サイバーセキュリティ監査のベストプラクティス 5 選
CHEQ
|Web サイト運用・セキュリティ対策 | 2024年2月13日
データ流出の恐れや、過去のデータ流出被害の再発防止を考えている方は多いと思います。本記事で一連のセキュリティ対策のベストプラクティスを紹介しますので、体系的なアプローチを取っていきましょう。
大まかな流れは、自社のデジタルインフラを詳細に評価し、脆弱性を特定して、対策を実装することになります。お読みの方の中にはセキュリティ分野に精通しているスタッフもいれば、未経験のスタッフもいると思います。
いずれにせよ、本記事が監査中の重要事項漏れを防ぐための考え方や対応策の体系化の一助になれば幸いです。まず共通認識を持つために、このサイバーセキュリティ監査の定義の説明から始めましょう。
サイバーセキュリティ監査の定義
監査を始める前に、監査の定義や種類、リスク評価やペネトレーションテストとの違いについて確認しましょう。
例えばデータ漏えいを疑っている場合、包括的な監査は必要ないかもしれません。複雑なケースでは完全な監査が必要ですが、通話記録のモニタリング(英文)で口頭漏えいのリスクを特定すれば十分かもしれません。
監査の種類
監査には内部監査(社内で実施)と外部監査(外部業者に委託)の 2 種類があります。
- 内部監査:社内リソースでの実施する監査
- 外部監査:監査人を外部から招聘し、専門性と客観性を確保する監査。セキュアリモートサポート(英文)の専門家などのスキルやリソースがない場合、専門の業者に委託することで客観的かつ専門的な視点が得られます。
監査とリスクアセスメント、ペネトレーションテストの違い
サイバーセキュリティ監査は、会社のセキュリティ対策が決められた基準に合っているか評価するものです。セキュリティ上の抜け穴を明らかにし、基準との差異を測定することが目的です。
サイバーセキュリティリスクアセスメントは、思わぬ危険性や脆弱性を見つけて優先順位をつけるプロセスです。リスクのリストと解決策が結果として出てきます。監査と違い、あらゆる抜け穴をチェックできますが、必要以上に深入りして優先順位の低い問題まで洗い出してしまう可能性があります。
最後に、サイバーセキュリティペネトレーションテストは、サイバー攻撃をシミュレートしてシステムの脆弱性を評価します。発見された弱点と対策について詳しい報告ができます。既知の問題であれば診断のみで十分ですが、詐欺師がボットを使うような問題(英文)は見落としてしまう可能性があります。
この段階で、自社のセキュリティ上の脅威への解決策として監査が必要であると判断したら、次は脅威の種類を特定することが大切です。サイバーセキュリティの脅威には様々な種類がありますが、自社にとってどの脅威が影響が大きいかを決めましょう。影響度が高そうなものが洗い出せたら、その脅威に対する業界のベストプラクティスを参考にして対策を考えましょう。サイバーセキュリティの脅威の代表的なものを次の章でご紹介します。
サイバーセキュリティの脅威の種類
監査というのはあらかじめ定められた基準に対する評価です。なので、自社がこれまで対処してきたり、今後対処が必要になりそうな脅威を判断する際には、業界全体での発生頻度を踏まえることが役立ちます。以下に、代表的なサイバーセキュリティ脅威とその定義を記載しています。参考にしながら、自社にとっての脅威の特定と優先順位づけを進めていきましょう。
- ゼロデイ攻撃:まだ見つかっていないセキュリティの抜け穴を悪用した攻撃
- BYOD:従業員が持ち込む個人デバイスに関連するリスク
- アカウント乗っ取り:盗まれた、または推測されたパスワードでの不正アクセス
- ソーシャルエンジニアリング:電話や偽サイトを使った従業員からの情報詐取
- DDoS 攻撃:偽のトラフィックでシステムに過負荷を与え、本来のユーザーをシャットアウト
- SQL インジェクション:情報を盗むためにデータベースリクエストを改ざん
- マルウェア感染:システムを隠ぺいしたり破壊したりする有害なソフトウェア
インターネットに接続されているアプリ間のセキュアな通信を実現するために、最適な API ゲートウェイを選ぶ(英文)ことが重要です。これにより、データの漏洩や改ざんといったリスクを回避できます。ここまでのステップで監査の共通認識が得られたと思いますので、こうしたリスクに適切に対処するためのベストプラクティスに取り組みましょう。
サイバーセキュリティ監査を実施する 5 つのベストプラクティス
1. 現状の理解と対象の設定
データを守るためのボット対策からネットワーク全体の保護まで、まず現状を評価して、どの問題をどの順番で対処するか判断します。
