三者監査、継続的監査は、統制評価の高度さ、頻度、厳格さ、正確さ、完全性の異なるレベルの一例です。

コンプライアンスと保証の関係

コンプライアンスの概念は、保証の概念に直接関連しています。コンプライアンスとは、内部ポリシー、適用される法律や規制、業界固有の行動規範、標準、ベストプラクティスから派生する要件を遵守することです。
適用される要件に従うことで、組織は以下のことが可能になります。

  • 社内の方針や倫理規定を満たす
  • 市場で安全に営業する
  • 競争上の優位性を得る

組織が適用される法規制を遵守しない場合、以下の対象になりえます。

  • 罰金
  • 罰則
  • 評判の失墜
  • 特定市場における事業の損失(欧州AI法その他多くの法律を参照)

私たちが管理策を用いるのは、ガバナンスポリシーが正しく実施され、事業環境のルール(法律、規制、行動規範、標準)が満たされていることを確認するためです

保証とコンプライアンスの課題

今日の規制に関する風景は、指数関数的に拡大しています。地域化、プライバシー重視、業界毎の縦割り(金融サービス、ヘルスケア、公共部門などを含む)が進み、フレームワークが増え続けています。このような法規制の要求の増大は、規制される側にとって大きな負担となっています。
コンプライアンス・フレームワークと、それを支える規制当局や第三者監査人の監査・評価活動は、大部分が手作業で行われ、人為的な判断ミスが発生しやすく、標準化が進んでいないために自動化が困難です。最近の調査によると、規制関連コストは企業の賃金総額の平均1.34%を占めています。
このような法律や規制の急増に伴い、組織にとって以下はますます困難になっています。

  • 原則ベースの法律や要件を、コンプライアンス要件を満たす定義された管理策に変換する
  • 膨大な要件を統合して、スケーラブルかつアジャイルで管理可能なガバナンスとリスクの枠組みを定義する
  • 複数の関係者が関与する複雑なサプライチェーンのコンプライアンスと保証を維持する
  • 保証とコンプライアンスの主張を裏付ける良い証拠とは何かを確立する
  • 保証とコンプライアンスのコストを許容範囲内に維持する
  • コンプライアンスや信頼の欠如のリスクを許容可能なレベルに維持する
  • 提供/要求されるサービスの重要度に見合った保証レベルを提供する

継続的な保証とコンプライアンス自動化で課題に対処する

規制対象となる事業者がグローバルな規制を効率的かつ正確に遵守しつながら事業を拡大していくためには、コンプライアンス活動の自動化を可能にするオープンな標準とツールが必要です。また、提供される保証のレベルは提供されるサービスの重要性に比例するべきであるという考えに基づくと、より成熟した保証へのアプローチを可能にする標準とツールが必要とされています。これは、顧客のリスク選好度と一致したものであるべきです。
保証に対する業界のアプローチの近代化に必要な要素は以下の通りです。

  • 共通の管理策言語:内部および外部の要件を満たすことができる、共通かつ標準化された言語で表現された管理策のカタログ
  • フレームワーク間のマッピング:異なるフレームワークの管理策間の関係と、それらがどのように要件を満たすかをマッピングし、理解するための体系
  • 機械可読形式の管理策:自動化を可能にするための、機械可読言語で表現された管理策
  • メトリックス:管理策の設計と実装の有効性や効率が、標準化されたメトリックス(測定基準)に基づき測定され、標準化された手法で記述されること

業界のコンプライアンスへのアプローチを近代化するために必要な要素は、以下の通りです(この後で詳しく説明します)。

  • 規制の枠組みの解釈 (Interpret)
  • これら枠組みの準拠の測定 (Measure)
  •  標準化された評価・監査活動 (Access)

解釈する (Interpret)

機械学習と業界標準の管理策カタログ(例:CSA CCMやNIST 800-53)の活用により、グローバルな規制を自動化された方法で分析し、機械可読化することができます。先行事例として、NIST 800-53 と FedRAMP 管理策カタログには機械可読フォーマットが存在します。これらの機械可読フォーマットは、規制要件の分析と解釈に要する時間をかなり削減します。
規制対象事業者は、これらの機械可読形式を既存のGRC管理システムに取り込み、自社の管理策カタログにマッピングしたり、新たな規制への適合状況を確認したりすることができます。
これを実行するために必要なツールは、様々な組織内に何らかの形で存在しており、急速に進化することが期待されています。この種のツールがより広範なコミュニティに開放されることで、規制やフレームワークの機械可読フォーマットを一元的なリポジトリで利用できるようになるでしょう。

