セキュリティ リスク管理ガイド

トピック

	概要
	制御を実装する
	プログラムの効果を測定する
	要約
	このガイドの結論

概要

この章では、マイクロソフト セキュリティ リスク管理プロセスの最後の 2 つのフェーズ、「制御の実装」と「プログラムの効果の測定」について説明します。 「制御の実装」フェーズについては、改めて説明するまでもありません。対策責任者が、意思決定支援プロセス中に明らかになった制御ソリューションの一覧に基づいて計画を作成、実行し、「リスクの評価」フェーズで特定されたリスクを軽減します。 この章には、組織の対策責任者がさまざまなリスクに対処する際に役立つ、規範的なガイダンスへのリンクが記載されています。

「プログラムの効果の測定」フェーズは、継続して行うフェーズです。このフェーズでは、その前のフェーズで実装された制御が必要とされるレベルの保護を実際に提供しているかどうかをセキュリティ リスク管理チームが定期的に確認します。 このフェーズのもう 1 つの手順として、組織が実施しているセキュリティ リスク管理の進捗状況全体を総合的に評価します。 また、組織の実施状況の追跡に使用できる "セキュリティ リスク スコアカード" の概念についても紹介します。 最後に、システムやアプリケーションの追加と削除、新しい脅威や脆弱性の出現など、コンピューティング環境の変化を監視することの重要性について説明します。 このような変化があった場合、組織は即座に対応して、新しいリスクや変化したリスクに対する防御を用意する必要があります。

ページのトップへ

制御を実装する

このフェーズでは、対策責任者は前のフェーズで指定された制御を採用します。 マイクロソフト セキュリティ リスク管理プロセスのこのフェーズで成功するには、主な要因として、対策責任者は制御ソリューションを実装する際に総合的な手法を使用します。 対策ソリューションの取得および展開計画を作成する場合、情報技術 (IT) システム全体、ビジネス ユニット全体、またはエンタープライズ全体までも考慮に入れる必要があります。 この章の「制御ソリューションを編成する」の項には、組織が制御ソリューションの実装計画を作成する場合に役に立つ規範的なガイダンスへのリンクが記載されています。 この項は、多層防御モデルに基づいて構成されているため、特定の問題に対応するガイダンスを簡単に見つけることができます。

図 6.1 マイクロソフト セキュリティ リスク管理プロセス : 「制御の実装」フェーズ
拡大表示する

「制御の実装」フェーズに必要な情報

「制御の実装」フェーズで必要とされる情報は、「意思決定支援の実行」フェーズで作成された、実装する必要のある制御ソリューションの優先順位一覧のみです。 「第 5 章 意思決定支援の実行」で説明した手順に従った場合、セキュリティ リスク管理チームは、調査結果をセキュリティ運営委員会に提出する際に、この情報を記録しています。

「制御の実装」フェーズの参加者

このフェーズの参加者は、主に対策責任者です。ただし、セキュリティ リスク管理チームの支援を受けることもできます。 「制御の実施」フェーズには、「第 3 章 セキュリティ リスク管理の概要」で定義された次の役割の担当者が含まれます。

次の一覧は、それぞれの責任分担をまとめたものです。

セキュリティ リスク管理チームは、特定されたリスクごとにセキュリティ技術者を割り当てることをお勧めします。 窓口が 1 つだと、セキュリティ リスク管理チームが相反する意見を出すリスクが減り、展開プロセス全体ですっきりした形で関与することができます。

「制御の実装」フェーズで提供されるツール

このガイドには、「制御の実装」フェーズに関連するツールは付属していません。

「制御の実装」フェーズで作成する必要がある情報

マイクロソフト セキュリティ リスク管理プロセスのこのフェーズでは、「意思決定支援の実行」フェーズで指定された制御ソリューションの実装計画を作成します。 次の表は、その主な要素をまとめたものです。この章の以降の項でも、これらの要素について簡単に説明します。

