Share on:


ビクトリア州データ保護セキュリティフレームワークとCOBIT 5

By Syed Salman, CISA

COBIT Focus | 2018年7月9日 English

Syed Salman データの生成・処理・やり取り・保存される量は、かつてないほどに増大している1 多くの人々は自身の情報が、政府機関から民間企業といったあらゆる組織で保有されていることを認識している。その情報は基本的に個人に関するものであり、本人の同意なしに公開してほしくないと思っている。しかし、残念なことに、個人情報は、多くの場面で妥協させられている.2 更に、最近のソーシャルメディアサービスによる様々な問題の発覚により、多くのユーザーがどのように個人データが利用されているかについて懸念を示している.3

データ量やサイバー攻撃の脅威の増大により、情報セキュリティや個人情報の保護規制が世界で施行されている。例えば、サウジアラビア金融庁が制定した「サイバーセキュリティフレームワーク」、EU議会が承認・採用した「一般データ保護規制(GDPR)」、オーストラリアのビクトリア州にあるビクトリア州情報監視機関(OVIC)が制定した「ビクトリア州のデータ保護セキュリティフレームワーク(VPDSF)」がある。

本記事では、ビクトリア州データ保護セキュリティフレームワーク(VPDSS)に準拠するためにCOBIT 5をどのように活用することが出来るかにについて記載し、図表1にCOBIT 5プロセスと関連する個々のVPDFS基準をどのように活用するかを示している。


図表 1—COBIT 5 の有効プロセスのVPDSSへのマッピング

VPDSSの標準項目

標準概要

関連する COBIT 5 プロセス

関連プロセスのゴール/管理方法

1-セキュリティフレームワーク
組織は、その規模・リソース・リスク許容度によるセキュリティ管理フレームワークを設定し、導入・運用しなければならない。
APO13 セキュリティ管理
プロセスのゴール 1—企業の情報セキュリティ要件を考慮し、効率的に対処するシステムを設置する。
2-セキュリティリスク管理
組織は、セキュリティリスクを管理するためにリスク管理フレームワークを活用しなければならない。
APO12 リスク管理
プロセスのゴール 1—ITに関するリスクを特定・分析・管理・報告する。
プロセスのゴール 2—現在および完全なリスクプロファイルがある。
3-セキュリティポリシーと手続き
組織は、その規模・リソース・リスク許容度によるセキュリティポリシーと手続きを設定し、導入・運用しなければならない。
APO01 IT管理フレームワークの運用

プロセスのゴール 1—効果的な一連のポリシーが定義され維持されている。

4-情報へのアクセス
組織は、公共機関のデータにアクセスするためのアクセス管理体形を設定し、導入・運用しなければならない。
DSS06 ビジネスプロセスコントロールの管理
プロセスのゴール 2—役割・責任・アクセス権限の一覧は許可されたビジネス要件に沿っている。
5-セキュリティに関する義務
組織は、公的機関のデータにアクセスする全従業員のセキュリティに関する義務を定義し、文書化し、コミュニケートし、定期的にレビューしなければならない。
MEA03外部要件によるコンプライアンスのモニター、結果の判断、および評価
プロセスのゴール 1—外部コンプライアンス要件は全て特定されている。
プロセスのゴール2— 外部コンプライアンス要件は適切に対応されている。
6-セキュリティに関するトレーニングと意識向上
組織は、公的機関のデータにアクセスする全従業員にセキュリティトレーニングを実施し、意識を向上させるようにしなければならない。
APO07 人的資源の管理
経営実務 APO07.03: 個人のスキルや適性の維持
7-セキュリティインシデント管理
組織は、その規模やリソースおよびリスク姿勢に合ったセキュリティインシデント管理体制を制定・導入し、運用しなければならない。
DSS02 サービス要件とインシデントの管理
プロセスのゴール 3—サービス要件は、同意したサービスレベルとユーザーの満足度に従って提供される。
8-事業継続管理
組織は、公的機関のデータのセキュリティを取り扱う事業継続管理プログラムを制定・導入し、運用しなければならない。
DSS04 継続性の管理
プロセスのゴール 4—最新の継続計画に、現状のビジネス要件を反映する。
9-契約サービスプロバイダー
組織は、公的機関のデータにアクセスする契約したサービスプロバイダーがVPDSSに違反した行動や業務をしないように確保しなければならない。
APO10 サプライヤー管理
プロセスのゴール 2—サプライヤーリスクは評価され、適切に対処される 。
10-政府のサービス
他の組織から公的機関のサービスを受ける組織は、そのサービスが公的なデータの収集・保存・使用・管理・公開・転送に関するVPDSSに準拠するように確保しなければならない。
APO10 サプライヤー管理
プロセスのゴール 2— サプライヤーリスクは評価され、適切に対処される 。
11-セキュリティ計画
組織は、セキュリティリスクを管理するデータ保護セキュリティ計画を作成・導入および運用しなければならない。
APO13 セキュリティ管理
プロセスのゴール 2—A セキュリティ計画は、その企業全体で承認され、コミュニケートされている。
12-コンプライアンス
組織は、VPDSSの導入の年次評価をし、ビクトリア州のプライバシー監視機関に準拠レベルを報告しなければならない。
MEA03外部要件によるコンプライアンスのモニター、結果の判断、および評価
プロセスのゴール 2—外部準拠要件は、適切に表明される。
13-情報の価値
組織は、公的機関のデータの可用性・完全性・機密性を危うくする可能性を考慮した情報の評価を実施しなければならない。
DSS04継続性の管理
経営実務 DSS04.02: ビジネス継続戦略の運用

