セキュリティー管理とは?
黒と青の背景
セキュリティー管理

セキュリティー管理がどのようにデータや IT インフラストラクチャーの保護に役立つかを学び、組織でセキュリティー管理を開発および実施するためのリソースやベスト・プラクティスを見いだします。


セキュリティー管理とは?

セキュリティー管理とは、組織にとって重要なさまざまな形式のデータやインフラストラクチャーを保護するために実行されるパラメーターです。 物理的な所有物、情報、コンピューター・システム、またはその他の資産に対するセキュリティー・リスクを回避、検出、対抗、または最小化するために使用される、あらゆるタイプの予防策または対抗措置は、セキュリティー管理と見なされます。

サイバー攻撃が増加するにつれて、データ・セキュリティー管理は以前よりも重要になってきています。 メリーランド大学の Clark School 研究室によれば、米国でのサイバーセキュリティー攻撃は現在、39 秒ごとに発生しており、毎年 3 人に 1 人のアメリカ人が影響を受けています。このような攻撃の 43% は小企業をターゲットとしています。 2018 年 7 月から 2019 年 4 月までの米国でのデータ漏洩の平均コストは 820 万米ドルです。

同時に、データ・プライバシー規制も増加してきており、データ保護ポリシーを強化するためにビジネスでは不可欠になっています。これを怠ると罰金を科される場合があります。 European Union は昨年、厳しい一般データ保護規則 (General Data Protection Regulation: GDPR) を制定しました。 米国では、カリフォルニア消費者プライバシー法が 2020 年 1 月 1 日に発効することになり、他のいくつかの州でも現在同様の措置を検討中です。

このような規制には一般的に、その要件を満たさない企業に対して厳しい罰則があります。 例えば、この問題を報告した Facebook は最近、複数のデータ漏えいの原因となったデータ保護ポリシーの欠陥に対して、米国連邦取引委員会から 30 億米ドル以上の罰金が科されると予想されています。


セキュリティー管理のタイプ

ハードウェア、ソフトウェア、ネットワーク、およびデータを逸失または損傷させるアクションやイベントから保護するために実施できるセキュリティー管理には、いくつかのタイプがあります。 例えば、以下のようなものがあります。

  • 物理的セキュリティー管理には、データ・センターの境界フェンス、施錠、守衛、アクセス制御カード、生体認証アクセス制御システム、監視カメラ、侵入検知センサーなどがあります。
  • デジタル・セキュリティー管理には、ユーザー名とパスワード、2 要素認証、アンチウィルス・ソフトウェア、ファイアウォールなどがあります。
  • サイバーセキュリティー管理には、特にデータに対する攻撃を防ぐように設計された、DDoS 緩和、侵入防止システムなどが含まれます。
  • クラウド・セキュリティー管理には、データやワークロードに対して必要な保護を確保するために、クラウド・サービス・プロバイダーと連携して行う対策が含まれます。 組織がクラウドでワークロードを実行する場合は、企業またはビジネスのポリシー・セキュリティー要件および業界の規制に従う必要があります。

セキュリティー管理のフレームワークとベスト・プラクティス

セキュリティー管理のシステム (これらの管理の実施や進行中の管理を定義したプロセスや文書を含む) は、フレームワークまたは標準と呼ばれます。

フレームワークにより、組織は、一般的に受け入れられているテスト済みの方法論に従って、さまざまなタイプの資産にわたるセキュリティー管理を常に行うことができます。 最もよく知られているフレームワークと標準には、以下のようなものがあります。

アメリカ国立標準技術研究所サイバーセキュリティー・フレームワーク

アメリカ国立標準技術研究所 (NIST) は、サイバー攻撃の防止、検出、および対処の方法に関するガイダンスを規定した、組織を保護するための自主フレームワークを 2014 年に創設しました。 組織のセキュリティー管理が正しく実施されているか、意図したとおりに運用されているか、望ましい結果が出ている (組織のセキュリティー要件を満たしている) かどうかを判別するために、評価の方法および手続きが使用されています。 NIST フレームワークは、サイバーセキュリティーの進化に遅れをとらないように、常に更新されています。

