テクノロジー業界全体で、コンプライアンスへの取り組みは依然として主にインフラプロジェクトとして扱われることが多い。企業はツールを購入し、ワークロードをコンプライアンス対応のクラウド環境に移行し、監視プラットフォームを導入し、ID管理を展開して、問題はほぼ解決したと考える。しかし、この考え方は最も困難な部分を完全に見逃している。
現代のコンプライアンスにおける最も困難な側面は、もはやテクノロジーそのものではない。それは、データ、プロセス、人材、そして運用規律に対するガバナンスである。課題は単にシステムを保護することではない。課題は、どのような機密情報が存在し、どこに存在し、組織全体でどのように流れ、誰がアクセス権を持ち、ライフサイクル全体を通じてどのように管理されるべきかを理解することである。
変化したのは、コンプライアンス違反がもはや単なる監査所見や契約上の不都合ではなくなったことだ。それらは、契約適格性、虚偽請求法のリスク、サイバーレジリエンス、サプライチェーンの信頼性に直接結びついた運用上、法的、そして国家安全保障上のリスクへと変化している。
国防産業基盤におけるサイバーセキュリティ成熟度モデル認証(CMMC)は、この変化の最も明確な例の1つだが、その教訓は防衛契約をはるかに超えて広がっている。金融サービス、医療、重要インフラ、クラウドプロバイダー、多国籍企業はすべて、同じ根本的な問題に直面している。それは、ますます相互接続され、クラウドベースで、グローバルに分散した運用環境内で、機密情報や規制対象情報をどのように管理するかという問題である。
コンプライアンスに最も苦労している企業は、サイバーセキュリティツールが不足している企業ではないことが多い。それは、スコープ、データ系統、ワークフローガバナンス、運用上の説明責任に関する明確性が欠けている企業である。
テクノロジーは通常、より容易な問題である
今日、成熟した企業のほとんどは、強力なサイバーセキュリティツールを展開できる。多要素認証、暗号化、エンドポイント検知・対応、セキュリティ情報・イベント管理プラットフォーム、特権アクセス管理、クラウドセキュリティ管理は、もはや最大手企業だけが持つ特殊な機能ではない。
市場は過去10年間で大幅に成熟した。主要なクラウドプロバイダーはコンプライアンス対応のインフラ提供に多額の投資を行い、マネージドセキュリティプロバイダーやコンプライアンスプラットフォームは展開と運用を簡素化した。政府向けクラウド環境、セキュアエンクレーブ、マネージドコンプライアンスアーキテクチャにより、企業はわずか数年前には不可能だったほど迅速に高度にセキュアな環境を構築できるようになった。より困難な課題は、テクノロジーが導入された後に始まる。
企業は、どの情報が実際に規制対象に該当するのか、そしてその情報が企業全体のどこに存在するのかを判断しなければならない。機密データは、エンジニアリングシステム、コラボレーションプラットフォーム、電子メール、共有ドライブ、クラウドリポジトリ、バックアップシステム、サプライヤー環境、従業員のエンドポイントに存在する可能性がある。多くの場合、企業が発見する真の問題は、ツールの不足ではなく、可視性とガバナンスの欠如である。
運用上の問題は、技術的な問題よりもはるかに困難になる。
- 実際に規制対象となるデータは何か?
- そのデータは組織全体でどのように移動するのか?
- どの従業員、契約社員、サプライヤーがアクセスを必要とするのか?
- 規制対象環境と非規制環境はどのように相互作用すべきか?
- どのワークフローがコンプライアンスリスクをもたらすのか?
- 機密情報は外部とどのように共有されるべきか?
この運用上の複雑さこそが、コンプライアンスプログラムが成熟するか失敗するかの分かれ目である。
コンプライアンスはデータガバナンスの問題となった
規制コンプライアンスにおける最大の誤解の1つは、企業全体、アプリケーション、製品ラインが自動的に規制対象環境になるという前提である。実際には、ほとんどのコンプライアンス義務は、特定のデータセット、ワークフロー、ビジネスプロセスに結びついている。
防衛産業では、多くの企業が、商用製品、国際協力、政府プログラムが同時に共存する高度に混在した環境で事業を展開している。製造業者は、世界中で販売される商用航空システムを開発する一方で、管理対象非機密情報(CUI)の保護を必要とする国防総省や連邦航空局のプログラムをサポートしている場合がある。エンジニアリングチームは国際的に協力する一方で、特定の技術成果物、図面、プログラム文書のみが規制管理の対象となる。
企業は政府顧客向けに商用製品をカスタマイズし、後にその機能の一部を世界中で販売することがある。また、実際のCUIの交換が最小限であるか、明確に定義されていないにもかかわらず、国防連邦調達規則補足条項を受け取る場合もある。エンジニアリングチームは、規制対象情報のサブセットのみに関してコンプライアンスに準拠したセグメンテーションを維持しながら、サプライヤー、国際子会社、商用事業部門にわたって協力する必要がある場合がある。ここで、コンプライアンスは単にサイバーセキュリティツールを展開するよりもはるかに複雑になる。
課題は「すべてをロックダウンする」ことではない。そのアプローチは、ほとんどの企業にとって運用上持続不可能であり、財務的に非現実的である。実際、多くの企業では、コンプライアンスに失敗する最も早い方法は、環境を過度にスコープすることである。
