サイバーセキュリティガバナンスに対するボーダーレスなアプローチの採用

Wayne Dorris

サイバー攻撃が増加の一途をたどる中、堅牢なサイバーセキュリティが、かつてないほど重要になっています。実際2020年には、リモートワークによって生じた脆弱性が悪用され、英国企業への悪質な攻撃だけでも20%近く増加しています。サイバー犯罪者たちは、金銭的な利益や広範囲に渡る混乱を狙っていると思われます。

幸いなことに、企業は何の指針もなく自力で攻撃に対処しなければならないわけではありません。各国政府はさまざまな規制を行い、企業と顧客のデータのリスクの低減に取り組んでいます。これらの規制は、攻撃に対する防御策の標準化に役立っています。規制に準拠せずにデータが流出すると、企業は莫大な罰金を科せられるおそれがあります。

こうした事情から、製品メーカーは若干苦しい立場に置かれています。お客様が従う規制を理解した上で、製品のコンプライアンスを確保しなければならないからです。そのためには、絶え間ない監視と警戒が必要です。規制は改定される場合があり、ある地域で成立した規制が別の地域で採用される場合もあるからです。グローバルなメーカーは、規制に関して常に一歩先を行き、コンプライアンスを保つのに必要なアップグレードを行い、今後の問題を回避しなければなりません。

 

ガバナンス vs. コンプライアンス

お客様の立場から見ると、規制への準拠は重要なデータを保護するための出発点にすぎません。企業はガバナンスとコンプライアンスの両方を重視する必要があります。この2つは密接に結びついた用語であり、時として混乱を招きがちです。ガバナンスとは、企業が自身に設定する社内的なポリシーで、政府規制を超えたものになる傾向があり、企業固有のリスクプロファイルや業界をとりまく脅威環境に応じて作られています。

一方、コンプライアンスは、こうした社内ポリシーと規制を順守するための対策を意味します。これらの対策は、プロセスに不要な摩擦が生じないよう、セキュリティとユーザーエクスペリエンスのバランスが取れていることがこれらの対策では重要です。また、第三者による監査の対象になり、綿密な調査に耐えうることが求められる場合があります。

新たな脅威が出現し、新たな脆弱性が発見されるのに伴い、ガバナンスとコンプライアンスは継続的に評価されます。したがって、メーカーは規制に準拠するだけでなく、すべてのお客様のガバナンス要件を満たす製品とサービスを提供する責務を負います。

 

規制に関するグローバルな思考

残念ながら、規制は地域によって異なります。ビデオ監視テクノロジーのグローバルなメーカーは、地域ごとの規制の違いという課題を抱えています。たとえば、ヨーロッパのEU一般データ保護規則 (GDPR) では、個人データの管理、保存の方法が定められています。EU諸国の市民に関して収集したデータは、どこで収集したかに関わらず、この規制の対象になり、違反すると財政的に相当な悪影響が生じかねません。実際、2018年にGDPRの施行が開始されて以来、この規制に違反した企業から3億3,240万ドルの罰金が徴収されています。対照的に、米国では全体的な基準がなく、企業が順守しなければならない州ごとの規制があります。その他の国や地域にもそれぞれ独自のアプローチがあり、複雑な規制環境が成り立っています。米国など特定の国を本拠地とする企業が世界規模で事業を展開する場合は特に複雑です。これらの企業は、進出先の各国の基準を順守しなければ、コンプライアンス違反のリスクが生じます。

地域ごとに異なるデータ保護とサイバーセキュリティの規制に対応するには、まず規制を理解し、サイバー攻撃から機密データを保護するためのべストプラクティスを行います。これにより、お客様のコンプライアンス対策をサポートするために、どんなタイプのサイバーセキュリティ保護を製品に組み込むべきかが明らかになります。

 

常に一歩先を行く必要があるメーカー

メーカーとしては、規制に関する膨大な知識があったとしても、絶え間ない脅威の状況の変化を見失うわけにいきません。製品のファームウェアは、新たな脆弱性に合わせて定期的に更新する必要があります。レガシー製品がまだ使用されている場所では、問題に遭遇するおそれがあり、製品の更新がもう行われていない場合もあります。

そのためサイバーセキュリティは、製品ライフサイクル管理の一環として考えなければなりません。一定の年数を超えた製品は、もはやサイバーセキュアではないおそれがあります。この問題は、規制の改定によってデバイスが規制に準拠しなくなる場合があるため、さらに複雑化します。問題を是正するため、メーカーが5年前以上のソフトウェアとファームウェアを確認する必要に迫られる場合がありますが、非常に難しい作業になりがちです。

メーカー内部での対策以外で注意すべきところがサプライチェーンの分野です。サイバーセキュリティは優先度の高い問題であるため、メーカーのサプライチェーンに参加する企業は、サイバーセキュリティとデータ保護の自社アプローチを実証することが求められます。これには、規制の順守状況や、安全に取引できる根拠が含まれ、メーカーはこうした知識を利用することで、製造過程で製品にセキュリティリスクが入る可能性を抑止しています。

 

お客様の利益を常に最優先

サイバーセキュリティに関する限り、企業は、自社が直面する脅威と固有のリスク、脆弱性に加えて、お客様が順守しなければならない規制について理解することが重要です。

お客様のセキュリティ業務に使用されるデバイスのメーカーとして、サイバーセキュリティ対策へのグローバルなマインドに基づくアプローチは実を結びます。さまざまな市場の最も厳しい規制を製品で順守することによって、このアプローチはお客様のニーズを常に最優先するものとなります。さらに、既存の規制が新しい市場で採用された場合、製品はすでにその規制に準拠しているため、ファームウェアを更新する必要がありません。このように、メーカーは常にお客様の利益を最優先に、お客様のデータの安全な保存を支援します。

Axis製品のサイバーセキュリティの内蔵の詳細については、こちらをご覧ください。

内蔵のサイバーセキュリティ機能