セキュリティー管理とは何ですか?

サイバー攻撃の速度が増大していることを考慮すると、データ セキュリティー管理は今日これまで以上に重要になっています。メリーランド大学のクラーク・スクールの調査によると、現在、米国ではサイバーセキュリティー攻撃は平均39秒ごとに発生しており、毎年1人に1人が影響を受けています。さらに、こうした攻撃の43％は中小企業を標的にしています。「2025年のデータ漏洩コスト」によると、2024年3月から2025年2月までの米国におけるデータ漏洩の平均コストは1,022万米ドルで、このレポートが発行されてから20年間でどの地域でも過去最高となりました。

同時に、データ・プライバシー規制は強化されており、企業にとってデータ保護ポリシーを強化しなければ、罰金を科せられる可能性があることが重要になっています。欧州連合は昨年、厳格な一般データ保護規則（GDPR）ルールを施行しました。米国では、カリフォルニア州の消費者プライバシー法が2020年1月1日に施行される予定で、他のいくつかの州も現在同様の措置を検討しています。これらの規制には通常、要件を満たさない企業に対する厳しい罰則が含まれます。

いくつかの種類のセキュリティー制御により、損失や損害を引き起こす可能性のあるアクションやイベントからハードウェア、ソフトウェア、ネットワーク、データを保護できます。例：

• 物理的セキュリティー管理には、データセンターの境界フェンス、鍵、警備員、入退室管理カード、生体認証入退室管理システム、監視カメラ、侵入検知センサーなどが含まれます。
  
  
• デジタル・セキュリティー管理には、ユーザー名とパスワード、2要素認証、ウイルス対策ソフトウェア、ファイアウォールなどが含まれます。
  
  
• サイバーセキュリティー管理には、DDoS緩和や侵入防止システムなど、データへの攻撃を防ぐために特別に設計されたものが含まれます。
  
  
• クラウド・セキュリティー制御には、データとワークロードに必要な保護を確保するためにクラウド・サービス・プロバイダーと協力して講じる対策が含まれます。組織がクラウド上でワークロードを実行している場合は、企業またはビジネス ポリシーのセキュリティー要件と業界の規制を満たす必要があります。

セキュリティー管理のシステム（これらの管理の実装と継続的な管理を定義するプロセスと文書を含む）は、フレームワークまたは標準と呼ばれます。

フレームワークを使用すると、組織は一般に受け入れられ、テストされた方法論に従って、さまざまな種類の資産にわたるセキュリティー制御を一貫して管理できます。最もよく知られているフレームワークと標準には、次のようなものがあります。

米国立標準技術研究所（NIST）は、サイバー攻撃を防止、検出、および対応する方法に関するガイダンスを組織に提供するために、2014年に自主的なフレームワークを作成しました。アセスメント方法と手順は、組織のセキュリティー管理が正しく実装され、意図したとおりに動作しているかどうかを判断します。そして、これらの制御が望ましい結果を生み出し、組織のセキュリティー要件を満たしていることを確認します。NISTフレームワークは、サイバーセキュリティーの進歩に合わせて常に更新されています。

Center for Internet Security (CIS) は、サイバー攻撃の防止を目指すすべての企業に「やるべきこと、最初にやるべきこと」の出発点となる、優先度の高い防御措置のリストを作成しました。CISコントロールを開発したSANS Instituteによると、「CISコントロールは、主要な脅威レポートで強調されている最も一般的な攻撃パターンから導き出され、政府や業界の実務家の非常に幅広いコミュニティ全体で精査されているため、効果的です。」

組織は、これらのフレームワークや他のフレームワークを参考にして、独自のセキュリティーフレームワークやITセキュリティー・ポリシーを策定することができます。十分に開発されたフレームワークは、組織が以下のことを確実に行うのに役立ちます。

• セキュリティ制御を通じて IT セキュリティ ポリシーを適用
• セキュリティガイドラインについて従業員やユーザーを教育
• 業界およびコンプライアンス規制に適合
• セキュリティコントロール全体の運用効率を実現
• リスクを継続的に評価し、セキュリティ管理を通じてリスクに対処

セキュリティー・ソリューションの強度は、その最も弱い部分と同じになります。したがって、アイデンティティとアクセス管理、データ、アプリケーション、ネットワークまたはサーバー・インフラストラクチャー、物理的セキュリティー、セキュリティー・インテリジェンスにまたがるセキュリティー管理を実装するために、セキュリティー管理の多層化（これは深層防御戦略としても知られている）を検討する必要があります。

セキュリティー管理の評価は、どこに脆弱性が存在するかを判断するための優れた最初のステップです。セキュリティー管理アセスメントにより、現在の管理を評価して、それらが正しく実装されているか、意図したとおりに動作しているか、セキュリティー要件を満たしているかを判断できます。

NIST Special Publication 800-53は、セキュリティー管理評価を成功させるためのベンチマークとしてNISTによって作成されました。NISTガイドラインは、適用されると組織のセキュリティー侵害のリスクを軽減するのに役立つベスト・プラクティス・アプローチとして機能します。あるいは、組織独自のセキュリティー評価を作成することもできる。

セキュリティーアセスメントを作成するための主な手順は次のとおりです。

• ターゲット システムの決定：ネットワーク内でスキャンする必要があるIP所在地のリストを作成します。リストには、組織のネットワークに接続されているすべてのシステムとデバイスのIPアドレスが含まれている必要があります。
  
  
• ターゲット・アプリケーションの決定：スキャンする必要があるWebアプリケーションとサービスをリストします。既存のアプリケーションの構築に使用されるWebアプリケーション・サーバー、Webサーバー、データベース、サードパーティ・コンポーネント、およびテクノロジーの種類を決定します。
  
  
• 脆弱性スキャンとレポート：ネットワークチームとITチームには、すべての評価活動について情報を提供しておく。脆弱性評価では、対象サーバーにリクエストの負荷がかかると、ネットワークトラフィックが急増することがあるからです。また、組織ネットワーク全体でスキャナーIPの未認証パススルーを取得し、IPがIPS/IDSでホワイトリストに登録されていることを確認します。そうしないと、スキャナーが悪意のあるトラフィック アラートをトリガーし、そのIPがブロックされる可能性があります。

独自のセキュリティー評価を作成することによって、企業のアプリケーションとネットワークの脆弱性を評価する方法については、こちらをお読みください。