効果的なコンプライアンスを実現するセキュリティとは

法規制のIT対象領域とセキュリティ

　もちろん、これらの法規制ではIT技術の導入を直接求めているわけではありませんが、IT技術は法規制のコンプライアンスに対応するために検討すべき項目になります。では、これらの法規制に対応するために導入可能なIT技術を整理してみましょう。

　図1は海外の主な規制を整理したものですが、「セキュリティ」のIT技術はすべての規制に対応しています。よって法規制への対応は、企業のビジネスプロセスに対する強力で効果的な「セキュリティ」が必要です。言い換えれば、不正や情報漏えいが起こらないようにするために、IT環境では「いつ」、「どこから」、「誰が」、「何のデータに」アクセスできるのか、アクセスしたのかを明確にする必要があります。これにより、責任の所在が明確になると同時に、何が起こったのかを正確に把握できることでビジネスプロセスが明確になり、説明責任の履行や企業の透明性を証明することができます。このように、IT技術によるセキュリティ管理は法令遵守の核であり基盤であると言うことができます。

図1：主な海外規制の対象領域

法令遵守のためのセキュリティ

　IT環境で各種規制を遵守するためにはさまざまな対象領域があります。図2はその対象領域を外側に、対象領域の安全確保に必要なセキュリティ基盤の要件を内側の円の中に配置してあります。この図からもわかるように、あらゆる法規制の遵守において、セキュリティ管理は心臓部として存在する要件となります。

図2：法規制を遵守するための対象領域とセキュリティ管理の要件

セキュリティ管理の要件

　外側にある対象領域の安全性を確保するためのセキュリティ管理の要件は内側の円にありますが、それぞれは以下のとおりです。

アイデンティティ管理

　ユーザが誰で、どのようなアクセス権が与えられているかを管理します。このなかのユーザプロファイルの管理には、ユーザ登録、ユーザ削除、セルフサービス、ユーザ配置の管理、委任機能などのサービスがあります。

プロビジョニング

　「プロビジョニング」とは、ユーザに適切なアカウントと企業リソースへのアクセス権の付与および解除をおこなう機能です。これにより、常に統制のとれたIT環境を保持することができ、継続性のあるコンプライアンス対応が可能となります。

アクセス管理

　アクセスポリシーに従ってユーザアクセスを強制／制御します。アクセスポリシーを実際のアクセス時に強制できなければ、アクセスポリシー自体に意味がなくなってしまいます。ユーザアクセスの制御は、規制対象となるIT環境のすべてで不正がおこなわれる可能性を排除するために実施されなければなりません。

監視および監査

　システムを運用し、効果的に監視、監査および制御することはコンプライアンスにとって不可欠です。セキュリティ管理に重要なプロセスの妥当性と有効性を確保し、ITのコンプライアンスを証明できるようにする必要があります。