コンプライアンスとフレームワーク
コンプライアンス
別称: 規制対応, 法令遵守
定義
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。
コンプライアンスとは、組織の人・プロセス・技術が、適用される法律、規制、業界標準、契約上の義務を確実に遵守するための実践です。サイバーセキュリティ分野では、データ保護法(GDPR、CCPA、HIPAA)、業界フレームワーク(PCI DSS、SOC 2、ISO/IEC 27001)、業種別規制(SOX、GLBA、FedRAMP)などが対象となります。コンプライアンス・プログラムでは、統制目標を定義し、権威ある根拠資料に対応付け、ポリシー・ログ・宣言などの証跡を作成し、内部監査および外部評価によって検証します。コンプライアンスはしばしばセキュリティと混同されますが、あくまで最低限の基準であり、準拠していることと安全であることは同義ではありません。
例
- エンタープライズ顧客向けに SOC 2 Type II 監査を受ける SaaS 事業者。
- 決済カード処理のために PCI DSS 統制を維持する小売事業者。
関連用語
ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS)の要求事項を定める国際規格で、組織は正式な認証を取得できる。
SOC 2
SOC 2 — definition coming soon.
PCI DSS
決済カード データを保管・処理・伝送する組織を対象に、PCI セキュリティ標準協議会が維持するグローバルな情報セキュリティ基準。
GDPR
EU 域内および EEA に所在する個人の個人データ処理を規律する欧州連合の一般データ保護規則。
NIST サイバーセキュリティフレームワーク
米国 NIST が公開した任意のリスクベース フレームワークで、サイバーセキュリティの成果を 6 つのコア機能に整理する。
セキュリティ統制
情報資産への脅威を予防・検知・対応するために用いられる、技術的・管理的・物理的な対策。