コンプライアンス違反のコストは、コンプライアンス コストの 2 倍以上です。増え続け、変化し続ける規制要件に準拠していないと、組織のブランド、評判、および収益に重大な影響を与える可能性があります。 Ponemon Institute と Globalscapeの調査によると、ビジネスの混乱、収益の損失、多額の罰金に比べて、コンプライアンスを遵守することでコストが削減されます。
データの急増と規制環境
組織がデジタル トランスフォーメーションを進めるにつれて、競合他社より優位に立つために、以前よりもはるかに多くのデータを生成および消費しています。このデータは、従業員に力を与え、顧客を引き付け、運用を最適化することで関連性を維持し続けるために必要です。このデータと、データが作成されるさまざまなデバイスの管理は、特にコンプライアンスの確保に関しては複雑になる可能性があります。
IT 部門が管理しなければならないデータの量が急増しているだけでなく、そのデータの処理方法と処理方法に関する規制も増えています。多くの場合、顧客と市民のデータを収集することは、公共部門と民間部門の組織が機能する方法の不可欠な部分です。ここ数年で進歩が見られましたが、個人データの維持と保護の課題は続いています。規制により、個人データを責任を持って使用する必要性が生じており、そのリスクは高いものです。規制に準拠しないと、多額の罰金が科せられ、規制当局、顧客、および市民からの信頼が低下する可能性があります。
コンプライアンスの課題を管理する
コンプライアンスのコストに関する最近のレポートによると、世界中の 1,000 を超える規制機関から 1 日 215 件を超える規制の更新があり、前年よりわずかに減少しています。たとえば、カリフォルニア州消費者プライバシー法 (CCPA)、ブラジルの Lei Geral de Proteção de Dados (LGPD)、タイの個人データ保護法 (PDPA) の施行は 2020 年に始まりました。
組織は、財務、法律、人、IT、サイバーセキュリティのリスクなど、あらゆる種類のリスクに直面しています。以下は、コンプライアンス環境の動的な性質のために私たちが目にしている課題の一部です。
- 常に変化する規制に対応するのは大変です。すべての規制機関や標準化団体が新しい要件やガイドラインを作成したり、既存の要件やガイドラインを改訂したりしているため、最新の状態に保つには時間とリソースが必要です。
- ポイントインタイム評価は、デジタルの盲点を生み出します。多くの組織は、年次監査などのポイント イン タイム評価に依存しています。残念ながら、それらはすぐに古くなり、次の評価が完了するまで組織を潜在的なリスクにさらす可能性があります。組織は、デジタル資産によって引き起こされるリスクを制御するために、統合を改善し、ほぼリアルタイムの評価を作成する方法を探しています。
- 非効率的なコラボレーションとサイロ化された知識は、作業の重複につながります。組織は、IT リスク管理に関するサイロ化された知識が原因で課題に直面することがよくあります。 IT およびセキュリティ管理者は、テクノロジ ソリューションを知っていますが、規制を理解するのが難しいと感じています。規制に精通している傾向があるが、コンプライアンスを支援するために利用できるテクノロジーの専門家ではないコンプライアンス、プライバシー、および法務チームとは対照的です。さらに、多くの組織は、Microsoft Excel などの汎用ツールを使用してコンプライアンスへの取り組みを開始し、コンプライアンスを手動で追跡しようとしますが、コンプライアンス活動の管理が複雑であるため、このアプローチではすぐに限界を迎えます。
- IT 環境全体の複雑さが採用を妨げています。利用可能な多くのソリューションを統合し、コンプライアンス リスクを最小限に抑えるように各ソリューションを構成する方法を理解するのは難しい場合があります。これは、機能が重複していることが多い複数のベンダーから提供されたソリューションを使用している組織に特に当てはまります。意思決定者は、対象となる業界標準や規制に合わせてツールを機能させる方法について、簡単なステップバイステップのガイダンスを求めています。
Microsoft Compliance Manager でコンプライアンスを簡素化
Microsoft Compliance Manager は、Microsoft 365 コンプライアンス センターに含まれるエンド ツー エンドのコンプライアンス管理ソリューションです。これにより、組織はコンプライアンスを簡素化し、リスクを軽減し、グローバル、業界、および地域のコンプライアンス規制と基準を満たすことができます。コンプライアンス マネージャーは、複雑な規制、標準、企業ポリシー、およびその他の必要な制御フレームワークを単純な言語に翻訳し、規制制御と推奨される改善アクションをマッピングし、規制要件を満たすためにこれらのアクションを実装する方法について段階的なガイダンスを提供します。コンプライアンス マネージャーは、スコアを各アクションに関連付けることで、顧客が作業に優先順位を付けるのに役立ちます。これは、全体的なコンプライアンス スコアに加算されます。コンプライアンス マネージャーには、次の利点があります。
