マカフィー、コンプライアンスを確立するために必要なステップを解説
マカフィーが、企業の情報セキュリティについて、自社ブログで解説している。セキュリティプログラムの主な要素は、「グローバルベースの脅威情報」「多層防御」「自動化されたコンプライアンス」の三つ。今回、ブログでは「自動化されたコンプライアンス」を解説している。
企業がコンプライアンス体制を確立させるためには、まず、何が管理されていて、何が管理されていないかを把握すること。格納・処理されるデータの価値を理解し、金銭的な損失やダウンタイムの原因や規制監査の対象を把握する「ポリシーの設定とアセットの優先順位の決定」が必要であるとしている。
次に、構成のズレが発生している可能性がある場所はどこか、システムのどのデバイスが管理されていないか、全体のセキュリティの状況はどうかなど、「脆弱性の管理と構成の監査」をする、さらに、「リスクベースの修正」として、どのような脅威に狙われているのかを理解したうえで、対策するテクノロジーを配備し、自動化することを勧めている。
さらに、システムで何が変更できるか、誰が変更できるかを把握し、システムの整合性を維持する「ポリシーの施行と変更の監視」、データ収集を実行してコンプライアンス体制を常に評価できる状況を維持し、セキュリティレポートと財務レポートを並行して実行可能かどうかを確認する「リアルタイムのレポーティング」が必要としている。
企業がコンプライアンス体制を確立させるためには、まず、何が管理されていて、何が管理されていないかを把握すること。格納・処理されるデータの価値を理解し、金銭的な損失やダウンタイムの原因や規制監査の対象を把握する「ポリシーの設定とアセットの優先順位の決定」が必要であるとしている。
次に、構成のズレが発生している可能性がある場所はどこか、システムのどのデバイスが管理されていないか、全体のセキュリティの状況はどうかなど、「脆弱性の管理と構成の監査」をする、さらに、「リスクベースの修正」として、どのような脅威に狙われているのかを理解したうえで、対策するテクノロジーを配備し、自動化することを勧めている。
さらに、システムで何が変更できるか、誰が変更できるかを把握し、システムの整合性を維持する「ポリシーの施行と変更の監視」、データ収集を実行してコンプライアンス体制を常に評価できる状況を維持し、セキュリティレポートと財務レポートを並行して実行可能かどうかを確認する「リアルタイムのレポーティング」が必要としている。