表 6.1: 「制御の実装」フェーズで作成する必要がある情報

制御ソリューションを編成する

前の章では、意思決定支援プロセスの実行を中心に説明を行いました。 そのフェーズの分析結果は、その前の「リスクの評価」フェーズで特定されたセキュリティ リスクに対する組織の対応方法に関連する決定として、セキュリティ運営委員会により設定されました。 一部のリスクは受容され、または第三者に移管されました。対応が必要なリスクについては、制御ソリューションの優先順位一覧が作成されました。

次の手順として、明示的な時間枠を使って、制御を実装するアクション プランを作成します。 このプランは明確かつ正確で、プランごとに適切な実行担当者または担当チームが割り当てられている必要があります。 効果的なプロジェクト管理方法を使用して進捗状況を追跡し、プロジェクトの目標をスケジュールどおりに完了します。

注 : Microsoft Solutions Framework (MSF) を利用すると、このフェーズで作成したアクション プランを正しく実行することができます。 MSF は、組織が高品質のテクロノジ ソリューションを納期および予算どおりに配布できるように設計された、テクノロジ プロジェクトに対する入念かつ統制の取れたアプローチです。定義された一連の原則、モデル、統制、概念、ガイドライン、およびマイクロソフトの実証済みのプラクティスに基づいています。 詳細については、http://www.microsoft.com/japan/msdn/vstudio/productinfo/enterprise/msf/ を参照してください。

プロジェクトのこのフェーズには、重要な成功要因がいくつか存在します。

制御を実装するスタッフは、進捗状況を一部またはひと続きのレポートに記録し、後でセキュリティ リスク管理チームおよびセキュリティ運営委員会に提出する必要があります。

マイクロソフト セキュリティ ガイダンス センター (SGC) http://www.microsoft.com/japan/security/guidance/default.mspx には、セキュリティに関するさまざまなトピックについて説明したあらゆるドキュメントが、わかりやすく整理されて掲載されています。 このサイトのガイダンスを利用すると、組織は、優先順位一覧から選択した制御を簡単に実装することができます。

この項の残りの記述は、マイクロソフトの多層防御モデル (下の図を参照) に基づいて構成されています。 他の組織で使用されている公開モデルと同様に、マイクロソフトの多層モデルでは、制御が複数の大きなカテゴリに分類されています。 各項目の情報は、ネットワークのすべての層を保護する制御について説明した、推奨する規範的なガイダンスおよびホワイト ペーパーとそのリンクで構成されています。 規範的なガイダンスには、エンドツーエンド ソリューションを計画して展開する手順が段階的に説明されています。 このガイダンスは、顧客環境で総合的にテストおよび検証されたものです。 ホワイト ペーパーおよび記事には通常、製品機能または全体的なソリューションの一部向けの優れた技術上の参照情報が記載されています。規範的なガイダンスのような広範な情報は記載されていない場合があります。

注 : 下の図の "物理的機器" に関する推奨リソースを紹介する項は、この章にはありません。マイクロソフトは、この件に関する詳細なガイダンスをまだ公開していません。

図 6.2 多層防御モデル

ネットワークの防御

適切に設計されて実装されたネットワーク アーキテクチャがあると、高い可用性、安全性、拡張性、管理性、および信頼性のあるサービスを実現できます。 組織内に複数のネットワークがある場合は、それぞれを別々に評価して、適切にセキュリティ保護されていることを、または高価値のネットワークがセキュリティ保護されていないネットワークから保護されていることを確認する必要があります。 内部ネットワークの防御を実装する場合は、適切なネットワーク設計およびワイヤレス ネットワークのセキュリティにも注意を払います。また、可能な場合は、インターネット プロトコル セキュリティ (IPSec) を使用して、信頼できるコンピュータのみが重要なネットワーク リソースにアクセスできるようにします。

規範的なガイダンス

ファイアウォールを使用したネットワークのセキュリティ保護に関する規範的なガイダンスについては、「Windows Server System Reference Architecture」に収録されている「Windows Server System Reference Architecture Enterprise Design for Firewalls」http://www.microsoft.com/technet/itsolutions/wssra/raguide/FirewallServices/igfsbp_2.mspx (英語) を参照してください。

