サイバーセキュリティアーキテクチャを監視する

学習の目的

この単元を完了すると、次のことができるようになります。

• システムに脆弱性がないかテストする方法を説明する。
• セキュリティ評価の重要性について説明する。

脆弱性評価でリスクを検出する

企業全体のテクノロジーソリューションを計画して構築することができました。堅牢なサイバーセキュリティアーキテクチャが配備されたことになります。これでセキュリティアーキテクトの任務は終了でしょうか?

そういうわけにはいきません。ボディビルダーがフィットネスの目標を達成した後も、カロリー、マクロ栄養素、体重、筋成長を観察し続けるのと同様に、サイバーセキュリティアーキテクトも IT システムのサイバーセキュリティの健全性を維持するうえで重要な役割を果たします。サイバーセキュリティアーキテクトは、システムのライフサイクルを通じて IT 環境のセキュリティ状態を監視し、必要な改良を継続的に実施します。

サイバーセキュリティアーキテクトが IT 環境のセキュリティを監視するために使用する重要なツールの 1 つが、脆弱性テストです。脆弱性テストではスキャンを実行して、攻撃者にネットワークに不正アクセスされるおそれのある一般的な脆弱性がないかチェックします。脆弱性を発見したら、その影響を受けるビジネスユニットとテクニカルスタッフの両方に通知して、両者が脆弱性を評価して優先順位を付け、急いでパッチを適用すると同時に、長期的な改善計画を立てられるようにします。 

また、セキュリティアーキテクトが侵入テストチームと緊密に連携して、攻撃者の観点で脆弱性を調査することもあります。このチームは組織内で編成されることもあれば、外部に委託されることもあります。チームは評価対象のシステムを特定したら、攻撃者が仕掛けるであろう手口を使ってそのシステムや関与する人員、手順、プロセスの脆弱性を悪用しようと試みます。単元 1 で説明した脅威モデルを検証するだけでなく、そのモデルの弱点も見つけ出そうとします。システムアーキテクトは、システムアーキテクチャに関する情報を提示したり、このシステムを所有するビジネスユニットと協力して取り組む中で確立された推奨の修復法を実践したりして、チームをサポートすることがあります。脆弱性評価も侵入テストもその目的は、侵害が生じる前に、組織が IT 環境の脆弱性を特定できるようにすることです。 

システムセキュリティ評価を実施する

サイバーセキュリティアーキテクトの役割の 1 つに、組織の権限者にセキュリティパフォーマンスのスナップショットを提示して、主なリスク指標を監視できるようにすることが挙げられます。この目的で実施するツールがシステムセキュリティ評価です。 

システムセキュリティ評価は、侵入テストや脆弱性評価のみに目を向けるのではなく、広い範囲を対象とします。複数のドメインにあるさまざまなコントロールを検討し、ポリシーや手順、変更管理、その他の設計上の考慮事項を評価することもあります。通常、この評価は対象となるビジネスユニットの全面的な協力を得て実施されるため、ネットワーク、システム、コントロールに関する必要な詳細を完全に把握することができます。評価時にセキュリティのデータやトレンドを収集、分析、要約して、システムのセキュリティと残存リスクを判断します。こうした評価に使用するフレームワークの 1 つが ASVS (アプリケーションセキュリティ検証標準) です。 

評価が完了したら、評価中に特定された弱点に関連するリスクのサマリーなど、結果をまとめたレポートを作成します。こうしたサイバーリスク情報をビジネスリーダーに伝えて適切なビジネス判断を下せるようにします。また、システム所有者と協力して、評価の結果のほか、内部またはサードパーティの監査や規制当局による検査で見つかった問題を修復する計画を立てます。こうした評価は定期的に実施するほか、インシデントや規制当局の監査などの重大なイベントの際にも実施します。脆弱性評価や侵入テストと同様に、セキュリティ評価の目的は、欠陥や脆弱性が攻撃者に悪用されるのを防ぐことです。 

習得度チェック

では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。次のパラグラフの空欄に、ドロップダウンに設定されている選択肢から適切な語句を選択します。すべての空欄に語句を選択したら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[再開] をクリックしてください。

リソース

• 外部リンク: National Institute for Standards and Technology (NIST): Developing Cyber Resilient Systems: A Systems Security Engineering Approach (サイバーレジリエントシステムの開発: システムセキュリティエンジニアリングアプローチ)
• 外部リンク: Center for Internet Security (CIS): How to Build a Cybersecurity Compliance Plan (サイバーセキュリティのコンプライアンス計画の作成方法)
• 外部リンク: SANS: Continuous Monitoring and Security Operations (継続的な監視とセキュリティオペレーション)