セキュリティ制御は、組織にとって重要なさまざまな形式のデータとインフラストラクチャを保護するために実装されるパラメーターです。 物理的資産、情報、コンピューターシステム、またはその他の資産に対するセキュリティリスクを回避、検出、対抗、または最小限に抑えるために使用されるあらゆる種類の保護手段または対策は、セキュリティ制御と見なされます。

サイバー攻撃の速度が増大していることを考慮すると、データ セキュリティ管理は今日これまで以上に重要になっています。メリーランド大学のクラーク スクールの研究によると、現在、米国におけるサイバーセキュリティ攻撃は平均 39 秒ごとに発生しており、毎年米国人の 3 人に 1 人が影響を受けています。これらの攻撃の 43% は中小企業をターゲットにしています。2021年3月から2022年3月にかけて、米国で発生したデータ侵害の平均コストは 944万米ドルでした。

同時に、データプライバシー規制は強化されており、企業にとってデータ保護ポリシーを強化しなければ、罰金を科せられる可能性があることが重要になっています。欧州連合は昨年、厳格な一般データ保護規則 (GDPR) ルールを施行しました。米国では、カリフォルニア州の消費者プライバシー法が 2020 年 1 月 1 日に施行される予定で、他のいくつかの州も現在同様の措置を検討しています。

これらの規制には通常、要件を満たさない企業に対する厳しい罰則が含まれます。たとえば、Facebook は最近、いくつかのデータ侵害を引き起こしたデータ保護ポリシーに関する不備に対して、米国連邦取引委員会から 30 億ドルを超える罰金が科せられると予想していると報告しました。

ハードウェア、ソフトウェア、ネットワーク、およびデータを、損失や損害を引き起こす可能性のある行為や事象から保護するために実施できるセキュリティ管理には、いくつかの種類があります。 例：

• 物理的セキュリティ管理には 、 データセンターの 境界フェンス、鍵、警備員、入退室管理カード、生体認証入退室管理システム、監視カメラ、侵入検知センサーなどが含まれます。
  
  
• デジタル セキュリティ管理には、 ユーザー名とパスワード、2 要素認証、ウイルス対策ソフトウェア、ファイアウォールなどが含まれます。
  
  
• サイバーセキュリティ管理には 、 DDoS緩和や侵入防止システムなど、データへの攻撃を防ぐために特別に設計されたものが含まれます。
  
  
• クラウド セキュリティ制御には、 データとワークロードに必要な保護を確保するためにクラウド サービス プロバイダーと協力して講じる対策が含まれます。組織がクラウド上でワークロードを実行している場合は、企業またはビジネス ポリシーのセキュリティ要件 と 業界の規制を満たす必要があります。

セキュリティ管理のシステム（これらの管理の実装と継続的な管理を定義するプロセスと文書を含む）は、フレームワークまたは標準と呼ばれます。

フレームワークを使用すると、組織は一般に受け入れられ、テストされた方法論に従って、さまざまな種類の資産にわたるセキュリティ制御を一貫して管理できます。最もよく知られているフレームワークと標準には、次のようなものがあります。

米国規格技術研究所 サイバーセキュリティフレームワーク

米国立標準技術研究所 (NIST) は、サイバー攻撃を防止、検出、および対応する方法に関するガイダンスを組織に提供するために、2014 年に自主的なフレームワークを作成しました。評価方法と手順は、組織のセキュリティ管理が正しく実装されているかどうか、意図したとおりに動作しているかどうか、および望ましい結果 (組織のセキュリティ要件を満たすかどうか) が得られているかどうかを判断するために使用されます。NIST フレームワークは、サイバーセキュリティの進歩に合わせて常に更新されています。

インターネット セキュリティ制御センター

Center for Internet Security (CIS) は、サイバー攻撃の防止を目指すすべての企業に「やるべきこと、最初にやるべきこと」の出発点となる、優先度の高い防御措置のリストを作成しました。CISコントロールを開発したSANS Instituteによると、「CISコントロールは、主要な脅威レポートで強調されている最も一般的な攻撃パターンから導き出され、政府や業界の実務家の非常に幅広いコミュニティ全体で精査されているため、効果的です。」

組織は、これらのフレームワークや他のフレームワークを参考にして、 独自のセキュリティフレームワークや ITセキュリティ・ポリシーを策定することができます。 十分に開発されたフレームワークにより、組織は次のことを確実に実行できます。

• セキュリティ制御を通じて IT セキュリティ ポリシーを適用
• セキュリティガイドラインについて従業員やユーザーを教育
• 業界およびコンプライアンス規制に適合
• セキュリティコントロール全体の運用効率を実現
• リスクを継続的に評価し、セキュリティ管理を通じてリスクに対処

セキュリティ ソリューションの強度は、その最も弱い部分と同じになります。したがって、アイデンティティとアクセス管理、データ、アプリケーション、ネットワークまたはサーバー・インフラストラクチャ、物理的セキュリティ、セキュリティ・インテリジェンスにまたがるセキュリティ管理を実装するために、セキュリティ管理の多層化（これは深層防御戦略としても知られている）を検討する必要があります。

セキュリティ管理の評価は、どこに脆弱性が存在するかを判断するための優れた最初のステップです。セキュリティ管理評価により、現在導入されている管理を評価し、それらが正しく実装されているか、意図したとおりに動作しているか、セキュリティ要件を満たしているかを判断できます。NIST Special Publication 800-53 は、セキュリティ管理評価を成功させるためのベンチマークとして NIST によって作成されました。NIST ガイドラインは、適用されると組織のセキュリティ侵害のリスクを軽減するのに役立つベスト プラクティス アプローチとして機能します。あるいは、組織 独自のセキュリティ評価を作成することもできる。

セキュリティ評価を作成するための 重要な手順には 、以下のようなものがあります：

• ターゲット システムを決定します。 ネットワーク内でスキャンする必要がある IP アドレスのリストを作成します。リストには、組織のネットワークに接続されているすべてのシステムとデバイスの IP アドレスが含まれている必要があります。
  
  
• ターゲット アプリケーションを決定します。 スキャンする Web アプリケーションとサービスをリストします。既存のアプリケーションの構築に使用される Web アプリケーション サーバー、Web サーバー、データベース、サードパーティ コンポーネント、およびテクノロジの種類を決定します。
  
  
• 脆弱性スキャンとレポート： ネットワークチームとITチームには、すべての評価活動について情報を提供しておく。脆弱性評価では、対象サーバーにリクエストの負荷がかかると、ネットワークトラフィックが急増することがあるからです。また、組織ネットワーク全体でスキャナー IP の未認証パススルーを取得し、IP が IPS/IDS でホワイトリストに登録されていることを確認します。そうしないと、スキャナーが悪意のあるトラフィック アラートをトリガーし、その IP がブロックされる可能性があります。

独自のセキュリティ評価を作成することによって、企業のアプリケーションとネットワークの脆弱性を評価する方法については、こちらをお読みください。