測定する (Measure)

諸規制が明確に解釈され、業界標準の管理策マッピングに当てはめられると、管理策の有効性を判断するための測定基準を開発することができるようになります。CSAやEUのMedinaプロジェクトが作成した既存のメトリックス・カタログは、この取り組みのベースとして役立つでしょう。
より多くの規制が分析され、機械可読形式に変換されるにつれて、私たちは管理策のカタログを拡張し、新しい管理策をサポートするメトリックスを開発することができるようになります。

評価する (Assess)

フレームワーク全体を、オープンかつ拡張可能で、機械可読可能なデータフォーマットに合わせることで、規制当局や認証機関と規制対象事業者の間で、上記データを自由に交換できるようになります。
NISTの OSCALフレームワークは、前途有望な方法を提供します。メトリックスを定義し、OSCAL形式による評価パッケージのプロトタイプを作成するために、業界で著しい努力が払われています。この作業は、他の重要な規制やフレームワークに対応できるよう拡張されるでしょう。

継続的な保証とコンプライアンス自動化に向けた主要課題

継続的な保証とコンプライアンス自動化のビジネスケースは、リスクの定量化とマネジメントを中心に展開されます。(アセットとアイデンティティの把握、リスクの特定、管理策の実施、モニタリング、監査などの)保証とコンプライアンスのアプローチが十分に体系化されているなら、組織はリスク定量化のための適切なデータを収集することができます。
サイバーリスクは、組織の総リスクのかなりの比重を占めます。継続的な保証とコンプライアンス自動化により、リスクの測定と定量化が正確に行えるようになり、組織のミッションとビジョンに直接的・間接的な影響を与えるでしょう。
ガバナンスの観点では、リスクの正確な定量化は組織に以下をもたらします。

  • リソースを効果的かつ効率的に配分する
  • リスクマネジメントのアプローチと文化を成熟させる
  • ポリシーを効果的かつ効率的に策定し、実施する
  • 説明責任の戦略と体制を成熟させる
  • ベースライン、社内標準、プロセス、手順を成熟させる
  • 統制のフレームワークを成熟させる
  • イノベーションを効果的かつ効率的に管理する
  • コンプライアンスを効果的かつ効率的に管理する

事業運営の観点では、リスクの正確な定量化は組織に以下をもたらします。

  • リソースを効果的かつ効率的に配分する
  • デザイン・アプローチを用いた継続的なリスク管理を開発し、実施する(開発、運用、配信等において)
  • 社内標準、ベースライン、プロセス、手順を成熟させる
  • 統制のフレームワークを成熟させる
  • 変更管理の仕組みを成熟させる
  • 説明可能なマネジメントシステムを成熟させる
  • ゼロトラスト・アプローチを導入する

この重要なトピックについて、今後も続報をお楽しみに。

コンプライアンス自動化革命: 真の変革の時

1件のフィードバック

2025年1月31日
CSAジャパン クラウドセキュリティ自動化WG 諸角昌宏

本ブログは、CSA本部のブログを著者の許可を得て翻訳したものです。本ブログの内容とCSA本部のブログとに相違があった場合には、CSA本部のブログの内容が優先されます。

コンプライアンス自動化革命:真の変革の時

2025年01月28日
Jim Reavis, Co-founder and Chief Executive Officer, CSA

最近、世界中のセキュリティ・リーダーと話をする中で、1つのテーマが常に浮上します。それは、コンプライアンス要件に溺れている一方で、本当の意味でのセキュリティ向上を示すのに苦労しているということです。平均的な米国企業では、従業員の報酬総額の1.3~3.3パーセントをコンプライアンスに費やしている(Cato Institute)と聞きます。また、GRCユーザーの60%がいまだにスプレッドシートですべてを管理している(Coalfire Compliance Report 2023)と聞きます。これらを聞くと、何かを変えなければならないと思うはずです。
そのため、CSA が以前から取り組んでいた新しい取り組みを紹介できることを嬉しく思います:The Compliance Automation Revolution。しかし、その詳細を説明する前に、なぜ私たちにこの変革が必要なのか、その原動力となったある見解をお話しします。

