サイト内検索

|  詳細検索

【 ここから本文 】

• TOP
• >  Topics : ブログ／SNS／Wiki
• >  

ブログ／SNS／Wiki

ソーシャルブックマークに登録 ：
印刷用ページの表示

---

［シンガポール］ 【IDC Security Vision 2008】
IT業界の識者たちが語る「新時代の情報セキュリティ」

Web 2.0や内部起因リスク、コンプライアンスとセキュリティの関係に着目せよ

（2008年05月22日）

コンプライアンスとセキュリティの関係

　情報漏洩防止／データ保護に加え、政府や業界により義務づけられる法規制も、セキュリティ支出を増やす一因になる。「コンプライアンスはIT基盤とビジネス・プロセスに影響する。いずれの分野も、データ・リテンション、内部監査／報告、社内ポリシーの調整、およびリスクの判別とそのリスクをどれだけ軽減したかの達成度を測る管理の目標を必要とする」と、Lai氏は説明した。

　結果的に、情報セキュリティは各部門の責任者レベルの問題となり、IT部門の場合はCIOがITの運用／記録／情報のそれぞれのセキュリティをうまくコントロールして対応することになる、とLai氏。「コンプライアンスのためにセキュリティを強化する際には、職務分掌の問題を未解決のままにしてはならない。これを解決しておかないと、スーパーユーザーのアクセス権を持つアカウントを不必要に生み出してしまうからだ」

　ほかにも、カスタム・アプリケーション内のデータを十分セキュアにしてないとか、手作業のプロセスを適切に文書化し、使用しているITシステムに反映させられないといった落とし穴もある、と同氏は語った。
　「今はまだ社内より社外の脅威のほうが多いが、社内の脅威も急速に増えている。セキュリティ支出に対する経営陣の支持を得るには、最高セキュリティ責任者（CSO）がそれらリスクとビジネスの関連性を明確にし、コンプライアンスを通じたコスト節約などの投資を訴えていくことだ」（同氏）

「コンプライアンスが問題のすべてを解決するわけではない」

　「企業は、データの作成からアーカイビング、削除に至るまで、情報ライフサイクルのあらゆる段階でセキュリティを考えなければならない」と指摘したのは、IBMシンガポール法人のシニア・セキュリティ・コンサルタント、スクデフ・スィング（Sukhdev Singh）氏だ。Singh氏は、東南アジア諸国インターネット・セキュリティ・システム協会（Internet Security Systems Association of Southeast Asian Nations）のテクニカル・マネジャーも兼務している。

　「コンプライアンスは“ベストなセキュリティ”を保証するものではなく、“最低限必要なセキュリティ”のための対策でしかない。コンプライアンスですべての問題が解決すると考え、法令に従っただけの企業は、いつ被害に遭ってもおかしくない」とSingh氏は述べ、セキュリティ・プロジェクトを犠牲にしてまでコンプライアンス・プロジェクトを優先するのは間違いであり、割けるリソースが限られているならなおさらだと警告した。「ITリーダーは、経験豊かなベンダーを探しつつ、人材、プロセス、技術の3点からセキュリティを広い視野で考える必要がある」（Singh氏）

　セキュリティ・ベンダーの米国ArcSightのシンガポール法人でエンジニアリング担当バイスプレジデントを務めるソン・ハイ・ヤン（Song Hai Yan）氏も、「コンプライアンスのためのコンプライアンスでは意味がない」と同意する。Yan氏は、ITマネジャーに対し、「単にIT予算を守るのでなく、スケーラビリティに基づいてセキュリティ・ソリューションを選ぶこと」を勧めた。

---

---

▲ページの先頭へ戻る

---