その他の規範的なガイダンスについては、「Web アプリケーション セキュリティ強化 : 脅威とその対策」の「ネットワークをセキュリティ保護する」http://www.microsoft.com/japan/msdn/security/guidance/secmod88.mspx を参照してください。

EAP とデジタル証明書を使用した安全なワイヤレス LAN (WLAN) の実装に関する規範的なガイダンスについては、「ワイヤレス LAN のセキュリティ強化 (Windows Server 2003 証明書サービス ソリューション)」 http://www.microsoft.com/japan/technet/security/prodtech/win2003/pkiwire/swlan.asp を参照してください。

PEAP とパスワードを使用した安全なワイヤレス LAN (WLAN) の実装に関する規範的なガイダンスについては、「PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する」 http://www.microsoft.com/japan/technet/security/topics/cryptographyetc/peap_0.mspx を参照してください。

ネットワーク セグメンテーションを使用したセキュリティとパフォーマンスの向上に関する規範的なガイダンスについては、「Windows Server System Reference Architecture」に収録されている「Windows Server System Reference Architecture: Enterprise Design」 http://www.microsoft.com/technet/itsolutions/wssra/raguide/ArchitectureBlueprints/rbabna_2.mspx (英語) を参照してください。

ホワイト ペーパーと記事

IPSec の展開の詳細については、「Microsoft Windows Server 2003 Deployment Kit」に収録されている「Deploying Network Services」の「Overview of IPSec Deploymen」 http://www.microsoft.com/windowsserver2003/techinfo/reskit/deploykit.mspx (英語) を参照してください。

IPSec の使用方法の詳細については、ホワイト ペーパー「Using Microsoft Windows IPSec to Help Secure an Internal Corporate Network Server」 http://www.microsoft.com/downloads/details.aspx?FamilyID=a774012a-ac25-4a1d-8851-b7a09e3f1dc9&DisplayLang=en (英語) を参照してください。

ネットワーク セグメンテーションおよび強固なネットワーク設計により対応可能な問題の詳細については、「Windows Server System Reference Architecture」の「Enterprise Design for Switches and Routers」 http://www.microsoft.com/technet/itsolutions/wssra/raguide/NetworkDevices/igndbp_2.mspx (英語) を参照してください。

使用可能なさまざまなファイアウォールおよびその一般的な使用方法の概要については、「Firewalls」 http://www.microsoft.com/technet/security/guidance/networksecurity/firewall.mspx (英語) を参照してください。

ネットワーク アクセス検疫制御の詳細については、次のホワイト ペーパーを参照してください。

ホストの防御

ホストにはクライアントとサーバーの 2 種類があります。 両方のホストを効果的にセキュリティ保護するには、強化の度合いと利便性のレベルのバランスをとる必要があります。 例外もありますが、通常は、コンピュータのセキュリティが向上するほど利便性は低下します。 ホストの防御策には、ウイルス対策製品や分散型ファイアウォール製品の使用だけでなく、サービスの無効化、特定のユーザー権限の削除、オペレーティング システムの更新などがあります。

規範的なガイダンス

マイクロソフトのパッチ管理についての Web サイトには、ソフトウェア更新のテスト、展開、およびサポートを組織がより効果的に実施できるようになるツールおよびガイドが用意されています。 http://www.microsoft.com/japan/technet/security/guidance/patchmanagement.mspx を参照してください。

「Step-by-Step Guide to Securing Windows XP Professional with Service Pack 2 in Small and Medium Businesses」は、http://go.microsoft.com/fwlink/?linkid=19453 (英語) から入手できます。

Microsoft® Windows® XP のセキュリティ保護に関する規範的なガイダンスについては、「Microsoft Windows XP セキュリティ ガイド」 http://www.microsoft.com/japan/technet/security/prodtech/winclnt/secwinxp/sg1.asp を参照してください。

