セキュリティ強化のためのインテリジェンス駆 動型 GRC

セキュリティ強化のためのインテリジェンス駆
動型 GRC
概要
今日の組織は、 ビジネスおよびテクノロジー インフラストラクチャを、 組織化され、 制御可
能で、 わかりやすいものに保とうと努力していますが、 これはビジネスで利益を上げるため
だけでなく、 さまざまなガバナンス、 セキュリティ、 コンプライアンスのニーズを満たすため
でもあります。 規制、法律、ポリシーは目まぐるしく変更され、アクセスを必要とするベンダー、
パートナー、 お客様が増加し、 予測不能な脅威とシステム攻撃が次々と現れていることで、
企業を効率的に運営する上で必要になるデータのタイプやボリュームの複雑性が増加して
きている中、 企業はすべての調和を保とうというあらゆる努力を試しています。
多くの企業は、 長い間、 ガバナンス、 リスク管理、 コンプライアンス （GRC） に関する問題
が発生するたびに、 部署ごとの縦割りで、 その場しのぎで戦術レベルの対応を行って、 そ
の問題に対処してきました。 そのため IT スタッフは、 最良のビジネス意思決定を行うために
必要な情報を十分得られないまま、 個々の問題や管理を実装するのに四苦八苦していま
す。 組織は、 ビジネス面とテクノロジー面の双方で受け入れ難いレベルの不確実性を抱え
ながら業務を運営しているのです。
今日の激しい競争環境において GRC 戦略を導入すれば、 ソフトウェアの追加や新しいポリ
シーの導入といったその場しのぎの修正をはるかに超える効果を期待できるのは間違いあ
りません。 インテリジェンス駆動型の GRC モデルを活用することで、 組織は確かな情報に
基づいて、 自社の資産に優先順位を付けることができます。 諸関係、 相互接続、 ビジネス
および IT スタッフのアカウンタビリティを理解し、 組織のインフラストラクチャへのアクセスが
避けられないサード パーティの予測不能な動作を取り込むことができます。
RSA ホワイト ペーパー
セキュリティ強化のためのインテリジェンス駆動型 GRC
目次
概要 ............................................................................................................................1
包括的なGRC戦略によるエンタープライズの連携強化 .................................................... 3
可視性の向上 ............................................................................................................. 3
インフラストラクチャの枠を超えた発想 ........................................................................... 4
インサイトを明らかにする ............................................................................................. 4
計画を実行に移す ........................................................................................................5
結論 ........................................................................................................................... 6
RSAによるインテリジェンス駆動型のGRCソリューション ................................................... 6
2 ページ
セキュリティ強化のためのインテリジェンス駆動型 GRC
包括的な GRC 戦略によるエンタープライズの連携強化
インテリジェンス駆動型の GRC の目的は、 IT、 財務、 運用、 法務といった各分野の垣根を
越えて、 効率的で協力関係に基づいたエンタープライズ ガバナンス、 リスク、 およびコンプ
ライアンス戦略を構築することです。 この総合的なアプローチによって、リスクを管理し、コン
プライアンスを実証し、 ビジネス プロセスを自動化すると同時に、 企業ポリシーの継続的な