事前に脅威の種類を特定しているので、この段階はリスクアセスメントほど複雑にはなりません。しかし、業界と国ごとのルールを遵守する必要があります。
次にセキュリティのギャップ分析を実施します。例えば ISO 27001(英文)などのセキュリティ標準を満たすことを目標としているが、特定の要件を欠いている場合、ギャップ分析によってそれらの不足部分が明らかになり、標準を完全に満たすために改善が必要な部分が示されます。
脅威の特定は、自社に被害を与える可能性のある脅威の種類を含んだ特定の基準で行います。ISO 27001 などの標準テンプレートはリスクを軽減するためにどのようなシステムを導入済みか、脆弱性がまだ存在する部分を判断するための基本的フレームワークを提供します。
2. 目的の設定
目的は SMART(英文)で、プロジェクトに最適なツールに関する具体的な項目を含めるべきです。このセクションでは目的を設定しますが、戦略と対策ができてから、目的の再設定が必要になる可能性があります。
例えば、ギャップ分析で詐欺が主要な問題であると特定された場合、目下の主要目標は詐欺防止サービス(英文)に連絡することになるでしょう。
- 戦略と戦術
以下の表は、特定の脅威に対処する際に活用すべき優れたツールと戦略の概要を示しています。
| 脅威 | ツール |
| ゼロデイ攻撃 | Immunity Debugger は、ゼロデイ攻撃で悪用される可能性のあるコードの欠陥を特定するのに役立ちます。Metasploit と Nessus も、これらの攻撃で悪用される可能性のある脆弱性を発見するうえで有用です。 |
| BYOD | Wireshark は、これらのネットワークからのトラフィックを分析して疑わしい活動を検出するのに役立ちます。セキュアな仮想ファクス環境(英文)も別の対策です。 |
| アカウント乗っ取り | Hydra と John the Ripper は、パスワードの強度と弱点を示すパスワードクラックツールです。 |
| ソーシャルエンジニアリング | この脅威は人間の行動に関するものであるため、Wireshark のようなツールで異常なトラフィックを検出できますが、定期的なトレーニングと意識啓発が最良の対策です。 |
| DDoS攻撃 | Nmap は、この攻撃の一部である可能性のある予期しないホストやサービスを特定するのに役立ちます。 |
| SQLインジェクション | SQLMAP は自動化と SQL インジェクションの脆弱性を悪用することに特化しているため、攻撃が定着する前に割り込むことができます。 |
| マルウェア感染 | Metasploit と Nessus は、マルウェア攻撃に悪用される可能性のあるシステムの脆弱性をテストするために使用できます。 |
以上は広い範囲の脅威のリストです。業界によってより具体的な脅威に直面することもあります。例えばデジタルマーケティング会社のGoogle Ads のクリック詐欺防止や、EC 業者のオンライン決済システムの保護などが業界別の脅威に当たります。
4. 対策の実施
リスクの高い脅威から優先的に対策を行うことが大切です。ガントチャート(英文)を使ってタスクを優先付けし、完了までの期間を割り当てた上で、優先度が高いものから順次対応していきましょう。
例えば、Vonage のクラウド PBX はリモートワークや海外のチームメンバーとのタスク管理を手頃な価格で実現できます。
システムにおける調査や修正も発生する可能性が高いので、バックエンドチーム(英文)をこのプロセスに含め、必要な技術的対策が効果的に実装されることを確認することも大切です。
5. 効果の確認
最後に結果の継続的な分析が重要です。定期的にスケジュールすることをおすすめします。
脅威は変化していくので警戒心を緩めてはいけません。ビジネスをランサムウェアから守るうえで何が必要か(英文)を理解し、さらなる改善が必要な部分を特定することが大切です。
対策を実施した後、リスクが下がったか上がったかを判断することが大切です。より多くの人が Web サイトを利用して安全に取引を完了できるようになりましたか?さらに改善が必要な部分を特定し、許容できるレベルまでリスクを下げることができるよう、適宜対策を見直していきましょう。
まとめ:サイバーセキュリティ監査のポイント
サイバーセキュリティ監査の実施に取り組み始めることは大変に思えますが、決してそうではありません。主要な脅威と対策を理解し、定期的に確認することで、組織を守る体制を整えられます。
目標と優先順位を明確にし、全員を巻き込むことを忘れないでください。一歩ずつ確実に進めることが大切です。