Microsoft Windows Server 2003 のセキュリティ保護に関する規範的なガイダンスについては、「Windows Server 2003 セキュリティ ガイド」 http://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx を参照してください。

「脅威とその対策 :Windows Server 2003 と Windows XP のセキュリティ設定」は、Windows Server 2003 および Windows XP に搭載された主なセキュリティ設定と機能に関するリファレンス ガイドです。 このガイドには、「Windows Server 2003 セキュリティ ガイド」を利用する際に参照となる詳細な背景情報が記載されています。このガイドは http://www.microsoft.com/japan/technet/security/prodtech/winclnt/secwinxp/default.asp から入手できます。

Windows 2000 サーバーのセキュリティ保護に関する規範的なガイダンスについては、「Windows 2000 Security Hardening Guide」 http://www.microsoft.com/downloads/details.aspx?FamilyID=15E83186-A2C8-4C8F-A9D0-A0201F639A56&DisplayLang=en (英語) を参照してください。

ホワイト ペーパーと記事

マイクロソフトのサーバークラスのオペレーティング システムおよびアプリケーションは、さまざまなネットワーク プロトコルを使用して相互に通信したり、多くの Transmission Control Protocol (TCP) または User Datagram Protocol (UDP) ポートなど、それらにアクセスしているクライアント コンピュータと通信します。 これらのポートの多くについては、マイクロソフト サポート技術情報 (KB) の記事 832017 「Microsoft Windows サーバー システムのポート要件」 http://support.microsoft.com/?kbid=832017 を参照してください。

「ウイルス対策ソフトウェアに関する FAQ」は、ウイルス対策ソフトウェアの概要、ならびにこれらの製品を取得、インストール、および保守する方法のヒントが記載された短い記事です。 この記事は、http://www.microsoft.com/japan/athome/security/protect/antivirus.mspx から入手できます。

「インターネット ファイアウォールに関する FAQ」には、ファイアウォールを使用する重要性、エンド ユーザー コンピュータにファイアウォール ソフトウェアをインストールする最適な時期、およびこの種のソフトウェアの使用に関連する最も一般的な問題のいくつかを解決する方法が記載されています。 この記事は、http://www.microsoft.com/japan/athome/security/protect/firewall.mspx から入手できます。

アプリケーションの防御

アプリケーションの防御は、セキュリティ モデルに必須です。 アプリケーションは、システム全体のコンテキスト内に存在するため、アプリケーションのセキュリティを評価する場合には、環境全体のセキュリティを考慮する必要があります。 各アプリケーションは、運用環境で実行する前にセキュリティへの準拠を徹底的にテストする必要があります。 アプリケーションの防御の実装には、アプリケーションが最小の権限で実行されて攻撃面が可能な限りさらされないことの確認など、適切なアプリケーション アーキテクチャが含まれます。

規範的なガイダンス

「Exchange Server 2003 セキュリティ強化ガイド」には、Microsoft Exchange Server 2003 のセキュリティ保護に関する情報が記載されています。 このガイドは、http://www.microsoft.com/downloads/details.aspx?FamilyID=6a80711f-e5c9-4aef-9a44-504db09b9065&DisplayLang=ja から入手できます。

「Microsoft Exchange 2000 Server セキュリティ運用ガイド」には、Microsoft Exchange 2000 Server のセキュリティ保護に関するガイダンスが記載されています。 このガイドは、http://www.microsoft.com/japan/technet/security/prodtech/exchangeserver/opsguide/e2ksec01.mspx から入手できます。

「Web アプリケーション セキュリティ強化 : 脅威とその対策」の「データベース サーバーをセキュリティ保護する」には、Microsoft SQL Server のセキュリティ保護に関する規範的な情報が記載されています。 このガイドは、http://www.microsoft.com/japan/msdn/security/guidance/secmod91.mspx から入手できます。

「Web アプリケーション セキュリティ強化 : 脅威とその対策」は、安全な ASP.NET Web アプリケーションを設計、構築、および構成するための強固な基盤について記載されたソリューション ガイドです。 このガイドは、http://www.microsoft.com/japan/msdn/security/guidance/secmod71.mspx から入手できます。

