Skip to main content

Compliance In Cybersecurity: What You Need to Know to Stay Ahead of Regulations

サイバーエンタープライズ
July 10, 2025パトリック・レーン

本サイト上のコンテンツは、参照目的だけのために、英語の原本から翻訳されたものです。また、本サイト上のコンテンツの一部は機械翻訳されたものです。日本語版と英語版の間に何らかの齟齬がある場合には、英語版が優先されます。
当社は改善のためのあらゆる努力を行いますが、翻訳の正確性及び信頼性は保証せず、当社に故意または重大な過失がある場合を除き、不正確性又は遺漏により生じる損失又は損害に責任を負わないものとします。

サイバーセキュリティコンプライアンスに精通していない方は、すぐに理解できるでしょう。プライバシーの問題や盗難がビジネスに影響を与えるため、コンプライアンスを余儀なくされる組織が増えています。ITコンプライアンスは、規制を遵守するための行動または事実として定義されます。規制は、特定の問題に対処するために特定の業界向けに作成された高レベルのガイドラインです。

IT プロフェッショナルに影響を与える規制の実際の例をいくつか示します。

  • 世界の金融業界ではクレジットカード番号が使用されており、 盗難を防ぐためにその番号を暗号化する必要があるため、Payment Card Industry Data Security Standard (PCI DSS) が作成されました。
  • 医療業界では患者の健康情報 (PHI) が使用されており、 診療所や保険会社に安全に送信する必要があるため、米国は医療保険の相互運用性と説明責任に関する法律 (HIPAA) を作成しました。
  • 連邦政府は国家安全保障に取り組んでいるため、 米国はすべての機関がデータを保護できるようにするために連邦情報セキュリティ管理法 (FISMA) を作成しました。

一般データ保護規則 (GDPR) やカリフォルニア州消費者プライバシー法 (CCPA) などの最近のプライバシー法では、顧客データが保護され、消費者に対してローカルに保存されることが保証されています。つまり、米国に拠点を置く企業で、ヨーロッパに顧客がいる場合、会社が米国にある場合でも、顧客データがヨーロッパに保存され、欧州の法律に拘束されていることを確認する必要があります。IT チームは、増え続ける規制に確実に準拠するために、より努力する必要があります。

セキュリティ制御とは何ですか?

サイバーセキュリティの専門家は、それぞれに特定の数のセキュリティ制御が含まれているため、これらの規制を完全に理解する必要があります。これらは、情報システムのバックアップやデータの暗号化など、保存中と移動中の両方で実装する必要がある広範なサイバーセキュリティタスクです。

PCI DSSには50以上のセキュリティコントロールがあり、HIPAAには100以上、FISMAには1,000以上のセキュリティコントロールがあります。サイバーセキュリティ管理が多ければ多いほど、規制の実施は難しくなります。 NIST Special Publication 800-53 では、世界中の業界で使用される一般的なセキュリティ制御の概要を説明しています。セキュリティ制御の例としては、アクセス制御ポリシーと手順の確保、アクセスの適用、職務の分離、最小権限のアクセス許可などがあります。

これらの管理は、世界経済が安全に機能し、企業がサービスを提供し、医療システムを維持し、国家安全保障を守り続けるために不可欠です。セキュリティ制御の実装ほど崇高なタスクはほとんどありません。

職務の分離:サイバーセキュリティとITインフラストラクチャ

IT部門は、規制の増加に対応するために、2つのチームまたは2つの部門に分割されています。サイバーセキュリティは、ほぼすべての規制で職務要件が分離されているため、従来のITインフラストラクチャチームから分離しつつあります。

組織の規模が拡大し、規制が強化されるにつれて、サイバーセキュリティをITインフラストラクチャから分離して、セキュリティ制御が実装され、監査され、規制当局に報告されるようにしています。サイバーセキュリティチームは、多くの場合、別の セキュリティオペレーションセンター(SOC)で作業します。

たとえば、組織が規制されている場合は、すべての情報システムをバックアップするためにセキュリティ制御を適用する必要があります。別々のチームではありますが、サイバーセキュリティチームとITインフラストラクチャチームは協力して、次の方法で会社をコンプライアンスに保ちます。

