O’Reilly Japan - 入門 監視 の10.1 監視とコンプライアンス の内容が興味深かったので、
法令などについて調べてみました。
書籍の内容のまとめと、調べた結果を記載します。
10 セキュリティ監視
- インフラやアプリケーションの監視とセキュリティの監視は異なる。
- インフラやアプリケーションがセキュリティを念頭に置いて作られていないことがある。
- 問題が起きた後に、セキュリティに取り組まなければいけないことが多くあり、それは楽しいものではない。
- 驚異とリスクを見積もり、セキュリティ監視を実施するか否かの判断をする。
10.1 監視とコンプライアンス
-
異なる産業、異なるタイプの会社向けにコンプライアンス規制がある。
-
コンプライアンス規制の例
- HIPAA (ヘルスケアデータ保護)
- SOX法
- PCI-DSS
- SOC2
-
コンプライアンス規制の中には実施が簡単なもの、難しいものがある。難しいものを期待する通りに動かすようにするために、監視を実装する。
コンプライアンス規制について
コンプライアンス規制で、セキュリティ監視が影響を受けることを知りました。
書籍のコンプライアンス規制として記載されている4つと、その他の規制としてどんなものがあるのか調べてみました。
IT関連法
IT菅連法律リンク集を、首相官邸ホームページ が公開しています。
* IT関連法律リンク集
アプリケーションのセキュリティ監視項目は、電子商取引の促進、情報通信技術を活用した行政の推進、高度情報通信ネットワークの安全性及び信頼性の確保 あたりの法律が関係しそうです。
業法
首相官邸ホームページ からのリンクがない法律で業法と呼ばれる法律があります。
特定業種に関する法律で、磁業と関係する法律はセキュリティ監視項目に影響する可能性があります。
HIPAA は業法に含まれる法律かなと思いました。
HIPAA (ヘルスケアデータ保護)
医療情報の電子化の推進とそれに関係するプライバシー保護やセキュリティ確保について定めた法律です。
- 参考
J-SOX法
上場企業は、J-SOX法の対象となります。
IT統制は、IT全社統制、IT全般統制、IT業務処理統制 の3カテゴリがあり、セキュリティ監視項目に影響するかと思います。
SOC2
SOC2報告書|サービス:オペレーショナルリスク|デロイト トーマツ グループ|Deloitte に以下のように記載されています。
SOC2報告書とは、米国公認会計士協会(AICPA)が定めたトラストサービス規準(Trust Service Criteria)に従って、受託会社(データセンター、クラウドサービス等のアウトソーシング事業者)が記述したセキュリティ、可用性、処理のインテグリティー、機密保持、およびプライバシーに関連する内部統制に対して、監査法人が手続きを実施した結果と意見を表明した報告書です。
トラストサービス規準(Trust Service Criteria) は、以下の5原則があり、それぞれ基準を満たしているのか評価されます。
- セキュリティ
- 可用性
- 処理のインテグリティ
- 機密保持
-
プライバシー
-
参考
PCI-DSS
PCI DSSとは 基準、検証要件について│ICMS 国際マネジメントシステム認証機構
これは、業界標準で法律ではなさそうです。
- 参考
コンプライアンス規制に対して、どのように対処するか?
コンプライアンス規制では、業種ごとに、満たさなければいけない基準に若干の違いがありますが、実施すべきことには多くの共通点があります。
後は、コンプライアンス規制を全てを完全に把握することはできなくて、何か1つだけ覚えておきたいと思いました。
個人的には、OWASP 関連のドキュメント群が1つ覚えるものかと思っていて、どのようにして実施するかをサポートするのが、OWASPツール群にあたります。
参考
PCI-DSS のパスワード要件など決めあぐねた時に、実装の参考になりそうに思いました。
コンプライアンス規制がない場合でも、セキュリティ要件の参考に、各種法律、業界標準はひと通り眺めてみても良いかと思います。
以上です。
コメント