「セキュリティ保護された .NET Web アプリケーションの構築」には、Windows 2000 および Microsoft .NET Framework のバージョン 1.0 用の安全な ASP.NET アプリケーションを設計および構築するための、実用的でシナリオ主導型の手法が紹介されています。 分散型 .NET Web アプリケーションの層内および層間の認証、承認、および安全な通信の主要な要素に重点が置かれています。 このガイドは、http://www.microsoft.com/japan/msdn/security/guidance/secmod00.mspx から入手できます。

ホワイト ペーパーと記事

ホワイト ペーパー「より安全な Web サイトの構築と構成 (Building and Configuring More Secure Web Sites)」には、マイクロソフトのセキュリティ チームが eWeek 主催の 2002 OpenHack 4 オンライン セキュリティ コンテスト開催中に得た、さまざまな教訓の詳細が記載されています。 コンテストで展開したソリューションには、.NET Framework、Microsoft Windows 2000 Advanced Server、Internet Information Services (IIS) Version 5.0、および SQL Server 2000 が含まれていました。 このソリューションは、82,500 を超える数の攻撃に耐え抜き、無傷のままコンテストを終了しました。 このホワイト ペーパーは、http://msdn2.microsoft.com/ja-jp/library/Aa302370.aspx (英語) から入手できます。

データの防御

データは、ほとんどの組織にとって最も重要なリソースです。 クライアント レベルでは、データはローカルに保存されることが多く、攻撃に対して特に脆弱な場合があります。 データは、Encrypting File Service (EFS) の使用、セキュリティ保護されたバックアップの頻繁な作成など、さまざまな方法で保護することができます。

規範的なガイダンス

Windows 2000 ネットワーク上のデータのバックアップの詳細については、「Windows 2000 Server Backup and Restore Solution」http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/backuprest/default.mspx (英語) を参照してください。

EFS を実装する手順については、「暗号化ファイル システム」 http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/deploy/confeat/nt5efs.mspx を参照してください。

ページのトップへ

プログラムの効果を測定する

「プログラムの効果の測定」フェーズによって、セキュリティ リスク管理チームは、組織に対するリスクの現状を正式に文書化することができます。 ビジネスはリスク管理サイクル中も継続するため、このフェーズを利用することで、長期にわたる許容レベルへのリスク管理の進捗状況を表示することができます。 ここでは、進捗状況の報告に役に立つ、組織全体のリスクを大まかに示す指標として、セキュリティ リスク スコアボードの概念を紹介します。 スコアボードによって、リスク管理が IT 運用に間違いなく組み込まれていることを実証できます。 「第 3 章 セキュリティ リスク管理の概要」で説明したように、"統合リスク管理" の概念もまた、組織のリスク成熟レベルを決定する際の重要な属性です。

図 6.3 マイクロソフト セキュリティ リスク管理プロセス : 「プログラムの効果の測定」フェーズ
拡大表示する

「プログラムの効果の測定」フェーズに必要な情報

次の一覧は、「プログラムの効果の測定」フェーズで必要となる、前のフェーズから投入される数少ない情報をまとめたものです。

「プログラムの効果の測定」フェーズの参加者

「プログラムの効果の測定」フェーズの主な参加者は、情報セキュリティ グループのメンバです。 参加者は、後で説明するセキュリティ リスク スコアカードを作成して、制御が実装されて予測どおりにリスクを効果的に軽減していることを確認し、組織のリスク プロファイルを変える可能性のある情報システム環境の変化を監視します。 情報セキュリティ グループは、セキュリティ運営委員会に継続的にレポートを提出します。 また、対策責任者は、コンピューティング インフラストラクチャの大きな変化、および発生したセキュリティ イベントの詳細を通知して、チームを支援します。 繰り返しになりますが、「プログラムの効果の測定」プロセスには、「第 3 章 セキュリティ リスク管理の概要」で定義した、次の役割が含まれます。