アクティビティ 2—重要なビジネス機能の分断時の影響と、その分断による影響を評価する、ビジネス影響度分析を実施する。
14-情報管理
組織は、情報管理フレームワーク内に情報セキュリティコントロールに関する方針を策定し、導入し、運用しなければならない。
APO13 セキュリティ管理
プロセスのゴール 1—組織全体の情報セキュリティ要件を考慮し効率的に対処するシステムを設置する。
15-情報共有
組織は、公的機関のデータを共有する場合には、セキュリティ管理が実施されていることを確保しなければならない。
APO13 セキュリティ管理
プロセスのゴール 1—組織全体の情報セキュリティ要件を考慮し効率的に対処するシステムを設置する。
16-個人情報の ライフサイクル
組織は、人事管理において個人のセキュリティ管理方法を設定し、導入し、運用しなければならない。
APO07人的資源の管理

経営実務  APO07.03: 人材の能力や技術の維持。

アクティビティ 5—組織全体のナレッジ・内部管理・同義的行為やセキュリティに関する要件を含む、組織やプロセス要件に沿ったトレーニングプログラムの開発と実施。

17-情報通信技術 (ICT) のライフサイクル
組織は、ICT管理体制においてICTセキュリティ管理を設定し、導入し、運用しなければならない。
DSS05 セキュリティサービスの管理
プロセスのゴール 1—ネットワークとコミュニケーションのセキュリティはビジネス要件と一致する。
プロセスのゴール 2—ネットワーク端末での情報の処理・保存・転送は保護されている。
プロセスのゴール 3—全てのユーザーは個別のIDをもち、ビジネスの役割によりアクセス権限が付与されている。
プロセスのゴール 5—電子情報は、保存・転送・破壊される場合は安全に行われる。
18-物理的なライフサイクル
組織は、物理的な管理体制において物理的なセキュリティ管理を設定し、導入し、運用しなければならない。
DSS05 セキュリティサービスの管理
プロセスのゴール 4—物理的な基準は、情報が処理・保存・転送される時に、不正アクセス、ダメージ、障害から保護するために導入される。


上記の図表1のマッピングにより、専門家は COBIT 5: 許可プロセス に記載されている、より価値のある情報にアクセスする。そのような情報は、VPDSSの出版物では提供されていない。COBIT 5の個々の許可プロセスについて、追加情報(図表2)に記載されており、それは、VPDSSで準拠するための導入や改善プロセスに非常に役立つ。


図表 2—各プロセスに関する追加情報

COBIT 5イネーブリングプロセスの個々のプロセスに関する追加情報

概要

主要業績評価指標 (KPI)

推奨されているKPIのリストであり、プロセスのパフォーマンスを測るために利用することができる。その結果は、プロセスの継続的な改善に利用することが出来る。

測定基準は、どのゴールに達成したかの程度を測るために定義されている。測定基準は、”プロセスゴール達成の測定出来る定量化可能なエンティティで、定義される。測定基準は、SMART —明確で、計測でき、動的であり、関連しタイムリーであるべきである。”4

利害関係者の責任分担表

COBIT 5 プロセスは、役割に応じて内部および外部のステークホールダーがもつ。; ステークホールダーとその責任レベルは、誰に責任があるか・説明責任があるかを示す図表に記載され、参照され、通知される(RACI)。外部のステークホールダーには、顧客・ビジネスパートナー・株主・規制当局が含まれる。内部のステークホールダーには、取締役、役職員やボランティアが含まれる。

インプット/アウトプット

The COBIT 5 のインプットとアウトプットは、そのプロセスでの作業を支援する必要性が考慮された成果物や人工的な結果のプロセスである。それらは、主要な意思決定を可能にし、プロセス活動の記録や監査証跡を提供し、インシデントの追跡を可能にする。 それらは、重要なガバナンスまたはマネージメントレベルで定義され、そのプロセス内だけで利用される成果物が含まれる場合もあり、しばしば重要なインプットやアウトプットプロセスとなる。


オーストラリアのビクトリア州政府関連機関は、VPDSS への準拠の努力を続けており、2018年8月末までにハイレベルなデータセキュリティ対応計画(PDSP)の提出が必要である。政府関係の専門家達は、世界標準であるCOBIT 5フレームワークを活用することにより、実践的で持続可能な組織への変革という効果を比較的容易に得ることができる。


Syed Salman, CISA

EYオーストラリアのアドバイザリー部門のメンバー。オーストラリアおよび東南アジアで、IT監査とITアドバイザリー業務経験が豊富であり、オーストラリアのビクトリア州 政府機関の支援をしており、VPDSS のギャップ評価分析の実施や、PDSPの準備を行う。また、大手企業でのITガバナンス評価や、ITリスク管理の実施なども行う。COBIT 5 ファウンデーションやアセッサー試験も合格。


脚注

1 EMC Digital Universe, The Digital Universe of Opportunities: Rich Data and the Increasing Value of the Internet of Things, 米国,  2014年4月
2 Dingwall, D.; F. O’Mallon; T. McIlroy; “Data Breach Sees Records of 50,000 Australian Workers Exposed,” シドニーモーニングヘラルド紙, 2017年11月2日
3 Timberg, C.; T. Romm; E. Dwoskin; “Facebook: ‘Malicious Actors’ Used Its Tools to Discover Identities and Collect Data on a Massive Global Scale,” ワシントンポスト紙, 2018年4月4日
4 ISACA, COBIT 5: Enabling Processes, 米国, 2012, p. 19