【 ここから本文 】
- TOP
- > Topics : コンプライアンス
- >
コンプライアンス
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
SECの前CSO、「情報セキュリティはITの問題ではない」と強調
(2006年04月07日)
米国証券取引委員会(SEC)は膨大な企業情報を扱う公的機関であり、情報セキュリティ対策はとりわけ重要な課題である。IDG News Serviceでは、2003年8月から1カ月前までSECの最高セキュリティ責任者(CSO)を務め、同機関のコンプライアンスとセキュリティ対策に取り組んだ実績を持つクリサン・ハーロッド氏にインタビューした。
──先月発表された下院の政府改革委員会のリポートでも、政府機関のセキュリティ対策は十分でないと評価されているが、政府機関のサイバー・セキュリティ対策はなぜ一向に改善されないのか。
ハーロッド氏:機関全体がサイバー・セキュリティに責任を持つのではなく、IT部門だけに責任を押し付けているからだ。情報の安全確保はITの問題ではない。
──SECなど一部の機関では対策が進んでいるように見えるが、その理由は。
ハーロッド氏:SECにはいくつか恵まれている点がある。まず、SECは小規模な機関であり、職員が約4,000人にすぎないこと。また、SECで運用している大規模なアプリケーションは18しかない。大規模な機関になると、FISMA(連邦情報セキュリティ管理法)の対象となる大規模なアプリケーションを何十も持っている。われわれは情報セキュリティをデータセンターの枠から外してをとらえるようにし、物理セキュリティを含む包括的なアプローチで対策に取り組んだ。
──政府機関や民間企業のコンプライアンス責任者にアドバイスを。
ハーロッド氏:政府機関も民間企業も、どのような規制を受けているかを包括的に理解する必要がある。そして規制対応は対症療法的にではなく、一貫した計画に基づいて進めるべきだ。
情報セキュリティの観点から言えば、例えば「アクセス管理プロセスに改善の余地はないか」といったように、プロセスを再検討することが最も重要だ。プロセス管理の改善策を講じれば、監査項目の半分はクリアできるだろう。
