コンプライアンスの義務は、以前はITにとって煩わしいものでした。ITについてほとんど何も知らない多くの官僚的立場にある人々によって確立された一連のルールは、経営陣から実施するように指示されない限り、ITの主な焦点ではありませんでした。しかし今日、データセキュリティ(コンプライアンス全体における重要な要素)の重要性と、どのようにしてコンプライアンスに関する規格が適切なセキュリティを確立するためのフレームワークを提供するかが重要になっています。
ほとんどのIT組織は、セキュリティレベルの確立と維持に注力しています。もちろん、これは必要なステップです。しかし、環境が準拠していることを継続的に検証しようとする場合、導入した仕組みがただ単純に機能しているかどうかをチェックし続けるだけでは十分ではありません。常に、IT環境がどのように使用されているかを確認し、その使用がコンプライアンスの範囲を超えていないかどうかをチェックする必要があります。
ここで1つの疑問が浮かびます。組織がコンプライアンスに準拠しているかどうかを判断する前に、守らなければいけない範囲をどれだけ想定できるかという疑問です。違反が発生して初めてコンプライアンスに準拠していないことに気付くのではなく、ユーザー利用の初期段階でコンプライアンスに準拠できているかをテストする方法が必要です。
幸い、そのようなコンプライアンスへの確認テストが1つ存在します。「ログイン」です。
ログインは、ただ注意して目を光らせておけばよいというだけではありません。これは、特定のユーザーが自分自身を識別する重要なポイントです。そして、ユーザー自身を識別するIDとパスワードだけが重要というわけでもありません。少し深く掘り下げると、ログイン発生時に提供される情報は非常に多くあります。ログインの日時、ログイン元のIPアドレスとワークステーション、ログインの頻度など、その他の情報はすべて、その利用環境がコンプライアンスの範囲外であるかどうかを識別する上で役割を果たします。
次の例を見てください。
コンプライアンスの対象となるデータにアクセスできるユーザーは、数時間後にリモートコンピューターから連続してログインしているとします。
ここには3つの危険信号があります–
- 時刻
- ログイン数
- ログインが発生した場所
これらのログインがコンプライアンス違反であると明確に断定することはできません。しかし、、コンプライアンス違反が発生する可能性があることを、コンプライアンス違反となるアクセスが起きる前に、検知できる主要な指標となります。
多くのコンプライアンス規格は、ログインと後続のアクションの重要性を強く認識しています。最も詳細な基準の一つである- PCI DSS -からログインがコンプライアンスの中でどんな役割を果たしているか見てみましょう。
PCI データセキュリティ基準の目標は、クレジットカード保有者データを不正アクセスから保護することです。現在のPCI規格にある以下の予防措置を講じてみるとします
- 要件7:ビジネスごとにクレジットカード保有者データへのアクセスを制限する必要がある
- 要件9:クレジットカード保有者データへの物理的アクセスを制限する
- 要件10:ネットワーク上のリソースとクレジットカード保有者データへのすべてのアクセスを追跡および監視する
これらの各要件は、クレジットカード保有者データの安全を確保するために必要ですが、それぞれは各要件にある1つのキーワード「アクセス」に依存しているのがわかります。
このアクセスという言葉は、アカウントがシステムにアクティブに接続し、クレジットカード保有者データを開く/読み取る/コピーする/ダウンロードするために使用されるプロセスを表します。つまりアクセスとは、アカウントがログインすることから始まるアクションを意味しています。
PCIには、IT環境への個々のアクセスとその使用を確立するために要件8(システムコンポーネントへのアクセスを識別および認証する)が存在していますが、この要件は、各ユーザーがネットワークへのアクセス、そして最終的にはクレジットカード保有者データへのアクセスを監査する方法(要件10)を確保するために存在します。
「ログイン」でコンプライアンスに対応しましょう
コンプライアンス管理の実装には多くの面での取り組みが必要ですが(各実施命令に応じて)、組織がコンプライアンスを守れているかどうかを実際確認するには、機密データへの不適切なアクセスがあったかどうか事後的に確認することがほとんどです。不適切なアクセスが発生して初めて取り組みに不備があることに気づくのではなく、先行するすべての指標を活用する必要があります。
ログインは、コンプライアンス違反を監査するだけものでなく、同様にコンプライアンス違反の可能性のある不適切なアクセスを防ぐための最も重要なポイントです。ログインというアクセスに欠かせない起点を注視することは、コンプライアンスを守るうえでの監視対象をシンプルにできるということでもあります。
