NERC（電力システムセキュリティ） / FISMA / HIPAA

セキュリティ・コンプライアンス案件においては、定期的なセキュリティ基準認定のタイミングでの一時的な活動に留まらず、そのような基準認定時に達成したコンプライアンスのレベルを維持していくことが重要です。

日本においては、クレジットカード業界における PCI DSS など一部を除いて、各種セキュリティ基準認定の義務付けが十分徹底されているとは言えない現状です。一方で、以下の３つのセキュリティ基準を始めとして、他国で先行する事例にならって日本でも応用的なガイドラインと具体的なセキュリティ向上施策の作成が進められています。

1. NERC ( North American Electric Reliability Corporation：北米電力信頼性評議)
   

   NERC CIP は、北米電力信頼性評議が発電、化学薬品、水、石油、ガス等の重要インフラのうち、発電に関わる事業を遂行する上で実施すべきセキュリティ規準を8項目に分類し定義したものです。
   日本においても、発送電分離に基づく電力自由化やスマートグリッド／スマートシティの実現化に伴い、民間他業種からの参入可能性と共にセキュリティリスクも向上していくことを受けて、官民一体で対応が急がれています。

2. FISMA ( Federal Information Security Management Act )
   

   FISMA とは、米国NIST（National Institute of Standards and Technology）が策定し連邦政府機関が施行、遵守を義務付けている情報セキュリティの法規制です。

   日本においては経産省・情報処理推進機構 (IPA) により、FISMA の施行、運用状況にならって情報セキュリティ全般を遵守するための様々なガイドラインが提示されております。
   また、2016年1月に予定される「マイナンバー」制度施行に向け、総務省・内閣官房主導により関連システムの設計／実装／運用の各段階において、FISMA の規定に従い取りまとめられたプライバシー影響分析 (Privacy Impact Assessment) 要件の採用が検討されています。

3. HIPPA ( Health Insurance Portability and Accountability Act )
   

   HIPPA は、米国DHHS（保健社会福祉省）が策定した医療保険のポータビリティと説明責任に関する法律で、医療関連データについての電子化の推進および医療データについてのセキュリティおよびプライバシー保護のための標準規格が定められています。

   日本でも、電子カルテの普及、総合病院と市井の医院／診療所との電子カルテを含む様々な医療情報の共有化、および民間からの介護、福祉サービス業界への参入と医療業界との連携の増大に伴い、セキュリティ／プライバシー保護要件の法制化、ガイドライン化が急速に求められています。

Tripwire は Tripwire Enterprise, Tripwire IP360 の両主力製品を初めとした各種関連ソリューションに組込み可能な上記の様々なセキュリティ基準に沿ったポリシー・テンプレートを継続的に活用することにより、基準認定時に達成した高いコンプライアンスのレベルを維持することができます。