特定のアプリケーション要件に基づき管理者権限を付与されたユーザーに、明確に定義された役割と責任を確実に伝える主な理由は、説明責任の強化です。管理者権限は、ソフトウェアのインストール、構成の変更、機密データへのアクセス、他のユーザーへのアクセス権の付与など、アプリケーションまたはシステムのセキュリティ、可用性、整合性に影響を与える可能性のあるアクションを実行する権限をユーザーに付与します。したがって、管理者権限を持つユーザーは、自身の役割と責任、そしてアクションの結果を認識している必要があります。明確に定義された役割と責任をこれらのユーザーに伝えることで、期待値の設定、境界の定義、所有権の割り当て、監視とレポートの有効化が可能になり、説明責任を確立するのに役立ちます。説明責任は、権限の誤用や乱用を抑止し、ポリシーと標準への準拠を確保し、インシデント対応と調査を促進することにも役立ちます。
職務の分離を明確にすることは、役割と責任を明確に定義することのメリットの一つですが、それが主な理由ではありません。職務の分離とは、異なる機能やタスクを異なるユーザーまたはグループに分離することで、利益相反、エラー、不正行為、または不正行為を防止または検出することを目的とした管理策です。例えば、発注書を作成できるユーザーは、それを承認できないようにする必要があります。職務の分離は、重要なプロセスや機密性の高いプロセスを複数の担当者で完了させることで、不正行為や不適切な行為のリスクを軽減するのに役立ちます。しかし、職務の分離だけでは説明責任を確実に果たすことはできません。ユーザーが共謀したり、管理策を回避したりする可能性があるためです。
ユーザーの生産性向上は、役割と責任を明確に定義することで得られる成果の一つですが、それが主な理由ではありません。ユーザーの生産性とは、ユーザーがタスクを遂行し、目標を達成する際の効率性と有効性を指します。役割と責任を明確に定義することで、ユーザーは自分のタスク、期待値、パフォーマンス指標をより深く理解し、より迅速かつスマートに、そしてより効率的に業務を遂行できるようになります。しかし、ユーザーの生産性は、管理者権限の付与に伴うセキュリティリスクと直接関係するものではなく、ユーザーのスキル、モチベーション、ツール、リソースといった他の要因にも左右される可能性があります。
セキュリティインシデントの減少は、役割と責任を明確に定義することで得られる望ましい結果ですが、それが主な理由ではありません。セキュリティインシデントとは、情報資産またはシステムの機密性、完全性、または可用性を損なう事象または状況を指します。役割と責任を明確に定義することで、ユーザーは自身の行動がセキュリティに及ぼす影響や、直面する可能性のある脅威や脆弱性をより意識し、セキュリティインシデントの回避または防止に役立つ可能性があります。しかし、セキュリティインシデントの減少は、必ずしも説明責任を保証するものではなく、必ずしも説明責任を果たせるとは限りません。ユーザーによる人為的ミス、過失、悪意、または外部要因により、セキュリティインシデントが発生したり、経験したりする可能性があるためです。参考資料：CISMレビューマニュアル第15版、144ページ、効果的なユーザーアクセスレビュー - ISACA1、CISMアイテム開発ガイド - ISACA2

説明
個別のバージョンを作成するよりも、関連するすべての要件をポリシーに組み込む方がはるかに効率的です。
規制当局が提供する声明だけでは、様々な規制当局が義務付ける要件をすべて網羅することはできません。コンプライアンスリスク評価は、ポリシー策定後、手順がコンプライアンスを確実に確保しているかどうかを検証するための重要なツールです。

最初の行動は、適用される規制要件（D）を特定することです。CISMガバナンスでは、ポリシー、制御、または技術的対策を定義する前に、法的および規制上の義務を理解する必要があります。
暗号化（B）、トレーニング（A）、ポリシー更新（C）は、コンプライアンスを確保し、法的リスクを回避するために、規制要件に基づいて実施する必要があります。国境を越えて事業を展開する場合、管轄区域のリスク評価は不可欠です。
参考資料: ISACA CISM レビュー マニュアル (ガバナンス - 法律および規制コンプライアンス)、CISM 試験内容概要 (ドメイン 2)。

コンパートメント化は、ネットワークまたはシステムを、それぞれ独自のセキュリティ ポリシー、制御、およびアクセス ルールを持つ小さなセグメントまたはコンパートメントに分割する戦略であるため、高価値資産を保護したり、信頼性に懸念がある環境を処理したりするのに最適な多層防御の実装です。
区画化は、最も機密性が高い、または重要なデータと機能を不正アクセスや悪意のあるアクセスから分離して保護するとともに、侵害や侵害による損害や影響を制限するのに役立ちます。
コンパートメント化は、最小権限の原則の適用にも役立ちます。最小権限の原則とは、ユーザーまたはプロセスに、タスクの実行に必要な最小限のアクセス権のみを付与する原則です。したがって、コンパートメント化は正しい解決策です。
参考文献:
* https://www.csoonline.com/article/3667476/defense-in-depth-explained-layering-tools-and-processes- for-better-security.html
* https://www.fortinet.com/resources/cyberglossary/defense-in-depth
* https://sciencepublishinggroup.com/journal/paperinfo?journalid=542&doi=10.11648/j.ajai.20190302.11

説明
すべてのセキュリティプロジェクトを承認する運営委員会の存在は、優れたガバナンスプログラムの存在を示す指標となります。法令遵守は運営委員会の責任の一部ですが、それだけでは不十分です。意識向上のためのトレーニングは、あらゆるレベル、あらゆる媒体において重要であり、優れたガバナンスの指標でもあります。しかし、セキュリティプロジェクトとして運営委員会によって指導され、承認されなければなりません。