セキュリティ関連のコンプライアンス基準・ガイドラインを解説～ISO、HIPPA、NIST CSF～

コンプライアンス（法令遵守）を維持するためには、セキュリティの取り組みも重要です。コンプライアンスを怠ることは、高額な情報漏えいの損害だけでなく、組織にとっては罰金という形で同様に厳しい打撃となりえます。コンプライアンス違反の損害は、国や地域によって異なりますが、米国では、その罰金は、コンプライアンス対策の費用の3倍以上に相当するとの調査もあります^※。

本記事では、サイバーセキュリティコンプライアンス維持のため、広く活用されている法令、基準やフレームワークを紹介します。こうした基準を活用し、ベストプラクティスを実装することで、セキュリティ体制を強化し、ビジネスリスクを減らすことができます。

※Costs of Non-Compliance are Getting Higher　2018/4/2

ISOについて

ISO/IEC 27000シリーズ、もしくはISO27Kは、国際標準化機構（ISO）と国際電気標準会議（IEC）によって策定された情報セキュリティマネジメントに関する国際規格群です。
情報セキュリティマネジメントに関するベストプラクティスを提供し、国際的に広く活用されています。物理的なネットワークセキュリティやネットワークセキュリティも含まれます。

＜ISO27Kの主な規格＞

1. ISO/IEC 27001: 情報セキュリティ管理システム（ISMS：Information Security Management System）の設立と維持のためのベストプラクティス。

2. ISO/IEC 27002: ISMS内の情報セキュリティ管理のベストプラクティス。

3. ISO/IEC 27017: クラウドサービスに特化した情報セキュリティ管理のベストプラクティス。

これらISO27Kの規格で示されたベストプラクティスを活用することで、対策の優先順位付けや実行可能な対策の把握が可能となります。

HIPAAについて

1996年に制定されたHIPAA：医療保険の相互運用性と説明責任に関する法律（ヒッパ、Health Insurance Portability and Accountability Act）は、PHI：保護対象保険情報（Protected Health Information）のプライバシーとセキュリティを保護することを目的としたアメリカの連邦法です。

医療情報を取り扱う機関は、HIPAAの要求を遵守するために、適切なポリシー、手順、および技術的な対策が整っていることが求められます。また、サイバーセキュリティの責任者は、HIPAAの最新の規則を把握し、それに対応する責任を負っています。

参考：HIPPA

＜HIPPA対応のベストプラクティス＞

1. HIPAAの義務を理解すること。HIPAAに紐づく規則として、プライバシー規則とセキュリティの規則があります。プライバシーでは、電子化された医療情報を扱う医療従事者などを対象に、PHIの利用と開示を規定し、セキュリティではそれらの情報の保護策を規定します。違反通知ルール（Breach Notification Rule）では、侵害があった場合に患者、メディア、HHS ：アメリカ合衆国保健福祉省（United States Department of Health and Human Services）に通知することが義務付けられています。

2. リスク評価を実施すること。これには、組織が収集、処理、保存しているPHIをすべて特定することが含まれます。

3. ポリシーと手順を実施すること。リスク評価の結果に基づいて、特定したリスクに対処するためのポリシーと手順を開発し、実施します。

4. 従業員のトレーニングを行うこと。定期的なセキュリティ意識向上トレーニングは、従業員が最新の脅威に対応し、PHIを保護するためのベストプラクティスに精通していることを確保するために必要です。

5. モニタリングと監査を行うこと。組織のセキュリティ対策を定期的に見直し、侵入テストを実施し、脆弱性評価を行います。

NISTのCSFについて

NIST：米国標準技術研究所（National Institute of Standards and Technology）のCSF：サイバーセキュリティフレームワークは、業種等問わず広く組織で利用できるセキュリティのフレームワークで、セキュリティリスクの正しい理解と管理のために有効です。

参考：Cybersecurity Framework

＜NIST CSFの構成要素＞

1. フレームワークコア:セキュリティ対策と期待される成果の基準をまとめたもの。組織に必要とされる対策を網羅的、体系的に把握できます。コアは、識別（Identify）、防御（Protect）、検知（Detect）、対応（Respond）、復旧（Recover）の5つの機能で構成され、それぞれに具体的な対策が示されています。

2. インプリメンテーションティア:組織のリスク管理の状況を理解するための仕組み、評価基準を提供。セキュリティ状況は、ティア1（部分的）からティア4（適応している）の4段階で評価することができます。セキュリティの目標と達成度の把握、管理に役立ちます。

3. フレームワークプロファイル: コアで示された対策について、組織の現在の状況と目標とを比較することで、セキュリティの改善項目の把握を支援。ビジネス要件やリスク許容度を踏まえた、対策の優先順位に役立ちます。

＜NIST CSF フレームワークコアの5つの機能＞

1. 識別 : セキュリティリスクを管理するための共通の理解を確立します。

2. 防御 : サービス提供を確実にするための適切なセキュリティ対策を検討、実行します。

3. 検知 : セキュリティイベントをタイムリーに検知するための対策を検討、実行します。

4. 対応 : 検知したインシデントを迅速に対処するための対策を検討、実行します。

5. 復旧: レジリエンスを実現するための計画を策定、維持し、セキュリティインシデントにより阻害されたサービスを復旧するための対策を検討、実施します。

テクノロジーによるコンプライアンス対応と維持

認証やフレームワークは、対応して終わりではありません。定期的に更新される内容に継続的に対応することで、セキュリティの維持が可能になります。セキュリティリスクを軽減し、罰則を回避し、顧客との信頼を高めるためには、コンプライアンスや業界基準への対応状況を定期的、継続的に監査し、高リスクのポリシー違反に迅速に対応する必要があります。こうした継続的な対処のためには、テクノロジーを活用することも有効です。

Trend Cloud One - Conformityは、クラウドにおけるコンプライアンスの対応状況を可視化するツールで、ISO 27001、NIST、HIPAAなどの複数のベストプラクティスへの対応状況をチェックすることができます。自動化されたセキュリティ、ガバナンス、無料のコンプライアンスクラウドリスク評価は、サイバーリスクレベルを特定し、コンプライアンス基準を効果的に順守するためのサポートを提供します。

本記事は、2023年6月8日、USで公開されたEssential Cybersecurity Compliance Standardsの抄訳です。