ライフサイクルを管理し、 リスクの評価および対応を行い、 全社的な内部統制と規制の要
件に対するコンプライアンスに関するレポートを作成することができます。
インテリジェンス駆動型の GRC は、 組織の基本的なセキュリティ機能の上に資産の優先順
位づけ、プロセスの効率化、レポートの自動化を重ねたモデルを提供します。 このモデルは、
企業がリスク、 コスト、 サード パーティ アクセスのバランスを取ることができる 3 つの基盤
に基づいています。 まず、 インテリジェンス駆動型の GRC は、 資産、 プロセス、 アカウンタ
ビリティの優先度に基づいて、 すべてのオンライン デジタル チャネル全体を外部向けにす
ばやく可視化し、 コンテキストを提供します。 次に、 このように向上した可視性によって、 分
析機能を拡張し、 リスク許容度や事業部の要望をすばやく評価し、 最も損害が大きい問題
に対処します。 最後に、 インテリジェンス駆動型の GRC 戦略は、 目の前にある特定の懸念
事項をすばやく効率的に軽減するために是正措置を指定します。
可視性の向上
セキュリティ チームは監視、 保護、 レポートを必要とする膨大なデジタル資産によって、 実
際に修正できる範囲より多くのリスクを見つけることがあります。 これまで、セキュリティ チー
ムはビジネスに最も悪影響があるのはどのリスクかを理解しないまま、 侵入の可能性に可
能な限り迅速に対応してきました。 ビジネス リスクが存在する場所に対する可視性が不十
分であるということは、結果を見ずにセキュリティ、ガバナンス、コンプライアンスに時とお金を
費やしていることを意味します。
インテリジェンス駆動型の GRC モデルを利用すれば、 ビジネスに対する深刻度と影響の評
価に基づいて、 事前にリスクの優先順位づけがされるため、 最も損害が大きくなる可能性
があるセキュリティの脅威あるいはコンプライアンスの問題に対する可視性が高まります。
このように優先度に応じて可視性が高まることで、 セキュリティ チームは組織のリスク許容
度に応じたバランスの取れた方法で攻撃に対処でき、 時間やリソースを無駄にしたり不必要
な対応をしたりすることなく、 大きな脅威からの損害を抑えることができるのです。
インテリジェンス駆動型の GRC フレームワーク内、資産に優先度を付けた 1 つのリポジトリを
作成することで、 デジタル資産を特定するプロセスや、 資産とそれに関連する人、 プロセス、
アプリケーション、 インフラストラクチャとの関係を構築するプロセスが簡素化されます。 デー
タを所有する事業部、 利用するプロセス、 格納する施設やデバイス、 適用するアプリケー
ション、そのデータに責任を持つ人をデータに簡単に結びつけることができるようになります。
その結果、 組織は、 製品、 サービス、 ビジネス プロセスのリスクとコンプライアンスをトラッ
キングし、 コンプライアンス評価やタスクの分散を促すようにアカウンタビリティを割り当てる
ことができるほか、 情報に基づく意思決定を支援するために会社、 部門、 事業部レベルで
のコンプライアンス アクティビティに関するレポートを作成することができるようになります。
3 ページ
セキュリティ強化のためのインテリジェンス駆動型 GRC
各種アクティビティに対する可視性を統合することで、 複数の規制に対するコンプライアン
スを同時に証明できるため効率性を高めることができます。
インフラストラクチャの枠を超えた発想
インテリジェンス駆動型の GRC 戦略による可視性の向上は社内資産にとどまりません。 エン
タープライズ外部の諸関係を管理するには、 社内資産と同じ優先順位づけが必要です。 例
えば、パートナー候補については、不必要なリスクがないかを評価し、ベンダー プロファイル、
連絡先、 財務および保険ステートメント、 契約といった特定の組織にとって重要なメトリック
に沿って管理する必要があります。
インテリジェンス駆動型の GRC フレームワーク内では、 証拠収集プロセスの大部分を自動
化することでコンプライアンス義務とその範囲に対する可視性が大きく変わります。 コンプラ
イアンス規制は重複することも多いため、 冗長データや処理情報をなくし、 整合性があり繰
り返し利用可能な定義を提供すれば、労力とコストを削減でき、規制の遵守不履行の領域を
修正することができます。
インサイトを明らかにする
データをリアルタイムに収集し、 ビジネスに重要なすべてのメトリックにわたって優先度を付
けることは非常に重要ですが、 ビジネスの洞察力を得るうえではこういった情報をすばやく
効率的に分析できる能力が重要です。 各チーム間でセキュリティやコンプライアンスの問
