TechNet セキュリティ > ツール

マイクロソフト セキュリティ アセスメント ツール

**
関連リンク
マイクロソフト セキュリティ リスク アセスメントの「よく寄せられる質問」
**
ダウンロード
ダウンロード

マイクロソフト セキュリティ アセスメント ツール (インターナショナル版)

※ 本ツールのインストール プログラムは英語表記になっていますが、[ツール] - [言語の選択] にてご利用になる言語を選択いただくことができます。

トピック
リスクを理解するリスクを理解する
MSAT の使用方法MSAT の使用方法
アセスメント ツールの要約アセスメント ツールの要約

マイクロソフト セキュリティ アセスメント ツール (MSAT) は、組織の現在の IT セキュリティ環境の弱点を測定し、問題の優先度を示して、リスクを最小限に抑えるためのガイダンスを提示する無料のツールです。 MSAT は、組織のコンピューティング環境およびビジネスのセキュリティ強化を簡単かつ経済的に開始できます。 現在のセキュリティの状況の確認から始まり、MSAT を活用しながら継続的にセキュリティの脅威に対する組織のインフラストラクチャ機能を監視します。

マイクロソフトは、お客様のネットワーク、ビジネス サーバー、エンドユーザーのコンピュータ、モバイル デバイスおよびデータ資産のセキュリティを最優先に考えています。 各ビジネスのセキュリティの改善に役立てるため、MSAT のようなセキュリティ ツールの提供に取り組んでいます。

MSAT をダウンロードするにはこちらをクリックしてください (英語情報)

※ 本ツールのインストール プログラムは英語表記になっていますが、[ツール] - [言語の選択] にてご利用になる言語を選択いただくことができます。

リスクを理解する

MSAT は、IT 環境でのセキュリティ リスクの特定と対策に役立つように設計されています。 このツールは総合的なアプローチを採用しており、セキュリティ状況の確認から人材、プロセスおよびテクノロジなど、広範囲に渡ります。

MSAT は、以下を提供しています:

使いやすく、総合的かつ不変的なセキュリティの認識

業界内の比較分析を用いた多層防御のフレームワーク

ベースラインから改善後を比較する、詳細でタイムリーなレポート

セキュリティの向上のための信頼のおける推奨策および優先的な実行

マイクロソフトおよび業界の体系的なガイダンス

マイクロソフトの信頼できるコンピューティングへの取り組みに関する詳細は、信頼できるコンピューティングの Web サイトをご覧ください。

最新の マイクロソフト セキュリティ インテリジェンス レポート をご覧ください。 詳細については、Malware Protection Center (英語情報) をご覧ください。

MSAT の使用方法

MSAT にはインフラストラクチャ、アプリケーション、運用および人的要素までを網羅する 200 以上の質問が含まれています。 質問、関連の回答および推奨策は、一般的に認知されている最善策や、ISO 17799 および NIST-800.x のような基準はもとより、Microsoft Trustowrhy Computing グループやマイクロソフト社以外のセキュリティ ソースからの推奨策や規範的なガイダンスなども含まれています。

この評価は、組織でのビジネスのリスクおよびリスクを低減するセキュリティ対策を特定するように設計されています。 共通の問題に注目し、ビジネスを支える技術、プロセス、人的な観点から、上位レベルのセキュリティ リスク アセスメントを提示するための設問が開発されました。

このツールでは、まず始めに自社のビジネス モデルに関する設問に回答し、選択した業界およびビジネス モデルに応じて、直視する必要のあるビジネス上のリスクを測定し、ビジネス リスク プロファイル (BRP) を構築します。 次に、これまで導入されたセキュリティ対策の一覧を作成するための設問に回答します。 これらのセキュリティ対策は、連動して複数の防御層を形成し、セキュリティリスクや特定の脆弱性に対する防御を強化します。 それぞれの層が、多層防御を実現する構成要素となります。 各層の合計を多層防御のインデックス (DiDI) といいます。 次に BRP と DiDI を比較して、インフラストラクチャ、アプリケーション、運用、人的要素の分析領域 (AoA) におけるリスク分布が測定されます。

このツールでは、セキュリティ リスク対策および防御の配備の測定に加え、自社のセキュリティの成熟度も測定できます。 セセキュリティの成熟度とは、強力なセキュリティと維持可能な施策の展開度を指します。 最低レベルでは、セキュリティ防御がほとんど導入されておらず、対応も受身です。 最高レベルでは、確立された検証済みのプロセスによって、より予防的な措置を取ることができ、必要に応じてより効率よく一貫した対応ができます。

提示されるリスク管理提案は、導入済みの技術、現在のセキュリティ状況、および多層防御施策が反映され、回答企業向けにカスタマイズされたものとなります。 この提案を、業界で認知されているベスト プラクティスに進むための手引きとして活用してください。

このアセスメントは、設問、測定、提案で構成されており、自社環境に 50〜500 台のデスクトップを持つ中規模企業を対象としています。 また、特定の技術またはプロセスの詳細な分析ではなく、企業環境全体に横たわるリスクの幅広い領域に焦点を当てています。 したがって、このツールでは導入されているセキュリティ対策の実効性を測定することはできません。 そのため、このツールによって得た情報は、より厳しい配慮を必要とする特定の領域に焦点をあてる際の準備的な手引きとして使用してください。 MSAT により提示された手引きおよび導入済みのセキュリティ対策から、より強固なセキュリティ対策を実行するための情報を得るために、このツールを使用して、定期的に新しいアセスメントを取得することをお勧めします。

