厳格化する法令・規制・ガイドラインの遵守
近年、企業はさまざまなセキュリティ法令・規制・ガイドラインへの遵守を求められています。たとえば、自動車産業のサプライヤーに対しては、複数のOEMなどから、自工会・部工会のサイバーセキュリティガイドライン、 ドイツ自動車工業会によるTISAX®認証、NIST CSFなどに基づいたセキュリティ強化の要求があります。要求の都度、異なるセキュリティ規制やガイドラインに基づいて、社内でセキュリティ評価するのは非効率で、また異なる法令・規制・ガイドラインであっても、個々の要求事項を見ると、類似した内容が多数あります。
下記のようなセキュリティポリシーにかかわる要求事項は、「セキュリティ規程類が作成され、公開され、定期的に更新されている」という1つの統制目的を達成すれば、すべてを満たすことができます。この考え方は“Test once and satisfy many(一度のテストで複数を充足)”と呼ばれます。
| 法令・規制・ガイドライン | 項番 | 要求事項 |
|---|---|---|
| TISAX VDA-ISA 6.0.1 | 1.1.1 Must項目 |
|
| 1.1.1 Should項目 |
| |
| 1.1.2 Must項目 |
| |
| ・・・ | ||
| 自工会部工会サイバーセキュリティガイドライン 2.1 | 1-1 |
|
| 1-2 |
【規則】社内外の環境変化を踏まえて、内容を確認し、適宜見直ししていること 【頻度】情報セキュリティ対応方針(ポリシー)の内容を確認、改善:1回以上/年 ※別途、重大な変化が発生した場合には迅速に対応すること | |
| ・・・ | ||
| NIST CSF 2.0 | GV.PO-01 | サイバーセキュリティリスクを管理するためのポリシーは、組織の状況、サイバーセキュリティ戦略、優先順位に基づいて確立され、伝達および施行される。 |
| ・・・ | ||
このような要求事項は、法令・規制・ガイドラインごとのスプレッドシートで管理している場合がほとんどですが、スプレッドシートでは法令・規制・ガイドラインをまたがって可視化するのは困難です。
KPMGの支援
アセスメント基盤では、以下のように統制目的に対して、法令・規制・ガイドライン、および要求事項を自由に紐づけて、この単位でテスト計画を策定し、テストの実施やフォローアップを管理できます。
また統制目的単位で、テストに必要な文書・証跡を対象部門から入手するワークフローを回し、入手・確認した文書・証跡をテスト結果として合わせて保存できます。これらによって、不規則に管理されることが多い統制内容・テスト手順・確認証跡・テスト結果を一元管理することができ、自己評価/内部監査の効率化および品質向上に貢献します。
【アセスメント基盤イメージ】
【ServiceNowのプラットフォームイメージ】
アセスメント基盤は、自己評価/内部監査の準備と実施のプロセスを分離して、柔軟な自己評価/内部監査のプロセスを実装します。ServiceNowのプラットフォームにおいては以下のようなイメージです。