題を伝えるのが難しいことがよくあります。 インテリジェンス駆動型の GRC は、データをセキュ
リティ専門家とビジネス専門家の双方がアクセスし、 理解できる情報に変換します。
インテリジェンス駆動型の GRC モデルには、 特定のコンプライアンス要件に合わせたベスト
プラクティス、 レポート、 ポリシーが備わっています。 インシデントが発生したときは、 それを
すばやく検出して分析し、 アクションを起こして解決にあたり、 損害を限定的なものにする必
要があります。 組織全体のシステムからレコードが収集され、 関連づけられ、 分析され、
保持されると、 インシデントが特定されて、 リアルタイムで優先度がつけられます。 このプロ
セスでは、 損なわれたデータだけでなく、 そのインシデントの深刻度や、 ビジネス全体に対
してどの程度重大なのかについても示されます。
1 つの組織のデータ ボリュームを分析するだけでもすでに大変な作業ですが、 今日の会社
は、自社では直接制御できないデバイスを使用しているベンダー、サプライヤー、パートナー、
顧客も含んだ拡張されたエンタープライズで業務を行っています。 インテリジェンス駆動型の
GRC モデルでは、 ベンダーのリスク評価が効率化され、 コンプライアンス、 セキュリティ、
財務、 持続可能性、 復元性といったメトリックを横断して、 未解決の固有のリスクが評価さ
れます。 リスク評価とコンプライアンスの格付けを自動化することで、 ベンダーの対応をはじ
めとした検出結果のタイプとステータスを判断できるだけでなく、 修正のステータスをトラッ
キングすることもできます。 この解析は、 重要なパフォーマンス インジケーター、 SLA 目標、
成果物のステータスを含むように拡張できます。 インテリジェンス駆動型の GRC 戦略では、
パフォーマンスを事前に定義されたメトリックと比較するため、 組織はベンダー ベースのリス
ク漏洩を把握し、 リアルタイムの情報を他のスタッフにすばやく提供することができます。
4 ページ
セキュリティ強化のためのインテリジェンス駆動型 GRC
インテリジェンス駆動型の GRC フレームワークは、 特定の部門、 人、 アプリケーション、 ア
カウンタビリティで区別できる、効果的なポリシーとポリシー管理を提供します。 この区別は、
ポリシー管理の設定プロセスの間に設定します。 このとき、 リスク評価レベルを承認、 レ
ビュー、 あるいは変更する必要がある人をまとめます。 このアプローチには、 コンテンツな
どのデジタル資産、 サード パーティ、 規制条件のほか、 ユーザーの役割や組織における
階層といった構造に関する情報を含んでいるため、 組織の他の部分への拡大も可能になり
ます。 その結果、 すでに作成しているプロセス ディスクリプターまたは重要なシステム アイ
テムの共有、 時間と費用の節約が容易になります。
組織の運用、 IT、 財務インフラストラクチャのさまざまな場所にいるユーザーがコラボレー
ションを促進し、 情報を共有できるようになります。
計画を実行に移す
インシデントの識別と優先度の設定は、 GRC プロセスの一部にすぎません。 インテリジェン
ス駆動型の GRC 戦略がない場合は、 承認を受けている最も適任の人に、 インシデントを効
率的に伝達する必要があります。 スプレッドシートを手動で更新し、 メールを送信してトラッ
クと通知を行うという一般的なプロセスには時間がかかり、 適切な時期にビジネス リスクの
課題に取り組む上では、 非常に非効率的な方法と言えます。 インテリジェンス駆動型の
GRC は、 インシデントをドキュメント化し、 ビジネス インパクトとコンプライアンス要件に基づ
いてレスポンス チームに割り当てるように設定されています。
組み込み型ダッシュボードとレポートにより洞察力を得ることができ、 トレンド、 損失、 復旧
のための労力に関するレポートに役立つほか、 インシデント履歴と監査証跡も得ることがで
きます。 そのため、 グループ間で必要なコミュニケーションを阻むデータやプロセス サイロ
がなくなります。 また、 ビジネス階層および運用インフラストラクチャ全体でのリスクやコンプ
ライアンス情報を自動的にロールアップすることでレポートがすばやく簡単になります。
5 ページ
セキュリティ強化のためのインテリジェンス駆動型 GRC
インテリジェンス駆動型の GRC 戦略は、 コンプライアンス プロセスのあらゆるコンポーネント
で機能します。 例えば、 会社には頻繁な監査関連アクティビティに取り組むという監査計画