それぞれの責任分担を次の表に示します。

「プログラムの効果の測定」フェーズで提供されるツール

このガイドには、「プログラムの効果の測定」フェーズに関連するツールは付属していません。

「プログラムの効果の測定」フェーズで作成する必要がある情報

このフェーズで、セキュリティ リスク管理チームは、組織の進行中のセキュリティ リスク プロファイルに関するレポートを作成します。 次の表は、その主な要素をまとめたものです。この章の以降の項では、これらの要素について詳しく説明します。

表 6.2: 「プログラムの効果の測定」で作成する必要がある情報

組織のセキュリティ リスク スコアカードを作成する

セキュリティ リスク スコアカードは、組織のリスクの現状を通知する場合に役立つ重要なツールです。 これを使用すると、長期にわたるリスク管理の進捗状況を表示することもでき、リスク管理の重要性と組織に対するその価値を示す不可欠の通信用ツールとなる可能性があります。 スコアカードにより、経営幹部に概要レベルのリスクが提示されます。 「リスクの評価」フェーズで特定される詳細なリスクを戦略的観点から要約できるようには設計されていません。

注 : セキュリティ リスク スコアカードの概念と、マイクロソフトの他のガイダンスで説明されている IT スコアカードとを混同しないように気をつけてください。 IT スコアカードの作成は、情報システム環境全体に関する組織の進捗状況を測定する有効な方法です。 セキュリティ リスク スコアカードは、そのような目的でも重要ですが、情報システム環境の特定の部分、つまりセキュリティに重点が置かれています。

セキュリティ リスク管理チームは、セキュリティ リスク スコアカードを利用することで問題箇所を明らかにし、その箇所に将来の IT 投資を集中して、組織全体でリスクを許容レベルに収めることができるようになります。 組織によっては、スコアカードの要素が高リスクにランクされていても、リスクを許容することを選択する場合があります。 次に、スコアカードを使用して、概要レベルでこれらの決定を追跡することができ、リスク管理プロセスの将来のサイクルで再度リスクの決定を行う際の参照にすることもできます。

次の図は、「第 4 章 リスクの評価」で説明した多層防御の層別に編成された、簡単なセキュリティ リスク スコアカードを示したものです。スコアカードは、組織のニーズに合わせてカスタマイズします。 たとえば、一部の組織では、ビジネス ユニットまたは固有の IT 環境別にリスクを整理する必要があります (IT 環境とは、同じビジネス目標と事業主を共有する IT 資産の集合体です)。ビジネスが非常に分散している場合は、複数のセキュリティ リスク スコアカードが必要になることもあります。

図 6.4 簡単なセキュリティ リスク スコアカード
拡大表示する

セキュリティ リスク スコアカードは、IT 運用全体の主要な測定基準を示す、大規模な IT "ダッシュボード" に組み込むこともできます。 ダッシュボードで IT 基準を測定して通知する方法は、マイクロソフトが推奨する方法でもあります。 詳細については、「IT スコアカードを使用して IT の健全性を測定する (Measuring IT Health with the IT Scorecard)」 http://www.microsoft.com/technet/itsolutions/msit/busint/scoretcs.mspx (英語) を参照してください。

制御の効果を測定する

制御の展開が完了したら、制御により予想どおりの保護が行われていること、および制御が引き続き配置されることを確認する必要があります。 たとえば、重大なセキュリティ違反の根本原因が、展開時に誤って構成されたために、認証されていないユーザーが企業ネットワークにアクセスすることを仮想プライベート ネットワーク (VPN) 認証メカニズムが許したためだと判明したら、あまりいい気はしないでしょう。 ネットワーク エンジニアが組織の変更管理プロセスを介した必要な事前承認を得ずに、ファイアウォールを再構成して追加のプロトコルを許可したために、侵入者が内部リソースへのアクセス権を手に入れたと判明したら、気分はさらに悪くなることと思います。

