マイクロソフト セキュリティ リスク アセスメントの「よく寄せられる質問」

マイクロソフト セキュリティ アセスメントとは、マイクロソフト セキュリティ アセスメント ツール (MSAT) を使用し、お客様の環境について回答していく、対話的なツールです。マイクロソフト セキュリティ アセスメントは、お客様自身またはパートナーが回答し、1 時間から 2 時間で終了します。これは、お客様がお客様のセキュリティ ギャップおよびリスクについてよりよい理解を得る手助けとなるよう設計されています。

このアセスメントは、お客様にその企業および IT 組織の広範な概観および、さらにセキュアな状態にするための優先的なアクティビティ、ソリューションおよび規範的なガイダンスによる明確に定義された計画として結果を提供します。MSAT は、繰り返し実行でき、スケーラブルで、かつパートナーのスキルのセットを活用する中核となるソリューションおよびサービスに焦点が当てられた予測可能なツールであり、お客様に価値を明示します。

アセスメントの完了時に、お客様はそのアセスメントで対処すべきビジネス上の問題に特化した診断結果および推奨事項が記載された無料のレポートを受け取ります。このレポートはお客様がセキュリティの基準を理解し、マイクロソフト製品およびパートナーのソリューションをとおして確認されたリスクを緩和するためのステップの優先順位を決定する手助けとなるよう設計されています。

MSAT は、お客様がセキュリティ上のリスクおよびギャップの総体的な理解を得る、さらにセキュアな状態になるためのロード マップを開発する、適切なマイクロソフト製品およびパートナーのソリューションを提供する繰り返し発生する機会を生み出すことを支援するための一般的なフレームワークをお客様に提供することに焦点が当てられています。

MSAT 開発チームには、マイクロソフト、シマンテック、Ziff Davis Media が含まれていました。

いいえ。MSAT の目標は、お客様がお客様のビジネスがコンピュータ基盤によりさらされるリスクおよびこれらのリスクを緩和するために行なうことのできるステップを理解する手助けとなることです。

MSAT のレポートは業界およびセキュリティの標準に基づく規範的なガイダンスを提供します。

推奨されるセキュリティ リソースには、マイクロソフト、シマンテック、CERT、シスコおよび同様の企業があります。

いいえ。MSAT は調査ベースのセキュリティ アンケートです。技術を評価するとともに、MSAT は人材およびプロセスを評価するよう設計されており、これは人為的な入力を必要とします。MSAT はローカル コンピュータまたはネットワークに関する情報を収集することはできません。

MSAT は企業規模、業界、といった一般的で、特定不可能な情報のみを BRP および DiDI スコアとともに収集します。このデータはお客様をすべてのそのほかの参加者または同じ業界内のそのほかの参加者と比較するために使用されます。また、このデータは後にお客様の結果を基準に従って評価し、比較するためにも使用されます。しかし、このデータは調査ベースの回答が提供されない限り、収集されません。このツールを使用してあなたのお客様の環境のモデルを作成することができます。または特定の改善点がどのようにお客様の全体のスコアまたはセキュリティに対する姿勢に影響を与えるかを予測することができます。

シマンテックは、設問、回答、ツールのスコアの設計に関与しました。Ziff Davis Media はツールのプログラミングを行い、それを SecurityGuidance.com にホストしています。シマンテックは Norton AntiVirus で知られる企業です。MSAT に取り組んでいたシマンテックのスタッフは、以前は @stake で雇用されており、買収の一部としてシマンテックに参加しました。世界における主要なセキュリティ コンサルティング企業の 1 つとしてよく知られていた通り、@stake は MSAT に豊富な経験および中間市場の企業の理解をもたらしました。

MSAT は担当されているお客様のビジネスに精通したコンサルタントに代わるものではありませんが、企業をセキュリティに関する認識への道程へ導く手助けとなるよう設計されました。ツールの調査部分を構成する設問および関連する回答は、一般的および特定のものの両方について、セキュリティにおける一般的に受け入れられた最善策から導き出されています。ツールが提供する設問および推奨は、マイクロソフトおよび外部のセキュリティ ソースの両方からの推奨や規範的なガイダンスばかりでなく、ISO 17799 および NIST-800.x などの標準に基づいています。

ビジネスを遂行する通常の過程において、お客様は定期的に技術上およびビジネス上の決定を行ないますが、これが緩和する必要のあるセキュリティ上のリスクを導入する場合があります。ビジネス リスク プロファイル (BRP) はこれらのリスクを識別し、多層防御のスコアを比較する基準を提供します。

BRP とは、お客様がビジネスを行なう方法またはそのほかのビジネスや顧客と交流する方法にどのくらいのリスクが関連するかを計測するものです。これは主に技術的および運用上のリスクに焦点が当てられています。高い BRP があるということは、お客様は極めて危険度の高い環境で運用を行なっている、重要な競合がある、またはコンピュータ、ツールまたはそれが使用するプロセスを介し直接的な攻撃、間接的な攻撃の両方による脅威にさらされている状態であることを示しています。

BRP は使用されているリスク緩和のための技術による影響は受けません。これは実施されている保護を考慮せずに、その組織が被る可能性のあるリスクを計測するものと考えるべきです。これは、お客様が行なっているビジネスの種類に基づき、より大きなリスクにさらされる可能性のある重要なエリアを識別するために使用される必要があります。

アセスメント完了後、リスク防御分散チャートを表示することができます。これは BRP スコアを DiD インデックス スコアと比較するものです。フル レポートを表示するためには、データをセキュアな MSAT Web サーバーにアップロードする必要があります。アップロードは完全に匿名です。フル レポートが表示できるとともに、比較機能へのアクセスも取得されます。

この比較機能により、あなたのお客様のアセスメントの 2 つを比較することができます。これはその後お客様が進展を追跡する手助けとなります。また、そのお客様の結果をそのほかのプログラム参加者と比較することもできます。

いいえ。MSAT を使用する際、マイクロソフト パートナーが関与する必要はありません。このツールは使用を希望しているすべての人が自由に利用することができます。このアセスメントを完了させる、またはアセスメントの結果を検討するにあたり、セキュリティ パートナーを活用することが望ましいでしょう。マイクロソフト セキュリティ アセスメント プログラムに関連するパートナーは MSAT の使用および多層防御とリスクの緩和における特別なトレーニングを受けています。

また、これらのパートナーは、企業のセキュリティに対する取り組みに非常に有益となり得るマイクロソフトから直接提供されるそのほかのプログラムおよび情報も入手できる立場にあります。

Microsoft Resource Directory で、マイクロソフト パートナーを検索することができます。

MSAT は .NET アプリケーションです。.NET Framework 1.1 がインストールされている必要があります。最善のパフォーマンスのために、Microsoft Windows 2000 Professional または Windows XP Professional (ともに最新のサービス パックがインストールされている必要があります)、および Internet Explorer 6 を使用してください。

MSAT には 2 つのバージョンがあります。英語 (米国) 版およびインターナショナル版です。インターナショナル版は、次の 15 の言語をサポートしています。