があります。 詳細な監査ライフサイクルを制御することで、プロセス全体が合理化され、チー
ムは優先度の高い問題に集中でき、 リスクおよび制御機能との統合も行えます。 このアプ
ローチでは、 リスクの動的ビューに基づいて効率性を最大限に高めます。
例えば、 コンプライアンス管理は多くの場合、 IT チームとコンプライアンス責任者という 2 つ
の異なるグループがビジネス レベルで処理します。 インテリジェンス駆動型の GRC では、
この 2 つのグループが使用するツールとプロセスが切り離さず、 セキュリティ チームが作成
したコンプライアンス レポートを、 監査担当者がコンプライアンス レポートを簡単に管理し、
検出結果をトラッキングできるようにする GRC ワークフローにマッピングします。
アクション可能なレスポンスをさらにサポートするために、 GRC システムをユニークなビジネ
ス パラメーターに合わせることは、 継続的ですばやい変化に対処する上で効率的な方法で
す。 IT ユーザーと技術分野以外のユーザーがともに使いやすいポイント アンド クリック操作
のインターフェイスを利用して、 プロセスを自動化し、 ワークフローを合理化し、 ユーザー
アクセスを制御し、 ユーザー インターフェイスを調整し、 リアルタイムでレポートを作成でき
る必要があります。
ビジネス継続性は、 インテリジェンス駆動型の GRC 戦略の重要コンポーネントです。 これに
より、 ビジネス継続性および災害復旧計画への集中的な自動化アプローチを取れるように
なるため、 危機的状況でのすばやい応答が可能になります。 このモデルは、 コンプライアン
スやリスクの問題と同様に、 最も重要なビジネス プロセスはどれであるか評価し、 テストや
承認のための自動かワークフローを使用して、 ビジネス継続性と災害復旧計画を構築しま
す。 さらに、 危機に際した計画の実行と伝達を管理し、 組織の従業員、 カスタマー、 企業
の評判や運営に対する損害を最小限に抑えます。
結論
包括的なインテリジェンス駆動型の GRC モデルは、 データおよびプロセスに対する可視性を
拡張し、 リスクやコンプライアンスの問題に対する詳細な分析を提供します。 また、 会社の
リスクに対する対応要望と、 リスクの残存の責任明確化および監視とのバランスを取る必要
がある企業に、 アクションとアカウンタビリティの明確なパスを示してくれます。 データとプロ
セスの優先順位づけ、 インフラストラクチャ、 人材、 ビジネス パフォーマンス基準を調整す
ることで、目まぐるしく変化する状況でも予測、レスポンス、継続的な対応が可能になります。
RSA のインテリジェンス駆動型 GRC ソリューション
RSA® IT Security Risk Management Solution なら、 セキュリティ チームは、 セキュリティ ポ
リシーの管理、 IT 資産のビジネス コンテキストの確立、 セキュリティ インシデントや脆弱性
によって引き起こされた脅威に対する効率的な調査とレスポンスを実施できるようになりま
す。 セキュリティ チームは、 RSA Archer が提供するすぐに利用可能なコンテンツを活用す
ることで、 SOX、 PCI、 HIPAA といった規制の高信頼ソースだけでなく、 COBIT、 NIST、 ISO
といった IT セキュリティ フレームワークに対してコンプライアンスのリスクを測定できます。 さ
らに、 VRM （RSA Vulnerability Risk Management） による脆弱性に対するリアルタイムの
可視性や、 SecOps （Security Operations Management） によるセキュリティ インシデント
に対するリアルタイムの可視性を利用すれば、 セキュリティ チームはビジネス コンテキスト
に応じた優先づけができ、組織に多大なリスクをもたらす脅威の効率的な調査、レスポンス、
修正が可能になります。 RSA IT Security Risk Management Solution によって、 CISO やそ
のセキュリティ チームがプロアクティブに効果的なセキュリティ ポリシーを導入し、 脆弱性の
ある問題を防ぎ、 セキュリティ インシデントに効率的にレスポンスを行えるようになるため、
組織の IT 資産を守り、 情報セキュリティのリスクを最小限に抑えることができます。
6 ページ
インテリジェンス駆動型 ID ・ アクセス管理
RSA® Archer® のサード パーティ ガバナンス ソリューションは、 ベンダー関係の監視を自動
化ならびに合理化します。 このサプライヤー管理ソフトウェアは、 GRC （ガバナンス、 リスク
