本IDCパースペクティブでは、エクスポージャーに基づく継続的コンプライアンスフレームワークについて論じています。サイバーセキュリティコンプライアンスは、定期的かつサイロ化された監査活動から、継続的かつ統合された保証へと移行しつつあります。組織が、ますます複雑化する規制、運用、技術環境において、リアルタイムの可視性、立証可能な証拠、および迅速な是正措置を求める中、継続的コンプライアンス、脆弱性管理、攻撃対象領域管理、およびエクスポージャー管理は融合しつつあります。エクスポージャー(リスク)を重視した継続的コンプライアンスの調査手法は、孤立した調査結果ではなく、ビジネスに関連するエクスポージャーを管理の中核単位とすることで、この変化に対応します。この調査手法は、エクスポージャーを資産、統制、義務、責任者、是正措置、および機械可読な証拠と結びつけることで、リスクベースの優先順位付け、再利用可能な証拠、および統制の有効性に関する継続的な検証を可能にします。エクスポージャーに基づく継続的コンプライアンスの参照モデルは、データ、意思決定、ワークフロー、証拠、およびレポートの各レイヤーを統合することで、このアプローチを運用化します。これらのレイヤーが一体となることで、コンプライアンスは、監査対応、規制への適合、および測定可能なサイバーリスクの低減を支える、エクスポージャーを意識したライブプロセスへと変貌します。「将来のサイバーセキュリティコンプライアンスは、エクスポージャーに基づく継続的コンプライアンスにかかっています。これは、脆弱性、攻撃対象領域の問題、エクスポージャー、制御コンプライアンスの問題、および証拠が、ばらばらのツールや監査、報告の流れとしてではなく、継続的に検証される単一のシステムとして管理される場所です。」と、IDCのガバナンス、リスク、コンプライアンス(GRC)ソリューション担当リサーチディレクター、Philip Harris氏は述べています。また、IDCのサイバーセキュリティ調査担当シニアディレクター、Michelle Abraham氏は「エクスポージャーを反映した継続的コンプライアンスのフレームワークは、組織のサイバーセキュリティレジリエンスを高めるために不可欠になりつつあります。これは主に、組織が単に統制が存在することを証明するだけでなく、それらが機能し、責任の所在が明確であり、実質的なリスクを低減し、かつ規制上の義務全般にわたって再利用可能な証拠を生成していることを継続的に証明しなければならないためです。」と、述べています。
エグゼクティブスナップショット
- 主なポイント
- 推奨される対応策
状況の概要
- 現状
- 継続的なコンプライアンス管理
- エクスポージャー管理
- 脆弱性管理
- 攻撃対象領域の管理
- Center for Internet Securityの重要性
- エクスポージャーに基づく継続的コンプライアンス調査手法
テクノロジーバイヤーへのアドバイス
- 主なポイント
参考資料
- 関連調査
- 要約
- 発行日
- 発行
- IDC
- ページ情報
- 英文 14 Pages
- 納期
- 即納可能