過度な制限は運用上の摩擦を生み出す。過度な分類は、エンジニアリングとコラボレーションを遅らせ、コストを増加させ、ユーザーを苛立たせ、多くの場合、従業員をシャドーITの回避策に向かわせ、さらに大きなセキュリティギャップを生み出す。企業全体を無差別に高度に制限された環境に配置する企業は、生産性が低下し、コンプライアンスの複雑さが増すことに気づくことが多い。
真の課題は、以下を正確に理解することである。
- 実際に規制対象となる情報は何か
- その情報はどこに存在するか
- そのデータは内部および外部でどのように移動するか
- どの従業員、契約社員、サプライヤーがアクセスを必要とするか
- どのシステムとワークフローがコンプライアンスの範囲内に入るか
- 規制対象環境と非規制環境はどのように相互作用すべきか
コンプライアンスを最も効果的に管理している企業は、通常、最も制限的な環境を持つ企業ではない。それは、データ、ワークフロー、サプライヤー関係、ガバナンスモデルについて最も明確な理解を持つ企業である。
CMMCは変化を完璧に示している
CMMCの進化は、業界全体でコンプライアンスの期待がどのように変化しているかを浮き彫りにしている。長年にわたり、多くの防衛契約業者は自己証明モデルの下で事業を展開していた。企業は、NIST特別刊行物800-171の要件への最終的なコンプライアンスに向けて取り組みながら、サプライヤー・パフォーマンス・リスク・システムのスコアを提出できた。実際には、これはコンプライアンスが運用規律ではなく文書化の演習として扱われることが多い環境を生み出した。このモデルは現在、急速に変化している。
企業は、管理が存在するだけでなく、一貫して実装され、効果的に監視され、実際のビジネス運用とデータフローに整合していることを実証する必要がますます高まっている。第三者による検証がプロセスの中心となりつつあり、同時に司法省は、不正確なコンプライアンス主張と脆弱なサイバーセキュリティ慣行に関連する虚偽請求法のリスクに関する監視を強化している。
この移行の規模は膨大である。国防総省は、22万社以上の企業が何らかの形で国防産業基盤のサプライチェーンに参加していると推定しており、CMMC実装が加速するにつれて、数千の契約業者が時間の経過とともにレベル2認証を必要とすると予想されている。同時に、評価者の利用可能性、運用準備、サプライヤーの準備状況は市場全体で不均一なままである。これは、規制上の期待と運用上の成熟度との間に危険なギャップを生み出している。
同時に、国防総省を通じて先駆けられたコンプライアンスモデルは、より広範な連邦エコシステムに影響を与え始めている。一般調達局は、すでに連邦契約業者全体でサイバーセキュリティとサプライチェーンの監視を強化しており、国土安全保障省やエネルギー省などの機関は、管理対象情報、運用レジリエンス、サプライヤーリスク管理に関する要件を拡大し続けると予想されている。
国防産業基盤の問題として始まったものは、ますます広範な連邦契約業者の問題となり、最終的には規制対象産業全体にわたるより広範な企業ガバナンスモデルになる可能性がある。
議論は、企業が適切なツールを購入したか、ベースライン管理を実装したかに限定されなくなった。焦点は、リーダーシップが証明しようとしている環境を真に理解しているか、規制対象情報が適切に識別され管理されているか、コンプライアンスプロセスが企業全体で実際に一貫して運用されているかに移っている。
多くの場合、真の問題は次のようになる。
- 企業は実際に規制対象となるデータを理解しているか?
- 規制対象環境と非規制環境は適切にセグメント化されているか?
- サプライヤーと第三者のリスクは適切に管理されているか?
- 文書化されたポリシーは実際の運用行動を反映しているか?
- 企業は、監査、調査、侵害事象の際にコンプライアンス主張を擁護できるか?
これらは、どのファイアウォールを展開するか、どのエンドポイントプラットフォームを標準化するか、どのクラウド環境に移行するか、どのセキュリティ情報・イベント管理システムを購入するかといった純粋な技術的問題よりも、はるかにガバナンスと運用成熟度の問題である。多くの場合、企業はすでに強力なサイバーセキュリティツールを導入している。より困難な課題は、明確な運用境界と防御可能なコンプライアンスガバナンスを維持しながら、規制対象情報がエンジニアリングチーム、サプライヤー、クラウドリポジトリ、コラボレーションプラットフォーム、ビジネスワークフロー全体でどのように移動するかを判断することである。
コンプライアンスは運用能力となりつつある
ますます規制される業界で最高のパフォーマンスを発揮する企業は、必ずしもサイバーセキュリティツールに最も多くの資金を費やしている企業ではない。それは、データを理解し、規律あるガバナンスプロセスを維持し、IT部門内に隔離するのではなく、ビジネス機能全体でコンプライアンスを運用化する企業である。
現代のコンプライアンスは、エンジニアリング、調達、法務、人事、施設、製品開発、経営陣と交差している。企業は、機密情報がビジネスを通じてどのように流れるか、運用上の決定が規制上のリスクにどのように影響するかを理解する必要がある。テクノロジーは依然として不可欠だが、テクノロジーだけではもはや十分ではない。
今後10年間で、コンプライアンスプログラムは信頼のためのオペレーティングシステムとなっていく。政府、顧客、投資家、サプライチェーンパートナーはすべて、企業が技術的セキュリティだけでなく、情報、サプライヤー、運用リスク、規制上の説明責任に対する規律あるガバナンスを実証することを期待する。
早期に適応する企業は、コンプライアンスをオーバーヘッドや一度限りの認証演習としてではなく、レジリエンス、顧客の信頼、契約適格性、企業の信頼性に直接結びついた長期的な競争優位性として扱う。