Center for Internet Security の管理

Center for Internet Security (CIS) は、サイバー攻撃の防御に関心のあるすべての企業の「まず行わなければならいこと (must-do, do-first)」の出発点を示す、優先度の高い防衛措置のリストを作成しました。 CIS 管理を開発した SANS Institute によれば、「CIS 管理は、主要な脅威レポートで明らかにされ、政府や業界の実践者の広範なコミュニティーで吟味された、最も一般的な攻撃パターンから派生したものであるため、効果的です。」とのことです。

組織は、これらの、および他のフレームワークを参照して、独自のセキュリティー・フレームワークキューおよび IT セキュリティー・ポリシーを作成することができます。 十分に発達したフレームワークは、組織が以下を行うことを保証します。

  • セキュリティー管理を通じて IT セキュリティー・ポリシーを適用する
  • セキュリティー・ガイドラインについて社員およびユーザーの教育を行う
  • 業界およびコンプライアンスの規制に従う
  • 複数のセキュリティー管理で運用効率を達成する
  • 常にリスクを評価し、セキュリティー管理によってそれらに対処する

セキュリティー・ソリューションには、その最弱のリンクと同程度の強度しかありません。 そのため、ID とアクセスの管理、データ、アプリケーション、ネットワークまたはサーバーのインフラストラクチャー、物理的セキュリティー、およびセキュリティー・インテリジェンスにわたってセキュリティー管理を実施するために、複数層のセキュリティー管理 (多層防御戦略とも呼ばれます) を検討する必要があります。


セキュリティー管理の評価

セキュリティー管理評価は、脆弱性が存在するかどうかを判別するための優れた第一歩です。 セキュリティー管理評価により、現在行っている管理を診断し、それらが正しく実施されているか、目的どおりに機能しているか、セキュリティー要件を満たしているかどうかを判別することができます。 NIST Special Publication 800-53  は、優秀なセキュリティー管理評価のベンチマークとして NIST が作成したものです。 NIST ガイドラインが適用されると、組織のセキュリティー侵害のリスク緩和に役立つ、ベスト・プラクティス手法として働きます。 また、組織は独自のセキュリティー評価を作成することもできます。

セキュリティー評価を作成するためのいくつかの重要な手順は以下のとおりです。

  • ターゲット・システムの判別: ネットワーク内でスキャンする必要のある IP アドレスのリストを作成します。 このリストには、組織のネットワーク内で接続されているすべてのシステムおよびデバイスの IP アドレスが含まれています。
  • ターゲット・アプリケーションの判別: スキャンする Web アプリケーションとサービスをリストします。 Web アプリケーション・サーバーのタイプ、Web サーバー、データベース、サード・パーティー・コンポーネント、および既存アプリケーションのビルドに使用された技術を判別します。
  • 脆弱性のスキャンおよび報告: すべての評価アクティビティーを常にネットワーク・チームと IT チームに知らせるようにします。これは、要求されてターゲット・サーバーをロードする際に、脆弱性評価によってネットワーク・トラフィックでバーストが起きる可能性があるためです。 また、組織のネットワークにわたってスキャナー IP の非認証パススルーを入手し、IP が IPS/IDS のホワイトリストに登録されていることを確認してください。 登録されていないと、スキャナーは悪意のあるトラフィック・アラートを起動させることがあり、その結果 IP がブロックされてしまいます。

独自のセキュリティー評価を作成することによって企業のアプリケーションとネットワークの脆弱性を評価する方法に関する詳細を読みます。


セキュリティー管理と IBM Cloud

IBM Cloud は、政府および業界の厳しいセキュリティー・ガイドラインおよびポリシーを満たしており、増加する物理的セキュリティーのために複数の手段を採用しています。これにより、クラウドの探求過程のどこにいても、アプリケーションをモダナイズする際に自信を持つことができます。
次のステップに進みます。

今日すぐに IBM Cloud アカウントを使い始めます。


関連ソリューション

IBM Cloud

IBM CloudをRed Hatとともに利用することで、市場をリードするセキュリティー、企業の拡張性、オープンなイノベーションが可能になり、クラウドとAIのすべての可能性を引き出すことができます。


物理的セキュリティー・アーキテクチャー

物理的インフラストラクチャーおよびシステムを収容する設備を保護する方法について学びます。