アセスメント ツールの要約

このマイクロソフト セキュリティ アセスメント ツールはコンピューティング環境におけるセキュリティ上のリスクを特定し、解決する手助けとなるよう設計されています。 このツールは総合的なアプローチを採用しており、セキュリティ状況の確認から人材、プロセスおよびテクノロジなど、広範囲に渡ります。 結果は、必要に応じてそのほかの業界のガイダンスについての詳細情報へのリンクを含む、規範的なガイダンスおよび推奨される緩和策とともに提示されます。 これらのリソースは IT 環境のセキュリティ状況を変更するための支援となる特定のツールおよび方法についての情報を得るのに役立つでしょう。

このアセスメントは 200 以上もの質問から構成され、その質問は 4 つのカテゴリに分類されます。

インフラストラクチャ

アプリケーション

運用

人的要素

ツールの測定部分となる設問および関連する回答は、一般的および特定のものを含め、セキュリティにおける標準的なベスト プラクティスが使用されています。ツールが提示する設問および推奨策は、マイクロソフトおよび外部のセキュリティ ソースの両方からの推奨策や規範的なガイダンスばかりでなく、ISO 17799 および NIST-800.x などの標準に基づいています。

下記の一覧表は、このセキュリティ リスク アセスメントに含まれる分野です。

インフラストラクチャセキュリティに対する重要性

防御線内での防御

境界防御は、お客様の社内ネットワークが外部のネットワークと接するネットワークの境界のセキュリティを扱います。これは、侵入者に対する防御の最初の防御線の構成要素です。

認証

ユーザー、管理者およびリモート ユーザーの厳密な認証手順を踏むことは、ローカルまたはリモートの攻撃により、ネットワークへのアクセスを不正に取得することを防ぐ手助けとなります。

管理とモニタリング

管理、監視および適切なログの記録は、IT の環境を維持し分析するために重要です。これらのツールは攻撃が行なわれて、インシデントの分析が必要になった際、より重要になります。

ワークステーション

個々のワークステーションのセキュリティは、すべての環境、特にリモートのアクセスが許可されている環境においては、重要な要素となります。一般的な攻撃に対抗するために、ワークステーションは適切な防御手段が必要です。

アプリケーションセキュリティに対する重要性

展開と使用

ビジネス上重要なアプリケーションが運用環境に展開された際、セキュリティおよびこれらのアプリケーションとサーバーの可用性は保護されなければなりません。セキュリティ問題が修正され、新しい脆弱性が環境に導入されないために、継続的なメンテナンスが必要です。

アプリケーション設計

セキュリティのメカニズム (認証、承認、データの検証など) を適切に実装しない設計は、攻撃者によりセキュリティ上の脆弱性が悪用され、機密情報へのアクセスが取得される可能性があります。

安全なアプリケーションの開発は、社内または外部で開発されたアプリケーションが組織が影響を受ける可能性のあるセキュリティの脅威のモデルに対応するための重要な鍵となります。

データの整合性および機密性は、どのビジネスにおいても最大の懸念のひとつです。データの紛失あるいは盗難は組織の名声と同様、収益にも影響を与えます。アプリケーションによるビジネスの重要なデータの処理方法およびデータの保護方法を理解することが重要です。

運用セキュリティに対する重要性

環境

組織のセキュリティは、環境で採用されている運用手順、プロセスおよびガイドラインにより異なります。これらは、単に技術的な防御以上のものを備えることにより、組織のセキュリティを強化します。正確な環境の文書化およびガイドラインは、運用チームが環境のセキュリティをサポートおよび保持する上で重要です。

セキュリティ ポリシー

企業のセキュリティ ポリシーとは、安全性、正しい技術の利用、そして組織内のプロセスを管理するために存在する、個々のポリシーおよびガイドラインを意味します。これはユーザー、コンピュータそしてデータなど、すべてのセキュリティに対するポリシーに及ぶものです。

バックアップと復旧

データのバックアップと復旧は、災害時またはハードウェア/ソフトウェアの不具合があった際に、業務の流れを継続するために必要なものです。適切なバックアップ、および復旧の手順の欠落はデータおよび生産性の大きな損失につながる場合があります。 企業の名声およびブランド イメージがリスクにさらされる可能性があります。

修正プログラムと更新プログラムの管理

修正プログラムおよび更新プログラムの管理は、組織の IT 環境をセキュリティで保護するために重要なことです。既知の、そして攻撃に悪用される恐れのある脆弱性に対して防御するために、タイムリーに修正プログラムおよび更新プログラムを適用することが必要です。

人的要素セキュリティに対する重要性

要件と評価

セキュリティの要件は、技術的な決定およびビジネス的な決定が対立するのではなく、両方がセキュリティを向上させることができるように、すべての決定を行う人物により理解されていることが必要となります。第三者による定期的な評価は、企業が改善すべきエリアを検討、評価、識別するのに役立ちます。

ポリシーと手順

ベンダーやパートナーとの関係を管理するための、明確で、実務的な方法により、企業がリスクにさらされるのを防ぐ手助けとなります。従業員の雇用および解雇までを取り扱う手順は、不謹慎な、あるいは恨みを抱いた従業員から企業を守るために役立ちます。

研修と意識

従業員は、不注意により、企業を重大なリスクにさらすことのないように、セキュリティが日々の作業にどのように適用されているかに関してトレーニングを受け、また認識する必要があります。