お客様もこのような状況を経験されたことがあるのではないでしょうか。有望な大企業との取引が最終段階に差し掛かり、契約書の準備が整い、価格も合意したところで、会話が滞ってしまう、という状況です。
その理由は、サイバーセキュリティコンプライアンスのドキュメントの提出を求められたものの、それを用意できなかったためです。
非常にもどかしい瞬間です。サイバーセキュリティのコンプライアンスは、専任のセキュリティチームや膨大な予算を持つ大企業向けのものであると感じるのも無理はありません。成長を続けるスタートアップや中小企業にとって、それは圧倒されるような管理上の負担に感じられることがあります。
幸いなことに、お客様がデータ保護を真剣に捉えていることを証明するための、シンプルな方法があります。
本ガイドでは、コンプライアンスがお客様のビジネスにとって実際に何を意味するのか、直面することになる主要な枠組み、そしてIT専門家のチームを必要とせずに始める方法について詳しく解説します。
サイバーセキュリティコンプライアンスとは何ですか?
サイバーセキュリティコンプライアンスとは、認定された基準に従って、お客様が機密データを保護していることを証明する方法です。これは単に適切なツールを用意するだけでなく、適切なプロセスと、それを裏付ける文書を整備することでもあります。
お客様のビジネスにおけるセキュリティの『成績表』とお考えください。これは、ルールを整備してそれを遵守していること、そしてそれを証明できることを、見込み客やパートナーに示すものです。
これは任意ではありません。GDPR(新しいウィンドウ)やHIPAA(新しいウィンドウ)などの規則には、強力な法的強制力があります。罰金、訴訟、業務制限などが科される可能性があります。また、サイバーセキュリティの脅威は机上の空論ではありません。中小企業の5社に4社(新しいウィンドウ)が、最近データ侵害を経験しています。
データコンプライアンス違反のリスク
コンプライアンスをスキップすることは、時間と費用を節約する方法のように思えるかもしれませんが、それは近視眼的なギャンブルです。その影響は、以下の3つの重要な分野に及びます:
- 金銭的ペナルティ:わずか1件のGDPR違反でも、数百万ドルの費用がかかる可能性があります。中小企業にとって、中規模の罰金であっても、一時解雇、成長の凍結、あるいは廃業を意味することがあります。
- 業務の中断:データ侵害が発生すると、システムが数週間にわたりオフラインになります。スタッフは危機を管理するため、収益を生み出す業務から引き離されることになります。ダウンタイム、弁護士手数料、契約の喪失などを考慮すると、復旧費用は容易に100万ドルを超える可能性があります。
- 評判の失墜:データを託してお客様を信頼してくれた顧客は、二度目のチャンスを与えてくれないかもしれません。横のつながりが強い業界では、噂はすぐに広まります。コンプライアンス違反はブランドを傷つけるだけでなく、長期にわたって営業パイプラインを縮小させる恐れがあります。
すべての企業が知っておくべき、主要なサイバーセキュリティのフレームワーク
これらは、お客様の顧客、規制当局、および企業パートナーから尋ねられる可能性が高い基準です。
GDPR(一般データ保護規則)
欧州連合(EU)にお客様の顧客が1人でもいる場合、あるいはウェブサイトにアクセスしたEUの訪問者からメールアドレスを収集している場合、お客様の会社の所在地に関わらず、GDPR(新しいウィンドウ)が適用されます。非遵守の場合、最大2,000万ユーロ、または世界年間売上高の4%のいずれか高い方の額の罰金が科される可能性があります。
何を意味するか:データの収集方法と使用方法について透明性を保たなければなりません。また、個人に対して自らの情報へのアクセス、修正、削除を行う権利を提供する必要があります。
HIPAA(医療保険の相互運用性と説明責任に関する法律)
お客様は、米国の医療提供者にサービスを提供するSaaS企業でしょうか?あるいは予約を管理するクリニックでしょうか?患者データがお客様のシステムに触れた瞬間から、HIPAA(新しいウィンドウ)が適用されます。ペナルティは、違反の深刻度や過失の有無に応じて、数千ドルから数百万ドルに及びます。
何を意味するか:データの暗号化、アクセス制限、データ侵害の明確な報告手順など、厳格な保護措置が必要です。
NIS2(ネットワーク・情報セキュリティ指令)
これは、エネルギー、運輸、デジタルインフラなどの重要セクターにおけるサイバーセキュリティを強化するためのEU指令です。お客様自身が直接規制の対象ではない場合でも、取引先である企業顧客がベンダーチェックの一環としてNIS2(新しいウィンドウ)基準を満たすよう求めてくる場合があります。
何を意味するか:リスク管理の実践と、厳格なインシデント報告が義務付けられます。
ISO 27001およびSOC 2
これらは、お客様がデータをどのように管理し、保護しているかを評価する国際基準です。企業クライアントにとって、ISO 27001(新しいウィンドウ)認証やSOC 2レポートを取得していることは、非常に大きな信頼の証となります。これはクライアントに対し、『私たちは独立した専門家による監査を受け、セキュリティは万全です』と示すものになります。
