セキュリティ・リスク評価とは

セキュリティ・リスク評価では、アプリケーションの主要なセキュリティ管理策を特定、評価、実装します。また、アプリケーションのセキュリティ上の欠陥や脆弱性の防止にも重点を置きます。

リスク評価を実施することで、攻撃者の視点からアプリケーション・ポートフォリオの全体像を可視化できます。これにより、情報に基づいたリソースの割り当て、ツールの選定、セキュリティ管理策の実装の決定を行うマネージャーを支援します。そのため、評価の実施は組織のリスク管理プロセスに不可欠です。


セキュリティ・リスク評価のしくみ

  1. 規模、成長率、リソース、資産ポートフォリオなどの要素はリスク評価モデルの深度に影響します。組織は、予算や時間の制約がある場合には、一般化された評価を実行することも考えられます。ただし、一般化された評価では、資産、関連する脅威、特定されたリスク、影響、コントロールの軽減との間の詳細なマッピングが必ずしも得られるとは限りません。
  2. 一般化された評価結果でこれらの領域間の十分な相関が得られない場合は、より詳細な評価が必要です。

セキュリティ・リスク評価モデルの成功のための4つのステップ

  1. 特定 技術基盤のすべての重要な資産を特定します。次に、これらの資産によって作成、保存、送信された重要データを診断します。個別にリスク・プロファイルを作成します。
  2. 評価 重要な資産に対するセキュリティ・リスクが特定されたら、それを評価するアプローチを実行します。慎重な評価の後、リスク軽減に向けて、時間とリソースを効果的かつ効率的に割り当てる方法を決定します。評価のアプローチまたは手法では、資産、脅威、脆弱性、緩和コントロールとの相関関係を解析する必要があります。
  3. 緩和 緩和方法を定義し、リスクごとにセキュリティ・コントロールを実施します。
  4. 防止 企業のリソースで発生する脅威や脆弱性を最小限に抑えるツールとプロセスを実装します。

セキュリティ・リスク評価で解決できる問題

包括的なセキュリティ評価により、組織は以下のことができます。

  • 組織内の資産(ネットワーク、サーバー、アプリケーション、データセンター、ツールなど)を特定する。
  • 各資産のリスク・プロファイルを作成する。
  • これらの資産によって保存、送信、生成されるデータを理解する。
  • 業務に関する資産の重要度を評価する。これには、収益、評判、企業のエクスプロイトの可能性に対する全体的な影響が含まれます。
  • 資産のリスク・ランキングを測定し、優先順位を付けて評価する。
  • 評価結果に基づいて、各資産に対する緩和策を適用する。

セキュリティ・リスク評価は1回限りのセキュリティ・プロジェクトではないことを理解することが重要です。むしろ、少なくとも1年に1回は行うべき継続的な活動です。継続的な評価により、組織は晒されている脅威とリスクの現状と最新のスナップショットを得ることができます。

Black Duckは、リスクの影響が高い、重要な資産を毎年評価することをお勧めします。評価プロセスでは、さまざまな貴重な情報を作成および収集します。いくつかの例を以下に示します。

  • 現在のすべてのアプリケーション、ツール、ユーティリティのアプリケーション・ポートフォリオを作成する。
  • セキュリティの要件、ポリシー、手順を文書化する。
  • システム・アーキテクチャ、ネットワーク図、システムによって保存または送信されるデータ、外部サービスまたはベンダーとのやり取りを収集する。
  • 物理的資産(ハードウェア、ネットワーク、通信コンポーネント、周辺機器など)の資産目録を作成する。
  • オペレーティング・システム(PCおよびサーバーのオペレーティング・システムなど)に関する情報を維持する。
    • 以下に関する情報:
      • データ・リポジトリ(データベース管理システム、ファイルなど)
      • 現在のセキュリティ管理策(認証システム、アクセス制御システム、ウイルス対策、スパム制御、ネットワーク監視、ファイアウォール、侵入検知、防止システムなど)
      • 監督機関のコンプライアンスに関する、現在の基準となる運用およびセキュリティ要件
      • 資産、脅威、脆弱性(影響と可能性を含む)
      • アプリケーション、ポリシー、ネットワーク・システムなどの以前の技術・手続き面のレビュー
      • 資産に対して特定された各リスクの緩和策のマッピング

アプリケーション・セキュリティ・テスト・プロバイダへの12の質問

eBookをダウンロード


コンプライアンスに関するセキュリティ・リスク評価を必要とする業種

  1. ほとんどの組織では、業務運営のために一定の個人識別情報(PII)または個人の医療情報(PHI)が必要とされます。これらの情報はパートナー、取引先、顧客から入手します。社会保障番号、納税者番号、生年月日、運転免許証番号、パスポートの詳細、病歴などの情報は、すべて秘密情報とみなされます。
  2. そのため、重要データを作成、保存、送信する組織はリスク評価を受ける必要があります。リスク評価は、さまざまな法律、規制、基準によって義務付けられています。セキュリティ・リスク評価を要求する監督機関には、HIPAAPCI-DSS、マサチューセッツ州一般法律第93H 201条CMR 17.00規制、サーベンス・オクスリー監査基準5、連邦情報セキュリティ管理法(FISMA)などがあります。
  3. 組織は、これらの規制の法令遵守の必要性をしばしば疑問視します。Black Duckでは、組織はセキュリティ・リスク評価を受けて、統一された一連のセキュリティ管理策への準拠を維持する必要があると考えています。それは、こうした監督機関によって実装および合意された管理策です。
  4. 実際、これらの管理策はさまざまな業界で受け入れられて実装され、組織の全体的なセキュリティ体制を比較検討するためのプラットフォームを提供しています。また、監督機関は、秘密データを含む資産を評価することを推奨しています。評価は、年2回、年1回、あるいは重要なリリースまたは更新時に行うことをお勧めします。