限界点(ブレイキング・ポイント)はここだ

最近、あるワーキンググループの会合で、ある人が、彼らの組織は137の国のデータ・プライバシー法を遵守しなければならないと話していました。これは 、GDPRのような州、セクター別、地域別の要件を数える前の話です。ITコンプライアンス上の義務をすべてマッピングしたところ、膨大な作業の重複が見つかりましたが、それでもまだ、何らかの形で抜けが残っていました。このような状況は、皆さんの多くにも思い当たる節があるのではないでしょうか。
数字が物語っています。Healthcare Financial Management Associationの調査によると、コンプライアンス違反によるコストはコンプライアンスへの投資額の3倍に上り、組織は1件あたり平均505万ドルのデータ侵害コストに直面しています(IBM’s Cost of a Data Breach Report 2023)。一方、世界の監査サービス市場は、2024年には2,266億ドルに達します(Mordor Intelligence社)。私たちはこれまで以上に支出を増やしていますが、本当に安全なのでしょうか?

前進のための現実的な道筋

CSA では、現実的な問題を現実的な解決策で解決することを信条としています。業界リーダーや会員コミュニティとの広範な協力の結果、私たちはコンプライアンスを変革するための3つの重要な柱を特定しました。

  1. ビジネスに合わせて拡張できる自動化
  2. 重複した作業を排除する規制の調和
  3. 全員が足並みを揃えられるようにリアルタイムの情報交換

これは単なるフレームワークや要求事項のセットではありません。私たちは、コンプライアンスと保証への取り組み方を変革するための広範な連合体として、根本的に異なるものを構築しようとしています。

一緒に作り上げていくもの

私たちが何を提供するのかを明確にします。

  • 継続的なモニタリングアーキテクチャにより、問題をリアルタイムで検出
  • AIを活用した規制の分析により、複雑な要件を理解
  • 自動化された管理策のテストにより、手動によるオーバーヘッドを排除
  • マシン・ツー・マシンのコンプライアンス通信を可能にする標準

しかし、おそらく最も重要なことは、豊富な実世界のデータ分析を実施し、最もリスク低減に貢献するセキュリティ管理策を特定することです(そのリストは、皆さんが考えているよりも少ないかもしれません)。私たちは、長年の業界経験から、管理策の数が多ければ多いほどセキュリティが向上するとは限らないことを学んでいます。

技術的根拠

この革命のタイミングはこれ以上ないほど最適です。2030年までに世界中で572ゼタバイトに達するなど、データ作成の指数関数的な増加に企業が直面することが予測されています。2025年までに750億台のIoTデバイスが存在し、クラウド市場は2030年までに2兆4000億ドルに達すると予測されています。従来のコンプライアンスのアプローチでは、この成長に単純に追随できません。
だからこそ、私たちはこの取り組みにクラウドとAIの最新技術を活用します。そして、AIが私たちのソリューションの一部であると同時に、新たなコンプライアンス上の課題を生み出しているという皮肉な事実についても、私たちは十分に認識しています。検討しなければならないAIに関する規制、基準、フレームワークはすでに204件に達しています(Cloud Security Alliance AI Safety Initiative、2024年)。

行動を起こしましょう:革命に参加しましょう

私はこの業界に長くいるので、私たちが協力し合うことで真の変革が起こることを知っています。Compliance Automation Revolution は単なる CSA の取り組みではなく、この業界のすべての人に影響を与える課題に対する私たちの集団的な対応なのです。
トムソン・ロイターの「2023 Thomson Reuters Risk & Compliance Survey Report」によると、コンプライアンス・リスクへの対処を阻む要因のトップ3は、知識のある人材の不足、リソースの不足、企業文化の貧弱さでした。この方程式を変える必要があります。
段階的な改善の時代は終わりました。銀行を破綻させることなく、また私たちの意欲を失わせることなく、コンプライアンスが実際にセキュリティの改善を推進する未来を私たちと一緒に築きましょう。
私たちは2025年後半に「Compliance Automation Revolution」を正式に立ち上げる予定です。現在、この重要なイニシアチブの創設者になりたい先見性のある人材を募集しています。コンプライアンスの未来にどのように貢献できるか、ぜひお問い合わせください。結局のところ、最高の革命とは、私たちが共に築き上げるものなのです。

________________________________________
Jim Reavis
CEO, Cloud Security Alliance