民間の有力企業を対象とした、米国政府説明責任局の情報セキュリティ管理調査 (GAO/AIMD-98-68) によると、制御によって達成されたリスク軽減度を効果的にチェックする方法として使用していると最も多く回答があったのが、直接テストでした。 自動脆弱性評価ツール、手動による評価、ペネトレーション テストなど、この種のテストを行う方法はいろいろあります。

手動評価では、各制御が実装されて正常に機能していることを、IT チームのメンバが確認します。 少なからぬシステムをチェックする場合、この方法は非常に時間がかかり、面倒で、エラーも発生しやすくなります。 マイクロソフトでは、Microsoft Baseline Security Analyzer (MBSA) という無料の自動脆弱性評価ツールをリリースしています。 MBSA は、ローカルおよびリモート システムをスキャンして、インストールされていない重要なセキュリティ更新プログラム、およびその他各種の重要なセキュリティ設定を判定できます。 MBSA の詳細については、http://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx を参照してください。 MBSA は無料の非常に便利なツールですが、これ以外にもさまざまなベンダが自動評価ツールを提供しており、それらも同様に利用できます。

その他の方法としてペネトレーション テストを上で挙げましたが、これはよくペン テストと略されます。 ペン テストでは、1 人または複数の担当者が承認を受けて自動および手動テストを実行し、さまざまな方法で組織のネットワークに侵入できるかどうかを調べます。 一部の組織では、社内のセキュリティ専門家を使ってペン テストを実行し、別の組織では、このようなテストを専門にしている外部の専門家を雇います。 誰がペン テストを行うかに関わらず、情報セキュリティ グループは、プロセス管理と結果の追跡に責任を持つ必要があります。 ペン テストは効果的な方法ですが、適切に実行された脆弱性評価ほど徹底的に行われないため、通常はそれほど多くの脆弱性が検出されるわけではありません。 したがって、他の方法を使用してペン テストを補完することをお勧めします。

注 : ペネトレーション テストの詳細については、マイクロソフトのセキュリティ チームのメンバ、Ben Smith、David LeBlanc、Kevin Lam 共著による「Assessing Network Security」(Microsoft Press, 2004) を参照してください。

他の方法でも準拠性を確認することができます。 情報セキュリティ グループは、組織内の全員にフィードバックを奨励する必要があります。 または、各ビジネス ユニットに準拠性に関するレポートの定期的な提出を義務付ける、より正式なプロセスを設定することもできます。 セキュリティ インシデント対応プロセスの一環として、情報セキュリティ グループは、最初に問題を明らかにした兆候、脅威にさらされたデータ、悪用されたシステム、攻撃が行われた経緯を文書化した、独自のレポートを作成する必要があります。 セキュリティ インシデントの原因には、ワームやウイルスなどの悪意のあるコード、誤ってポリシーに違反する内部ユーザー、故意に機密情報を公開する内部ユーザー、競合他社や外国政府のために働く外部の攻撃者、自然災害など多くのものが考えられます。 情報セキュリティ グループがインシデントを封じ込めるために実行した手順も、文書化する必要があります。

情報セキュリティ グループの効果も、次のような方法で追跡することができます。

資産およびセキュリティ リスクの追加と変更についての再評価

セキュリティ リスク管理を有効に行うためには、一時的なプロジェクトではなく、組織内の継続する進行中のプロセスである必要があります。 「第 4 章 リスクの評価」で説明したプロセスに従った、定期的な環境の再評価は、サイクルを再開する場合の最初の手順です。 当たり前に思えるかもしれませんが、セキュリティ リスク管理チームは、最初のリスク管理プロジェクトで作成した資産、脆弱性、制御、およびその他の知的財産の一覧を再利用し、更新する必要があります。

