多くの場合、セキュリティとコンプライアンスという用語は同義です。ただし、これらの用語の概念は固有であり、異なります。

多くの場合、情報セキュリティと考えられるセキュリティは、通常、機密性、整合性、可用性を実現する一連の技術制御、物理制御、および管理制御と定義されます。たとえば、ログインできるアカウントのロックダウンや、通信方式(SSH、ダイレクト コンソールなど)によって、ホストを安全に保護します。一方、コンプライアンスは、特定のタイプのテクノロジー、ベンダー、構成に関する手順を制限するさまざまな規制の枠組みによって確立された、最小限の制御に対応するために必要な一連の要件です。たとえば、クレジット カード業界 (PCI) では、セキュリティ ガイドラインを確立して、組織が顧客のアカウント データを積極的に保護できるようにしています。

セキュリティは、データの盗難、サイバー攻撃、不正アクセスのリスクを軽減します。一方、コンプライアンスは、通常定義された期間においてセキュリティ制御を実施することを証明します。セキュリティは、主に設計に関する決定事項の概要であり、テクノロジー構成で最も重視されます。コンプライアンスは、セキュリティ制御と特定の要件との相関関係を明確にすることに重点を置いています。コンプライアンスを明確にすると、必要な多くのセキュリティ制御を一目でわかるように列挙できます。セキュリティ制御それぞれのコンプライアンスの例証を取り入れると、これらのセキュリティ制御をさらに詳細に策定できます。このコンプライアンスの例証は、NIST、PCI、FedRAMP、HIPAA などの定義によって決まります。

有効なサイバーセキュリティ プログラムとコンプライアンス プログラムは、ユーザー、処理、テクノロジーの 3 つ柱から成ります。一般的には、テクノロジーのみでサイバーセキュリティに必要なすべての対策をとることができると誤解されています。テクノロジーは、情報セキュリティ プログラムの開発と実行において多くの重要な役割を果たしますが、しかし、処理と手順、認知とトレーニングを伴わないテクノロジーは、組織を脆弱にします。

セキュリティとコンプライアンスの戦略を定義する際は、次の点に注意してください。

  • ユーザーは一般的な認知とトレーニングが必要であり、IT 担当者は特別なトレーニングが必要です。
  • プロセスは、組織内のアクティビティ、ロール、およびドキュメントをリスクを軽減するためにどのように使用するかを定義します。処理は、ユーザーが正しく行ってこそ効果があります。
  • テクノロジーを使用すると、サイバーセキュリティのリスクが組織に与える影響を避けたり軽減できます。使用するテクノロジーは、組織内のリスク許容レベルによって異なります。

VMware には、監査ガイドと製品適用ガイドの両方を含むコンプライアンス キットが用意されています。コンプライアンス要件と規制要件と実装ガイドのギャップを埋めるのに役立つものがあります。詳細については、『https://core.vmware.com/compliance』を参照してください。

コンプライアンスの用語集

コンプライアンスでは、独自の用語と定義が使用されており、これらを理解することが重要となります。

表 1. コンプライアンス用語
用語 定義

CJIS

Criminal Justice Information Services の略称で、刑事司法情報サービスを意味します。コンプライアンスにおいて、CJIS は指紋や犯罪歴などの機密情報を保護するために、地域、州、連邦の刑事司法機関や法執行機関が講じる必要があるセキュリティ対策を策定するセキュリティ ポリシーを提供する機関です。

DISA STIG

Defense Information Systems Agency Security Technical Implementation Guide の略称で、国防情報システム局のセキュリティ技術導入ガイドを意味します。国防情報システム局 (DISA) は、米国国防総省 (DoD) で使用される IT インフラストラクチャのセキュリティ状態の保守を担当するエンティティです。DISA は、セキュリティ技術導入ガイド (STIG) を開発および使用することで、このタスクを遂行します。

FedRAMP

Federal Risk and Authorization Management Program の略称で、連邦のリスクおよび認可管理プログラムを意味します。FedRAMP は、クラウド製品やサービスのセキュリティ評価、認可、および継続的監視の方法を標準化した政府規模のプログラムです。

HIPAA

Health Insurance Portability and Accountability Act の略称で、医療保険の相互運用性と説明責任に関する法律を意味します。1996 年に議会で承認された HIPAA の詳細は、以下のとおりです。

  • 米国の何百万もの労働者やその家族が転職または失業しても、医療保険を移転して継続できるようにする
  • 医療詐欺や悪用を減らす
  • 電子請求およびその他の処理において、医療保険情報を業界全体で標準化することを義務付ける
  • 保護対象の医療情報には、保護および機密扱いを要する

後半の項目は、『vSphere セキュリティ』で最も重視されています。

NCCoE

National Cybersecurity Center of Excellence の略称で、国立のサイバーセキュリティ拠点を意味します。NCCoE は、米国の政府機関です。米国の企業が遭遇したサイバーセキュリティの問題に対する解決策を見いだし、公表して共有します。この機関では、それぞれの問題に対処するため、サイバーセキュリティ テクノロジー企業やその他の連邦政府機関、および学術界の人材を迎えてチームを組んでいます。

NIST

National Institute of Standards and Technology の略称で、米国国立標準技術研究所を意味します。1901 年に設立された NIST は、米国商務省内の連邦政府非監督機関です。NIST の使命は、統計学、標準化およびテクノロジーを進展させて経済の安定性を高め、生活水準を向上させることで、米国の技術革新や産業の競争力を後押しすることです。

PAG

Product Applicability Guide の略称で、製品適用ガイドを意味します。コンプライアンス要件を満たす方法を模索している組織に、一般的なガイダンスを示す文書です。

PCI DSS

Payment Card Industry Data Security Standard の略称で、クレジット カード業界の情報セキュリティ標準を意味します。クレジット カード情報の受け取り、処理、保存、転送を行うすべての企業が、安全な環境を維持できるように設計された一連のセキュリティ標準です。

VVD/VCF コンプライアンス ソリューション

VMware Validated Design/VMware Cloud Foundation のコンプライアンスソリューションです。VMware Validated Design は、Software-Defined Data Center を構築し、運用するために、包括的かつ広範囲にテストされたブルー プリントを提供します。VVD/VCF コンプライアンス ソリューションにより、複数の政府機関および業界の規制におけるコンプライアンス要件を満たすことができます。