  • サイバーセキュリティチームは、規制に準拠するために会社が何をする必要があるかを判断し、その作業をITインフラストラクチャチームに割り当てます。
  • 次に、システム管理者 などの IT インフラストラクチャ チームの誰かが作業を完了します。
  • サイバーセキュリティチームは、タスクが完了したことを確認し、タスクが完了したことの証拠を提供し、バックアップが安全であることを確認し、セキュリティ管理の完了を規制当局に報告します。

多くのセキュリティ制御は、侵入テスト とサイバーセキュリティ分析を中心に 展開しています。もう一つの一般的なセキュリティ制御は、情報システムの継続的な監視です。継続的な監視は通常、サイバーセキュリティチームのセキュリティアナリスト によって 完了し、SplunkやIBM QRadarなどのセキュリティ情報およびイベント管理(SIEM)システムを使用してネットワークを監視します。セキュリティアナリストが、ユーザーのラップトップが侵害されたことを示すSIEMセキュリティアラートを受信した場合、セキュリティアナリストは、インフラストラクチャ ITサポート技術者が 感染したシステムを隔離するためのヘルプデスクチケットを作成する可能性があります。

サイバーセキュリティの仕事に必要なスキルとその取得方法

ご覧のとおり、 サイバーセキュリティの仕事には 、管理スキルと技術分析スキルの両方が必要です。

CompTIA は、サイバーセキュリティ認定資格におけるこれらのスキルの適用範囲を拡大し続けています。

  • CompTIA Security+ (SY0-701 ) の 新しいバージョンには、クラウド セキュリティに影響を与えるプライバシー標準、ハイブリッドで規制の厳しい環境でシステムとセキュリティ管理者のタスクを実行する方法、およびポリシーが主なハードルである方法が含まれています。
  • CompTIA Cybersecurity Analyst (CySA+) (CS0-003) の 新しいバージョンには、 コンプライアンスに関するドメイン全体が含まれています。CompTIA CySA+は、ほぼすべての規制に見られる継続的な監視とレポートを通じて、企業がコンプライアンスを維持するのに役立ちます。
  • CompTIA PenTest+ は、企業がPCI DSSに準拠し、維持できるように、侵入テスト、脆弱性評価および管理スキルをカバーしています。
  • CompTIA SecurityX (旧 CASP+) は、 コンプライアンスと、セキュリティおよびエンタープライズ ネットワーク アーキテクチャとの関係をカバーしています。セキュリティアーキテクトは、既存のネットワークアーキテクチャ内にセキュリティ制御を統合する方法を決定します。

要約すると、サイバーセキュリティの専門家は規制遵守の世界に向かっています。まだ馴染みがない場合は、準備をする必要がありますが、CompTIA サイバーセキュリティ キャリア パスウェイは それを行うのに役立ちます。サイバーセキュリティの仕事は、世界中の企業に課せられる規制の強化もあって、平均よりもはるかに速く成長すると予測されています。

--

Patrick Lane、M.Ed.は、CompTIAの製品管理ディレクターです。彼は、CompTIA Security+、PenTest+、Cybersecurity Analyst (CySA+)、CompTIA Advanced Security Practitioner (CASP+) などのサイバーセキュリティ労働力スキル認定を管理しています。  

彼は、米国国家サイバーセキュリティ同盟(NCSA)と国家安全保障会議(NSC)のサイバーセキュリティ政策ディレクターを支援し、全国的に多要素認証を促進するための「Lock Down Your Logi」キャンペーンを作成しました。ネットワーク管理者、システム管理者、セキュリティアナリスト、セキュリティアーキテクトとして、さまざまなITプロジェクトを実装してきました。

パトリックは、米軍通信電子協会 (AFCEA) の終身会員であり、米軍基地で生まれ育ちました。彼は、民間部門のスケーラブルなSIEM技術で国防情報セキュリティ局(DISA)を支援し、Hack Proofing Linux: A Guide to Open Source Security(Syngress/Elsevier)を含む複数の本を執筆および共著しています。パトリックは、CompTIA Network+、Security+、(ISC)2 CISSP、および Microsoft MCSE の認定を取得しています。