コンプライアンス 12-14-2021

DIGICERTのコンプライアンス文化:プロアクティブなアプローチ

Stephen Davidson
その他の著者クレジット:Brenda Bernal

セキュリティは、デジサートのすべての活動の中心です。そのセキュリティと信頼を維持するには、デジサートとお客様が直面する脅威とリスクの状況が変化する中で、標準とコンプライアンスに常に焦点を当てる必要があります。デジサートでは、グローバルなオペレーションにおいて、強力なコンプライアンス文化を維持しています。

TLS/SSLPKIソリューションの世界的なリーディング・プロバイダーであるデジサートは、すべての活動において、強力なコンプライアンス文化を育むことを約束します。CEO以下、私たちのチームは、標準やコンプライアンスに重点を置かなければ、セキュリティに最善を尽くすことができず、お客様やパートナーとの信頼関係を維持することができないことを理解しています。私たちのサービスがお客様のセキュリティ対策の大きな部分を占めている以上、私たちには、自分たちのビジネスにおける基準やリスクを理解する、世界レベルの責任があります。

デジサートのサイズと規模の組み合わせにおいて、すべてのチームメンバーに関連性を持たせながら、コンプライアンス文化を維持するには、機敏で巧みな対応が求められます。私たちは、新たな脅威や業界の要求に先んじて対応できるよう、積極的かつ進化的なアプローチで、コンプライアンスの最適化に努めています。

リーダーシップ

それはトップから始まります。デジサートのエグゼクティブ・ステアリング・コミッティーは、数週間に一度、特にコンプライアンスとリスク管理をテーマにした会議を開き、会社やお客様が直面する脅威やリスクの変化をレビューしています。

このレビューの目的は、標準、コンプライアンス、リスクを取り巻く状況の変化を常に把握することです。製品チーム、標準チーム、コンプライアンスチームから報告されたリスク一覧をアップデートし、解決に向けた項目に、リソースと優先順位が与えられるようにしています。

デジサートは、いくつかの組織で見られる終わりのない「問題/解決」機能不全を避けるために、業界や業務に影響を与える問題の発生を想定し、この活動プロセスを常に改良しています。2022年には、エンタープライズ・リスク・マネジメントへの取り組みをさらに強化する予定です。

基準を明確にする

デジサートをご利用になるお客様にとっての利点のひとつは、標準やコンプライアンスに適切な投資ができることです。私たちは、単に必要項目に準拠するだけではなく、業界を形成する技術標準の開発や、義務の遵守を確実にするための新しいアプローチに投資することで、業界をリードしています。

多くのお客様は、デジサートがCA/B フォーラムで長年にわたり、TLS、S/MIME、コードサイニング証明書に関するワーキンググループをリードしてきたことをご存知だと思います。また、デジサートの標準化担当者は、IETF(インターネット技術特別調査委員会のLAMPSや耐量子暗号などの分野)や欧州電気通信標準化機構、特に当社の認定トラストサービスプロバイダー業務に関連する電子署名・インフラ(ETSI ESI)分野など、この分野の要件を定める重要な業界団体にも参加しています。その他、ISO(国際標準化機構)、ANSI(米国国家標準協会、特にX9金融サービスPKIグループ)、Zigbee Alliance(現Connectivity Standards Alliance:無線通信規格標準化団体)、AuthIndicators Working Group(電子メール認証に関するBIMI標準の開発団体)などがあります。

コンプライアンスへの投資

PKIのあらゆる側面に関わるグローバルな組織として当然のことですが、デジサートは、世界中のオフィスにスペシャリストを配置して、コンプライアンスと監査チームの適切な人員配置に投資しています。しかし、デジサートが他社と違うのは、単にその義務を果たすだけではなく、その先にある、コンプライアンスの知識を新たな価値や継続的な改善に変えるための次のステップを行っていることです。

  • 監査の自動化 - PKIのあらゆる側面に関わるグローバルな組織として、デジサートは、WebTrust(国際的な電子商取引認証局監査プログラム)、ETSI、ISO、その他の団体を含むグループの基準に照らし、デジサートのシステムとオペレーションについて、最大で25の異なる監査を毎年行っています。非常に多くの監査を管理し、合格することは、それ自体で大変なことですが、デジサートは、審査をより効率的に、より意味のあるものにするためのツールを開発し、活用することに真剣に取り組んでいます。

その一例として、GRCツールと呼ばれる監査管理ソリューションへの投資があります。これは、無数のセキュリティおよび技術的要件を内部統制に紐づけ、所有権/責任および証拠を継続的に維持するためのものです。このようなツールを使用することで、コンプライアンスの状況を毎年把握するのではなく、年間を通じて継続的にコンプライアンスとリスクを追跡することができます。

  • 分析 - この業界では、TLS証明書が主要な規格に準拠しているかどうかを検証するZLintのような自動化ツールが、効果的であることはよく知られています。デジサートはコンプライアンスに対してデータドリブンのアプローチをとっており、内部監査チームが3%のサンプルをチェックするのではなく、認証領域全体のリスクをピンポイントで特定できるような機能を開発しています。また新たな問題が発生した場合のプロアクティブなスキャンにも注力しています。
  • インシデントとコンプライアンスのワーキンググループ – 専門家のチームが、象牙の塔に隔離されていては意味がありません。デジサートでは、スタンドアップミーティングが流行する前から、焦点を絞ったセッションの分野を構築し、さまざまな分野の主要な担当者を集めて、トピックに関する情報の共有に焦点を合わせてきました。例えば、インシデント分析コールでは、(Bugzillaウェブベースのバグ管理システムへの)外部からの情報開示とそのタイムリーな修正に焦点を当てています。また、毎週開催されるコンプライアンス・ワーキンググループでは、製品マネージャーを含む部門横断的なチームメンバーが集まり、製品やオペレーションの戦略に反映させるべき業界の動向、標準、コンプライアンス要件の展開を追跡しています。
  • 製品開発への組み込み – コンプライアンスは付け足しではありません。デジサートでは、製品やサービスの開発をスタートさせる前に、コンプライアンス専門家が必ず関与しています。その目的は、製品がその運用に適用される多くの技術標準を確実に満たすことだけでなく、静的解析処理、コントロールリンク、専門家によるレポートなどの機能を製品のバックボーンに組み込み、コンプライアンス機能をリアルタイムに運用することにあります。

このようにコンプライアンスを重視することで、デジサートは、製品、お客様、パートナーが直面しているリスクを理解し、お客様への悪影響を最小限に抑えながら、発見した脅威を解決するために積極的な行動をとることができます。私たちの目標は、規模と成長率の中で、業界のセキュリティとコンプライアンスにおけるリーダーシップを維持することです。

UP NEXT
ニュース

TLS/SSLの最新ニュース: 2021年11月

5 Min

特集記事

AI、量子コンピュータ、デジタルトラストが形成する来年のトレンド 10 選

耐量子コンピュータ暗号に向けた取り組みの現状を追う

FIPS 203、204、205 発表以降の PQC の最新情報

10-31-2024

DigiCert Device Trust Manager の一般提供を発表