世界中の企業が、ビジネスの中で法規制遵守がますます重要な要素になっていることを認識しています。以下の規制をはじめとする、数多くの法規制に対するコンプライアンスを確保するために、企業は多額の投資を迫られています。
- 連邦情報セキュリティマネジメント法(FISMA)
- サーベンス・オクスリー法(SOX)
- 医療保険の携行性と責任に関する法律(HIPAA)
- クレジットカード業界データセキュリティ基準(PCI DSS)
- EUの一般データ保護規則(GDPR)
- オーストラリアの2017年プライバシー改正(通告を要するデータ漏洩)法
- フィリピンの個人情報保護法(PDPA)
- など多数
コンプライアンスを理解する
コンプライアンスとは、一般に業界標準、政策、規則、法律などに適合することを意味します。中でも法規制遵守は、企業が関連する法律、政策、規制を遵守すること、さらには、コンプライアンス実現のための事業目標や必要手順を意味します。
不正を防止し、全体的なセキュリティを向上させるためのベストプラクティスを成文化することを目的とする規制は、ビジネスのさまざまな分野に及んでいます。その中で共通しているのは、IT環境の可視化と管理です。企業は、誰がどのアプリケーション、システム、データにアクセスでき、誰がアクセス権を持つべきなのか、そのアクセス権を使って何が行われているのかを把握する必要があります。さらに、多くの規制では、これらの疑問に関する企業ポリシーを実行するためのIT統制が求められます。
しかしながら、SailPointが2017年に実施した市場パルスサーベイによれば、「誰が何にアクセスできるか」を示す全社レポートを24時間以内に作成できると回答したのはわずか33%でした。
また、コンプライアンス違反のコストは膨大です。規制対象業界における情報漏洩は、規制対象外の業界における情報漏洩よりもはるかに多くのコストがかかるのが一般的です。これらの追加コストは、通知や法的措置、規制上の罰則や罰金などです。
550万ドル
コンプライアンス プログラムコスト
1,480万ドル
コンプライアンス違反 のコスト
出典:Ponemon Research
IDはセキュリティとコンプライアンスの基盤
セキュリティとコンプライアンスは、表裏一体の関係にあります。法律や規制への遵守は、規制産業に携わる企業にとって重要ですが、それは組織の機密性の高いアプリケーションやデータを保護するための推進力であるべきで、最終的な結果ではありません。強固なセキュリティプログラムをすでに導入している企業でも、コンプライアンスの取り組みを測定、監視、実証するために若干の調整とレポートメカニズムの更新が必要になる場合があります。
コンプライアンス要件への対応の必要性については、IT部門の誰もが反論できませんが、企業がこの2つの戦略の最優先事項として、ITリスクを効果的に管理する必要性を見失わないようにすることが重要です。正しく実施できれば、セキュリティとコンプライアンスは相乗効果を生み出し、機密性の高いデータを保護するために協力しあうことができます。
そのために、企業はアプリケーションセキュリティ対策の強化、データアクセス制御、アイデンティティ・アクセス管理、関連するITセキュリティのベストプラクティスを通じて、法規制遵守と全体的なITセキュリティ・リスク削減のための戦略にまとめて取り組む必要があります。これらの業務が自動化されて繰り返し実行可能となれば、リスクが低減するだけでなく、セキュリティと法規制遵守のコストも削減できます。
ITリーダーの目標はセキュリティとコンプライアンスのどちらなのか?
自社のコンプライアンスは実証可能か?
コンプライアンスの実現に貢献するアイデンティティ・ガバナンス
アイデンティティ・ガバナンスは、企業がコンプライアンス要件を積極的に満たし、実証するのに役立ちます。これは、予防的制御と探知的制御を強化し、情報資産を保護するために必要なインテリジェンスとビジネスインサイトを提供します。また、アイデンティティ・ガバナンスは「誰が何にアクセスできるか」を把握するために必要な透明性も提供するため、企業はセキュリティやコンプライアンスの潜在的なリスクと責任を軽減できます。
アイデンティティ管理は多く側面で自動化できるため、日常的なアクセス権申請、ID棚卸、その他レビューにかかる継続的なコストを削減可能です。これら重要プロセスの多くを自動化することで、ITチームはビジネスの別の側面に集中できます。監査役にコンプライアンスの証明を求められても、効果的なアイデンティティ・ガバナンスがあれば、企業はツールを使って監査レポートを実行してそれを渡すだけで済みます。また、このような情報があれば、適切な人が、適切なタイミングで、適切なデータにアクセスする方法が確立していることを示せます。
SailPointのオープンアイデンティティ・セキュリティプラットフォームは、企業が以下を行う上で役立ちます。
- コンプライアンスの証明を社内外の監査役に提供
- 不適切なアクセスやポリシー違反を予防的に検出し、失効させることでセキュリティを強化
- ビジネス、IT、監査/コンプライアンス・チーム間のコラボレーションを強化し、効果的なガバナンスを実現
- 新しいアクセス権を付与する前にアクセスポリシーを自動的に確認
- データセンター、クラウド、モバイルシステムのアクセス認証の一元化と集中管理
アイデンティティ・ガバナンスソリューションを導入することで、企業の機密データを保護し、同時に規制を遵守できます。これにより、企業は最終的には時間とリソースを節約し、安全かつ自信を持ってビジネスの推進に集中できます。
お問い合わせ
*必須フィールド