管理、 コンプライアンス） プログラムの一部として、 リスク ベースのベンダー選択、 関係の
管理、 コンプライアンスの監視を容易にします。 RSA Archer Third Party Governance （サー
ド パーティ ガバナンス） によって、 サード パーティのデータを一元化し、 ベンダー リスクお
よびパフォーマンスに関連する活動をレポートするとともに、 一貫性があり繰り返しが可能
なサプライヤーの評価を実施することにより、 ベンダー管理のプロセスを確立します。
RSA® Archer® Operational Risk Management （運用面のリスク管理） ソリューションは、 サ
イロ化したリスク リポジトリからのデータをまとめ、 組織全体でリスクの特定、 評価、 決定、
処理、 監視を、 整合性を持たせて実施できるようにします。 RSA Archer は、 組織の運用面
のリスク管理プログラムのための集中的な統合、 ビジュアル化、 ガバナンス ポイントとして
サービスを提供します。 そのため、 リスクをより深く理解し、 優先度を決定して管理できるよ
うになり、 必要なリスク管理アカウンタビリティと文化を強化します。 そのため、 運用リスク
につながるすべての事業部門とアクティビティにプログラムを拡張できるようになります。
RSA Archer Operational Risk Management （運用面のリスク管理） なら、組織はリスク イン
テリジェンスを活用し、悪影響のあるイベントが発生する可能性、損失の機会、不測の事態を
減らすことができるので、 組織はパフォーマンスを最大限に発揮できます。
RSA® Archer® GRC プラットフォームは、 企業ガバナンス、 リスク、 コンプライアンスのビジネ
ス レベルでの管理をサポートします。 すべての RSA Archer GRC ソリューションの基盤として
このプラットフォームを使用するとコーディングを行うことなく、 要件にソリューションを適合さ
せたり、新しいアプリケーションを構築したり、外部システムと統合したりすることが可能です。
RSA Archer の柔軟な戦略は、 最も厳しいニーズを持つ Fortune 500 企業の一部で高い評
価を受けてきました。 そういった企業はプラットフォームの利点を生かし、 RSA Archer のソ
リューションを採り入れて、 従来のカスタム アプリケーションの開発にかかっていた時間の
ほんの一部で追加のビジネス プロセスをモデリングしています。
RSA Archer では、 業界最大のリスクおよびコンプライアンス コミュニティへ、 RSA Archer
GRC エキスパートおよび 11,500 名を超える皆様のようなコンプライアンス実務担当者の参
加を促進しています。 RSA Archer のコミュニティを活用していただけば、 コラボレーションを
構築して問題を解決し、 ベスト プラクティスを策定し、 仲間とのつながりを作り、 RSA Archer
GRC ソート リーダーと協力し合えます。 さらに、 RSA Archer には、 ビジネス システム統合
にも及ぶ深いセキュリティ システム統合のためのテクノロジー統合エキスパート、 リスクおよ
びコンプライアンス コンテンツのコンテンツ プロバイダー、 ビジネス プロセスの専門知識を
有するアドバイザリ パートナーや実装パートナーなど、 広範なパートナー エコシステムも擁
しています。
RSA について
RSA のインテリジェンス駆動型セキュリティ ソリューションによって、 デジタル社会にお
ける業務リスクを低減します。 RSA ソリューションは可視性、 解析、 アクションを通して
お客様に高度な脅威の検出、 調査、 脅威への対応、 ID の確認 / 管理を提供します。
その結果、 IP 盗難、 不正、 サイバー犯罪を防止することができます。 RSA の詳細に
ついては、 http://japan.emc.com/rsa を参照してください。
EMC2、 EMC および EMC のロゴ、 RSA、 Archer、 FraudAction、 NetWitness および RSA のロゴは、 EMC Corporation
の 登 録 商 標 ま た は 商 標 で す。 そ の 他 の す べ て の 製 品 ま た は サ ー ビ ス は、 そ れ ぞ れ の 所 有 者 の 商 標 で す。
Copyright © 2014 EMC Corporation.All rights reserved. （不許複製 ・ 禁無断転載）
http://japan.emc.com/rsa
H13749-J