セキュリティ制御は、組織にとって重要なさまざまな形式のデータとインフラストラクチャを保護するために実装されるパラメーターです。 物理的資産、情報、コンピューターシステム、またはその他の資産に対するセキュリティリスクを回避、検出、対抗、または最小限に抑えるために使用されるあらゆる種類の保護手段または対策は、セキュリティ制御と見なされます。
サイバー攻撃の速度が増大していることを考慮すると、データ セキュリティ管理は今日これまで以上に重要になっています。メリーランド大学のクラーク スクールの研究によると、現在、米国におけるサイバーセキュリティ攻撃は平均 39 秒ごとに発生しており、毎年米国人の 3 人に 1 人が影響を受けています。これらの攻撃の 43% は中小企業をターゲットにしています。2021年3月から2022年3月にかけて、米国で発生したデータ侵害の平均コストは 944万米ドルでした。
同時に、データプライバシー規制は強化されており、企業にとってデータ保護ポリシーを強化しなければ、罰金を科せられる可能性があることが重要になっています。欧州連合は昨年、厳格な一般データ保護規則 (GDPR) ルールを施行しました。米国では、カリフォルニア州の消費者プライバシー法が 2020 年 1 月 1 日に施行される予定で、他のいくつかの州も現在同様の措置を検討しています。
これらの規制には通常、要件を満たさない企業に対する厳しい罰則が含まれます。たとえば、Facebook は最近、いくつかのデータ侵害を引き起こしたデータ保護ポリシーに関する不備に対して、米国連邦取引委員会から 30 億ドルを超える罰金が科せられると予想していると報告しました。
ハードウェア、ソフトウェア、ネットワーク、およびデータを、損失や損害を引き起こす可能性のある行為や事象から保護するために実施できるセキュリティ管理には、いくつかの種類があります。 例:
セキュリティ管理のシステム(これらの管理の実装と継続的な管理を定義するプロセスと文書を含む)は、フレームワークまたは標準と呼ばれます。
フレームワークを使用すると、組織は一般に受け入れられ、テストされた方法論に従って、さまざまな種類の資産にわたるセキュリティ制御を一貫して管理できます。最もよく知られているフレームワークと標準には、次のようなものがあります。
米国立標準技術研究所 (NIST) は、サイバー攻撃を防止、検出、および対応する方法に関するガイダンスを組織に提供するために、2014 年に自主的なフレームワークを作成しました。評価方法と手順は、組織のセキュリティ管理が正しく実装されているかどうか、意図したとおりに動作しているかどうか、および望ましい結果 (組織のセキュリティ要件を満たすかどうか) が得られているかどうかを判断するために使用されます。NIST フレームワークは、サイバーセキュリティの進歩に合わせて常に更新されています。
Center for Internet Security (CIS) は、サイバー攻撃の防止を目指すすべての企業に「やるべきこと、最初にやるべきこと」の出発点となる、優先度の高い防御措置のリストを作成しました。CISコントロールを開発したSANS Instituteによると、「CISコントロールは、主要な脅威レポートで強調されている最も一般的な攻撃パターンから導き出され、政府や業界の実務家の非常に幅広いコミュニティ全体で精査されているため、効果的です。」
組織は、これらのフレームワークや他のフレームワークを参考にして、 独自のセキュリティフレームワークや ITセキュリティ・ポリシーを策定することができます。 十分に開発されたフレームワークにより、組織は次のことを確実に実行できます。
セキュリティ ソリューションの強度は、その最も弱い部分と同じになります。したがって、アイデンティティとアクセス管理、データ、アプリケーション、ネットワークまたはサーバー・インフラストラクチャ、物理的セキュリティ、セキュリティ・インテリジェンスにまたがるセキュリティ管理を実装するために、セキュリティ管理の多層化(これは深層防御戦略としても知られている)を検討する必要があります。
セキュリティ管理の評価は、どこに脆弱性が存在するかを判断するための優れた最初のステップです。セキュリティ管理評価により、現在導入されている管理を評価し、それらが正しく実装されているか、意図したとおりに動作しているか、セキュリティ要件を満たしているかを判断できます。NIST Special Publication 800-53 は、セキュリティ管理評価を成功させるためのベンチマークとして NIST によって作成されました。NIST ガイドラインは、適用されると組織のセキュリティ侵害のリスクを軽減するのに役立つベスト プラクティス アプローチとして機能します。あるいは、組織 独自のセキュリティ評価を作成することもできる。
セキュリティ評価を作成するための 重要な手順には 、以下のようなものがあります:
独自のセキュリティ評価を作成することによって、企業のアプリケーションとネットワークの脆弱性を評価する方法については、こちらをお読みください。
IBM® CloudはRed Hatとともに、市場をリードするセキュリティー、エンタープライズ向けの拡張性、オープン・イノベーションを提供し、クラウドとAIの可能性を最大限に引き出します。
17 年目を迎えた 2022 年のデータ侵害のコスト レポートでは、拡大する脅威の状況に関する最新の洞察を共有し、時間を節約し損失を制限する方法についての推奨事項を提供しています。
DDoS 攻撃とは何か、その仕組み、アプリケーションやユーザー エクスペリエンスにどのような影響を与えるかを学びます。