- 一般的な業界および地域の標準と規制に対する事前構築済みの評価、および独自のコンプライアンス ニーズを満たすカスタム評価。ライセンス契約に応じて、評価を利用できます。
- リスク評価を効率的に完了するのに役立つワークフロー機能。
- 組織に最も関連する標準と規制への準拠レベルを向上させるために実行できるアクションに関する詳細なガイダンス。
- リスクベースのコンプライアンス スコア。改善アクションの完了状況を測定することで、コンプライアンス体制を理解するのに役立ちます。
共同責任
ワークロードをオンプレミスでのみ実行している組織の場合、標準と規制に準拠するために必要な制御を実装する責任は 100% にあります。 Microsoft 365 などのクラウドベースのサービスでは、その責任は組織とクラウド プロバイダーの間で共有されますが、最終的にはデータのセキュリティとコンプライアンスに責任を負います。
Microsoft は、Microsoft 365 のようなサービスとしてのソフトウェア (SaaS) オファリングを使用して、物理インフラストラクチャ、セキュリティ、およびネットワークに関連するコントロールを管理します。組織は、データセンターの構築やネットワーク コントロールの設定にリソースを費やす必要がなくなりました。このモデルにより、組織はデータの分類と説明責任に関するリスクを管理します。また、リスク管理は、ID やアクセス管理などの特定の領域で共有されます。以下のグラフは、さまざまなオンプレミスおよびオンライン サービス モデルを使用して、クラウドの顧客とクラウド プロバイダーの間で責任がどのように共有されるかを示す例です。
図 1: 責任共有モデル
責任共有モデルを適用する
責任が共有されるため、IT インフラストラクチャをオンプレミスから Microsoft 365 のようなクラウドベースのサービスに移行すると、規制を遵守する負担が大幅に軽減されます。例として、米国国立標準技術研究所の NIST 800-53 規制を取り上げます。これは、米国政府および大規模な組織によって使用される、最大かつ最も厳格なセキュリティおよびデータ保護制御フレームワークの 1 つです。組織がこの標準に準拠し、Microsoft 365 を使用している場合、Microsoft は 500 以上のコントロールの 75% 以上を管理する責任があります。 Microsoft によって管理されていないコントロールの実装と維持に集中するだけで済みます。この状況を、組織が 100% オンプレミスで実行していた状況と比較してください。その場合、組織はすべての NIST 800-53 コントロールを独自に実装および維持する必要があります。共有責任モデルの下で IT ポートフォリオを管理する時間とコストを大幅に節約できます。
図 2: 共有責任の NIST の例
コンプライアンス スコアでコンプライアンスを評価する
コンプライアンス マネージャーは、コンプライアンス スコアを計算することで、全体的なコンプライアンス体制を改善するために重点を置くアクションに優先順位を付けるのに役立ちます。改善アクションがコンプライアンス スコアに与える影響の程度は、それが表す相対的なリスクによって異なります。ポイントは、アクション リスク レベルが次のアクション特性の組み合わせとして識別されているかどうかに基づいて付与されます。
- 必須または任意。
- 予防、発見、または是正。
コンプライアンス スコアは、データ保護と規制基準に関するリスクの軽減に役立つ推奨アクションの完了に向けた進捗状況を測定します。初期スコアは、データ保護ベースラインに基づいています。これには、多くの業界の規制や標準に共通するコントロールが含まれています。データ保護ベースラインは、コンプライアンス体制を評価するための適切な出発点ですが、組織の特定の要件に関連する評価を追加すると、コンプライアンス スコアがより価値のあるものになります。フィルターを使用して、1 つ以上のソリューション、評価、および規制を含む基準に基づいて、コンプライアンス スコアの一部を表示することもできます。それについては後で詳しく説明します。
以下の画像は、コンプライアンス マネージャー ダッシュボードの全体的なコンプライアンス スコア セクションの例です。 [達成したポイント] の下の数値はゼロですが、コンプライアンス スコアは 75% であることに注意してください。これは、共有責任モデルの価値を示しています。 Microsoft は責任を負うすべてのアクションを既に実装しているため、コンプライアンスを達成するために推奨されていることのかなりの部分は、まだアクションを実行していなくても既に完了しています。
図 3: Microsoft Compliance Manager からのコンプライアンス スコア
Microsoft Compliance Manager の詳細については、 Microsoft Compliance Managerのドキュメントを参照してください。 Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧ください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments