セキュリティー管理とは、組織にとって重要なさまざまな形式のデータやインフラストラクチャーを保護するために実行されるパラメーターです。 物理的な所有物、情報、コンピューター・システム、またはその他の資産に対するセキュリティー・リスクを回避、検出、対抗、または最小化するために使用される、あらゆるタイプの予防策または対抗措置は、セキュリティー管理と見なされます。

サイバー攻撃が増加するにつれて、データ・セキュリティー管理は以前よりも重要になってきています。 メリーランド大学のClark School研究室によれば、米国でのサイバーセキュリティー攻撃は現在、平均で39秒ごとに発生しており、毎年3人に1人のアメリカ人が影響を受けています。このような攻撃の43％は中小企業をターゲットとしています。 2021年3月から2022年3月までの米国でのデータ侵害の平均コストは944万米ドルでした。

同時に、データ・プライバシー規制も増加してきており、データ保護ポリシーを強化するためにビジネスでは不可欠になっています。これを怠ると罰金を科される場合があります。 欧州連合は昨年、厳しい一般データ保護規則（GDPR）を制定しました。 米国では、カリフォルニア州消費者プライバシー法が2020年1月1日に発効することになり、他のいくつかの州でも現在同様の措置を検討中です。

このような規制には一般的に、その要件を満たさない企業に対して厳しい罰則があります。 例えば、この問題を報告したFacebook社は最近、複数のデータ侵害の原因となったデータ保護ポリシーの欠陥に対して、米国連邦取引委員会から30億米ドル以上の罰金が科されると予想されています。

ハードウェア、ソフトウェア、ネットワーク、およびデータを逸失または損傷させるアクションやイベントから保護するために実施できるセキュリティー管理には、いくつかのタイプがあります。 例えば、以下のようなものがあります。

• 物理的セキュリティー管理には、データセンターの境界フェンス、施錠、守衛、アクセス制御カード、生体認証アクセス制御システム、監視カメラ、侵入検知センサーなどがあります。
  
  
• デジタル・セキュリティー管理には、ユーザー名とパスワード、2 要素認証、アンチウィルス・ソフトウェア、ファイアウォールなどがあります。
  
  
• サイバーセキュリティー管理には、特にデータに対する攻撃を防ぐように設計された、DDoS攻撃の緩和、侵入防止システムなどが含まれます。
  
  
• クラウド・セキュリティー管理には、データやワークロードに対して必要な保護を確保するために、クラウド・サービス・プロバイダーと連携して行う対策が含まれます。 組織がクラウドでワークロードを実行する場合は、企業またはビジネスのポリシー・セキュリティー要件および 業界の規制に従う必要があります。

セキュリティー管理のシステム（これらの管理の実施や進行中の管理を定義したプロセスや文書を含む）は、フレームワークまたは標準と呼ばれます。

フレームワークにより、組織は、一般的に受け入れられているテスト済みの方法論に従って、常に、さまざまなタイプの資産にわたるセキュリティー管理を実施することができます。 最もよく知られているフレームワークと標準には、以下のようなものがあります。

アメリカ国立標準技術研究所サイバーセキュリティー・フレームワーク

アメリカ国立標準技術研究所（NIST）は、サイバー攻撃の防止、検出、および対処の方法に関するガイダンスを規定した、組織を保護するための自主フレームワークを2014年に創設しました。 組織のセキュリティー管理が正しく実施されているか、意図したとおりに運用されているか、望ましい結果が出ているか（組織のセキュリティー要件を満たしているか）どうかを判別するために、評価の方法および手続きが使用されています。 NISTフレームワークは、サイバーセキュリティーの進化に後れをとらないように、常に更新されています。

Center for Internet Securityの管理

Center for Internet Security（CIS）は、サイバー攻撃の防御に関心のあるすべての企業の「まず行わなければならないこと」の出発点を示す、優先度の高い防御措置のリストを作成しました。 CIS管理を開発したSANS Instituteによれば、「CIS管理は、主要な脅威レポートで明らかにされ、政府や業界の実践者の広範なコミュニティーで吟味された、最も一般的な攻撃パターンから派生したものであるため、効果的です。」とのことです。

組織は、これらのフレームワークや、その他のフレームワークを参照して、独自のセキュリティー・フレームワークおよびITセキュリティー・ポリシーを作成することができます。 しっかりと作成されたフレームワークにより組織は以下を確実に行うことができます。

• セキュリティー管理を通じてITセキュリティー・ポリシーを適用する
• セキュリティー・ガイドラインについて社員およびユーザーの教育を行う
• 業界およびコンプライアンスの規制に従う
• 複数のセキュリティー管理で運用効率を達成する
• 常にリスクを評価し、セキュリティー管理によってそれらに対処する

セキュリティー・ソリューションには、その最弱のリンクと同程度の強度しかありません。 そのため、IDとアクセスの管理、データ、アプリケーション、ネットワークまたはサーバーのインフラストラクチャー、物理的セキュリティー、およびセキュリティー・インテリジェンスにわたってセキュリティー管理を実施するために、複数層のセキュリティー管理（多層防御戦略とも呼ばれます）を検討する必要があります。

セキュリティー管理の評価は、脆弱性が存在するかどうかを判別するための優れた第一歩です。 セキュリティー管理の評価により、現在行っている管理を診断し、それらが正しく実施されているか、目的どおりに機能しているか、セキュリティー要件を満たしているかどうかを判別することができます。 NIST Special Publication 800-53 は、優秀なセキュリティー管理評価のベンチマークとしてNISTが作成したものです。 NISTガイドラインが適用されると、組織のセキュリティー侵害のリスク緩和に役立つ、ベスト・プラクティス・アプローチとして機能します。 また、組織は独自のセキュリティー評価を作成することもできます。

セキュリティー評価を作成するための重要な手順の一部は以下のとおりです。

• ターゲット・システムの判別： ネットワーク内でスキャンする必要のあるIPアドレスのリストを作成します。 このリストには、組織のネットワーク内で接続されているすべてのシステムおよびデバイスのIPアドレスが含まれています。
  
  
• ターゲット・アプリケーションの判別：スキャンするWebアプリケーションとサービスをリストします。 Webアプリケーション・サーバーのタイプ、Webサーバー、データベース、サード・パーティー・コンポーネント、および既存アプリケーションのビルドに使用された技術を判別します。
  
  
• 脆弱性のスキャンおよび報告：すべての評価アクティビティーを常にネットワーク・チームとITチームに知らせるようにします。これは、要求されてターゲット・サーバーをロードする際に、脆弱性評価によってネットワーク・トラフィックでバーストが起きる可能性があるためです。 また、組織のネットワーク全体にわたってスキャナーIPの非認証パススルーを入手し、IPがIPS/IDSのホワイトリストに登録されていることを確認します。 登録されていないと、スキャナーは悪意のあるトラフィック・アラートを起動させることがあり、その結果IPがブロックされてしまいます。

独自のセキュリティー評価を作成することによって企業のアプリケーションとネットワークの脆弱性を評価する方法について詳細をご覧ください。