何を意味するか:文書化されたセキュリティ管理策を実施し、独立した監査を受け、その認証を継続的に維持する必要があります。
サイバーセキュリティにおけるコンプライアンスの始め方
コンプライアンスは、チェックすべき長い項目リストのように思えるかもしれませんが、その基本は5つの実践的なステップに集約されます。
- どのようなデータを保有しているか、それがどこに保存されているか、部署や誰にアクセス権があるかを明確にします。請負業者の個人のDropboxに保存された顧客リストや、誰でも編集できる機密情報入りの共有スプレッドシートが見つかり、驚くことになるかもしれません。
- ポリシーを文書化します。誰が何にアクセスできるのか?データ侵害をどのように報告するのか?古いデータをどのように処分するのか?文書化されていなければ、それは存在しないも同然です。これらの文書を明確かつ最新の状態に保ち、チームが実際にそれを遵守するようにしてください。
- チームにビジネス用パスワードマネージャー(新しいウィンドウ)を導入します。これは強力な認証情報を生成し、安全に保管し、良い習慣をデフォルトにします。複雑なパスワードを覚える煩わしさを排除(削除)してくれます。
- ビジネス用VPN(新しいウィンドウ)を使用します。これにより、お客様のチームのすべてのインターネットトラフィックが暗号化され、どこからログインしてもデータが確実に保護されます。これは、ほぼすべての主要なフレームワークのネットワークセキュリティ要件を満たすための簡単な方法です。
- コンプライアンスの対応に責任を持つ特定の担当者を配置します(その役割が本来の業務の一部であっても構いません)。その担当者は、規制の変更を追跡し、文書を最新の状態に保ち、経営陣に常に情報が共有されるようにする必要があります。
サイバーセキュリティの規則に準拠し続ける方法
規則は変化し、お客様のチームは成長し、使用するツールも進化します。だからこそ、継続的な注意が必要です。
- 定期的にポリシーを見直す:四半期ごとに見直しを行い、文書化された内容が実際の業務プロセスを反映していることを確認します。
- 漏洩を監視する:データ侵害が発生してから認証情報が漏洩したことを知る、といった事態は避けましょう。ダークウェブを監視し、データ侵害によって自社のデータが流出した場合に警告してくれるツールを使用してください。
- 内部監査を実施する:監査人がチェックする前に、自社の管理体制をテストします。自分たちでギャップを発見することは、外部に露呈するよりも常にコストを低く抑えることができます。
- チームをトレーニングする:ポリシーは、従業員が遵守して初めて機能します。フィッシングやデータの取り扱いに関する短時間で実践的なトレーニングを行うことで、セキュリティ習慣を鋭敏に保つことができます。
- 優れたセキュリティを可能にするツールを使用する:セキュリティがデフォルトになっていると、コンプライアンスの達成は容易になります。ビジネスデータを暗号化し、アクセスに対するきめ細かな制御を提供し、脆弱なパスワードなどのリスクを自動的に警告するツールを選択してください。
サイバーセキュリティコンプライアンスをBAUの一部にする
コンプライアンスは、慌てて行う必要はありません。適切なツールを使用すれば、それはビジネス運営の一部となり、セキュリティに関する質問票や監査に対して具体的な回答を提供できるようになります。
Proton Pass(新しいウィンドウ)およびProton VPN(新しいウィンドウ)は、この目的のために設計されています。セットアップは数分で完了し、管理のためのITチームも必要ありません。
- Proton VPNは、企業のすべてのネットワークトラフィックを暗号化し、承認されたデバイスのみにアクセスを制限することで、厳格なネットワークセキュリティ要件を満たします。
- Proton Passを使用すると、2要素認証を強制し、認証情報を安全に管理し、監査用のアクティビティログを管理者パネルから直接取得できます。新しい従業員が入社した際、数クリックでアクセス権をプロビジョニングでき、離職の際は即座にそれを失効させることができます。
また、弊社のコンプライアンスをお客様自身のコンプライアンスに活用することもできます。お客様が使用しているソフトウェアのセキュリティについて企業クライアントから尋ねられた際、弊社の認証情報を提示することができます。
ProtonはISO 27001認証を取得し、SOC 2 Type IIの検証を受けており、スイスに拠点を置く、完全にオープンソースのサービスです。これにより、お客様のデータがグローバル最高水準で保護されているという、検証可能なサードパーティによる証明が得られます。
Proton for Business(新しいウィンドウ)は、コンプライアンスの取り組みを開始するだけでなく、それを長期的に維持するために必要なツールをお客様に提供します。
