サイバーセキュリティ評価: 目標とするセキュリティ体制を達成する方法

よりセキュアな企業を実現するための道のりは、企業によってさまざまです。目標とするセキュリティプロファイルに影響を及ぼす要因には、運用リスク、固有の運用ワークフロー、ポリシー、手順、リスクの許容度などがあります。

残念なことに、100%リスクをなくすことは不可能です。目標は、独自の運用環境に基づいて、許容できるレベルのリスクを確立することです。

産業用セキュリティの堅牢性、または状態を改善する過程は複雑なものに思えるかも知れません。それには十分な理由があります。多数の手法、業界標準、および市場で利用可能な技術が存在するため、行くべき道がはっきりしない場合があります。あなたは、「どこから手を付ければよいのだろう?」と、途方に暮れるかも知れません。

セキュリティの改善を始める1つの方法は、セキュリティ評価を使用することです。最も単純なセキュリティ評価は、システムまたは組織のセキュリティの状態を測るための構造化された測定方法です。

評価は、正しく使用すれば、現在のセキュリティの状態の評価、現在の状態と目標の状態との差違の特定、目標とするセキュリティの状態を達成するための明確なステップの決定のための極めて効果的な方法となります。

評価のタイプ

「セキュリティ評価」という用語は、さまざまな意味を持ってます。そのため、始めてみようという意図に基づいて評価の範囲を適切に定めることが重要です。最も一般的なタイプの評価では、それぞれ異なる結果が出て、セキュリティプログラムで実施するステップに影響する場合があります。

1. 脆弱性の評価: 環境に存在する既知の脆弱性を特定し、それらに対応するためのアクションプランを実行します。
2. ギャップ分析: 組織の既存のセキュリティ体制と、目標とする理想のセキュリティ体制の差違を特定します。ギャップ分析は、一般的に企業の標準または業界標準を考慮し、目標とするセキュリティ体制を実現するために必要なステップを明確に定義するために使用します。
3. リスクアセスメント: 組織のセキュリティ体制に関するより包括的な視点を提供します。リスクアセスメントは、脆弱性の評価とギャップ分析の要素を組み合わせ、既知のリスクを特定し、組織のリスク許容度とその理想のセキュリティ体制に照らして評価します。
4. セキュリティ監査: この評価に基づいたサービスは、組織のセキュリティの状態と慣行を、指定された業界標準または官公庁の規則と比較して監査します。これは通常、NERC-CIPや他の規格に適合させるために行ないます。

以上は、セキュリティ評価の一般的なタイプですが、これらを選択する前に、目的を理解するところから始めることが重要であることに注意してください。これは、サイバーセキュリティプログラムを進化させるために、適切な期待を一致させて実現し、最も効果的な評価を選択する上で必須です。

現実的に取り組む

あなたの組織にどの評価タイプが適しているかを考える場合、評価はある時点でのスナップショットであることを覚えておくことが重要です。これは、組織のセキュリティプログラムの唯一のソリューションと考えるべきではありません。評価は、メンテナンス、管理および技術管理が目指すリスク許容度に適切なものかを確認するための定期点検のようなものです。

予算およびリソースが限られ、組織全体の評価を実施できない場合、評価の範囲を組織のベースラインとなる部分に縮小する「代表標本」アプローチを使用することも考えられます。

すべてをまとめる

目標とするセキュリティプロファイルを実現するため、セキュリティ評価は、現在のセキュリティの状態を評価するための効果的なツールとなり得ますが、適切に選択し、範囲を設定し、すぐに実施可能で明確な手順を示したすぐに使用できるプランと組み合わせて使用する必要があります。適切なプロバイダなら、評価と堅牢なセキュリティプログラムの作成をお手伝いできます。