チームは、組織の運用環境の変化に重点を置くことで、リソースを最も効率的に使用できます。 最後に確認してから資産に変更がない場合は、再度詳細な確認を行っても意味がありません。 重点的に注意を払う必要のある箇所を決定するには、組織の情報システムに影響する変更に関して、適宜、正確かつ適切な情報を収集します。 徹底的な調査が必要な内部イベントには、新しいコンピュータ ソフトウェアまたはハードウェアのインストール、新しい社内開発アプリケーション、企業の再編成、企業合併および買収、組織の部門の分離などがあります。 リスクの既存の一覧を確認して、変更があるかどうかを判定する必要もあります。 また、セキュリティ監査ログを確認すると、調査が必要な新しい領域が見つかることもあります。

チームは、情報セキュリティに影響を与える可能性のある、組織の外部で発生した変化にも注意する必要があります。 そのための方法の例を、次にいくつか紹介します。

ページのトップへ

要約

「制御の実装」フェーズでは、対策責任者は、セキュリティ運営委員会が「意思決定支援の実行」フェーズで選択した制御ソリューションを展開しました。 対策責任者はまた、制御ソリューションの展開の進捗状況に関するレポートをセキュリティ リスク管理チームに提出しました。 マイクロソフト セキュリティ リスク管理プロセスの 4 番目のフェーズでは、セキュリティ リスク管理チームが新しいセキュリティ評価を開始して次のサイクルが回り出すまで、継続して実行される進行中の作業がその中心を占めます。 この進行中の作業には、計画段階にある情報システム環境の変更について説明する詳細なレポート、開始予定にある情報システム環境の変更について説明する詳細なレポート、情報システム環境に影響を与えた予定外のセキュリティ イベントについて説明するレポートなどが含まれます。

このフェーズには、セキュリティ リスク管理チームが提出する、制御ソリューションのリスク軽減度をまとめたレポート、および、以前に特定した脅威が、新しい脅威、新しい脆弱性、または組織の情報システム環境の変更によって変化した状況を示すレポートも含まれます。 最後に、このフェーズでは、組織の現在のリスク プロファイルを示すセキュリティ リスク スコアカードを作成して維持管理します。

ページのトップへ

このガイドの結論

このガイドでは、マイクロソフトのセキュリティ リスク管理に対するアプローチを紹介しました。 これは予防的なアプローチであり、ビジネスの成功の障害となる可能性のあるセキュリティ リスクに対応する必要のある、あらゆる規模の組織を支援することができます。 正式にセキュリティ リスク管理プロセスを適用すると、企業は、ビジネス リスクを既知の許容可能なレベルに保ちながら最もコスト効率の高い方法で事業を運営することができます。また、リスク管理のための限られたリソースを一貫した明確な手順で編成して優先度を設定することができます。 リスクを許容レベルに下げる、費用対効果が高い制御を実装すると、セキュリティ リスク管理を使用する利点を実感できます。

許容できるリスクの定義とリスクの管理方法は、組織ごとに異なります。 正解も不正解もありません。その証拠に、現在、多くのリスク管理モデルが使用されています。 各モデルにはトレードオフがあり、正確性、リソース、時間、複雑さ、および主観性を微妙に調整しています。 しっかりした枠組み、および明確に定義された役割と責任を持つ、リスク管理プロセスに投資すれば、組織は、優先順位を明確に示し、脅威への対策計画を作成して、ビジネスに対する次の脅威や脆弱に対処する態勢が整います。

マイクロソフト セキュリティ リスク管理プロセスは業界標準を使用して、コストと効果のバランスを求める反復的な 4 フェーズのプロセスで、確立されたリスク管理モデルの混成を提供します。 リスク評価プロセスでは、定性的な手順によって最も重要なリスクをすばやく特定します。 慎重に定義された役割と責任に基づく定量的プロセスが、その後に続きます。 このアプローチを利用するときわめて詳細なプロセスになるため、最も重要なリスクを十分に理解することができます。 リスク評価プロセスの定性的および定量的な手順が組み合わされることにより、インテリジェントなビジネス プロセスに従って、リスクと対策に関する確固とした決定を行える基盤を提供します。 これでガイド全体を読了したことになり、すぐにでもプロセスを開始できます。プロセスを開始するには、「第 4 章 リスクの評価」に戻ってください。

ページのトップへ

7 of 12