厳しさを増すデータセンターのセキュリティ要件、規制厳格化も見据えた対策とは

　HIPAAやSOX、PCI DSS、SSAEといった各業界における規制の厳格化は、データセンターにおけるセキュリティの在り方を大きく変えた。かつては、許可のない人が機密のインフラにアクセスできないようにするための手段が妥当であることの証拠を監査人に提出できれば問題ないとされていたが、もはやその考え方は通用しない。

　現在では、セキュリティおよびコンプライアンスの要件を満たすためには、特定の機密システムへのアクセスを追跡、監視し、アクセスしている人が特定の領域に対して適切な権限を有しているかどうかを確認することが求められる。もちろん、誰がいつシステムに接触して、何をしていたのかといった詳細な監査証跡を提出できる必要もある。

　今後、これらの要件は、顧客や規制当局がデータ侵害の社会的、経済的影響についての懸念を強めるにつれて、より厳しくなっていくことが予想されるが、その対策のために際限なく人員や予算を投じるわけにはいかない。そこで本資料では、短期と長期の両方の観点から、最大限の信頼性と効率性をもってデータセンターのセキュリティ要件やコンプライアンス要件を満たすためのアプローチについて解説する。