セキュリティ監査とは何ですか?
セキュリティ監査は、企業の情報システムが確立された一連の基準にどれだけ適合しているかを測定することにより、企業の情報システムのセキ 徹底した監査は、通常、システムの物理的な構成と環境、ソフトウェア、情報処理プロセス、およびユーザー慣行のセキュリティを評価します。
セキュリティ監査は、健康保険の携行性と説明責任法、Sarbanes-Oxley法、California Security Breach Information Actなどの規制への準拠を判断するためによく使用されます。
これらの監査は、脆弱性評価と侵入テストとともに、主に3種類のセキュリティ診断のうちの1つです。 セキュリティ監査は、基準のリストに対して情報システムのパフォーマンスを測定します。 脆弱性評価は、情報システムの包括的な研究であり、潜在的なセキュリティ上の弱点を求めています。 侵入テストは、システムが特定の攻撃に耐えることができるかどうかをセキュリティ専門家がテストする秘密のアプローチです。 それぞれのアプローチには固有の強みがあり、2つ以上を組み合わせて使用することが最も効果的なアプローチかもしれません。
組織は、反復可能で更新可能なセキュリティ監査計画を構築する必要があります。 利害関係者は、最良の結果を得るためのプロセスに含まれている必要があります。
なぜセキュリティ監査を行うのですか?
セキュリティ監査を行うにはいくつかの理由があります。 これらの六つの目標が含まれています:
- システムの弱点だけでなく、セキュリティの問題やギャップを特定します。
- 将来の監査と比較できるセキュリティベースラインを確立する。
- 内部組織のセキュリティポリシーに準拠します。
- セキュリティトレーニングが適切かどうかを判断します。
- 不要なリソースを特定します。
セキュリティ監査は、重要なデータの保護、セキュリティの抜け穴の特定、新しいセキュリティポリシーの作成、セキュリティ戦略の有効性の追跡に役立 定期的な監査は、従業員がセキュリティ慣行に固執し、新しい脆弱性をキャッチできるようにするのに役立ちます。
セキュリティ監査が必要なのはいつですか?
組織がセキュリティ監査を行う頻度は、業界、ビジネスおよび企業構造の要求、監査が必要なシステムおよびアプリケーションの数によって異なります。 金融サービスやheathcareプロバイダーなど、多くの機密データを処理する組織は、より頻繁に監査を行う可能性があります。 一つまたは二つのアプリケーションだけを使用するものは、それが簡単にセキュリティ監査を実施することができますし、より頻繁に 規制要件などの外部要因も監査の頻度に影響します。
多くの企業は、少なくとも年に一度か二度セキュリティ監査を行います。 しかし、彼らはまた、毎月または四半期ごとに行うことができます。 使用するシステム、アプリケーション、データに応じて、部門ごとに監査スケジュールが異なる場合があります。 定期的な監査は、毎年または毎月行われているかどうかにかかわらず、システム内の異常またはパターンを特定するのに役立ちます。
四半期または毎月の監査は、ほとんどの組織が時間またはリソースを持っているよりも多いかもしれません。 組織がセキュリティ監査を実施する頻度を決定する要因は、使用されるシステムの複雑さ、およびそのシステム内のデータの種類と重要性によって異 システム内のデータが必須であると判断される場合、そのシステムはより頻繁に監査される可能性がありますが、監査に時間がかかる複雑なシステムは、あまり頻繁に監査されない可能性があります。
組織は、データ侵害、システムのアップグレード、またはデータ移行の後、またはコンプライアンス法の変更が発生した場合、新しいシステムが実装された場合、または定義されたユーザー数を超えてビジネスが成長した場合に、特別なセキュリティ監査を実施する必要があります。 これらの1回限りの監査は、イベントがセキュリティの脆弱性を開いた可能性のある特定の領域に焦点を当てる可能性があります。 たとえば、データ侵害が発生したばかりの場合、影響を受けるシステムの監査は、何が問題になったのかを判断するのに役立ちます。
セキュリティ監査の種類
セキュリティ監査には、以下の手順を含む内部監査と外部監査の二つの形式があります:
- 内部監査。 これらの監査では、企業は独自のリソースと内部監査部門を使用します。 内部監査は、組織がビジネスシステムのポリシーと手順の遵守を検証する場合に使用されます。
- 外部監査。 これらの監査では、外部組織が監査を実施するために持ち込まれます。 外部監査は、組織が業界標準または政府の規制に準拠していることを確認する必要がある場合にも実施されます。
外部監査には、第二監査と第三監査の二つのサブカテゴリがあります。 第二者監査は、監査対象の組織のサプライヤーによって実施されます。 第三者監査は、独立した公平なグループによって行われ、関係する監査人は監査対象の組織とは関係がありません。
監査はどのようなシステムをカバーしていますか?
セキュリティ監査中、組織が使用する各システムは、次の分野の脆弱性について検査される可能性があります:
- ネットワークの脆弱性。 監査人は、攻撃者がシステムや情報にアクセスしたり、損害を与えたりするために悪用される可能性のあるネットワークコンポーネ それは二つの点の間を移動するような情報は特に脆弱です。 セキュリティ監査と定期的なネットワーク監視は、電子メール、インスタントメッセージ、ファイル、その他の通信を含むネットワー ネットワークの可用性とアクセスポイントも監査のこの部分に含まれています。
- セキュリティ制御。 監査のこの部分では、監査人は、企業のセキュリティ制御がどのように効果的であるかを見ています。 これには、組織が情報とシステムを保護するために確立したポリシーと手順をどれだけうまく実装しているかを評価することが含まれます。 たとえば、監査人は、会社がモバイルデバイスに対する管理上の制御を保持しているかどうかを確認することができます。 監査人は、会社のコントロールをテストして、それらが有効であり、会社が独自のポリシーと手順に従っていることを確認します。
- 監査のこの部分は、組織がデータ暗号化プロセスを管理するための制御を持っていることを確認します。
- ここでは、ソフトウェアシステムが適切に動作し、正確な情報を提供していることを確認するために検査されます。 また、権限のないユーザーが個人データにアクセスするのを防ぐための管理が行われていることを確認します。 調査された分野には、データ処理、ソフトウェア開発、コンピュータシステムが含まれます。
- アーキテクチャ管理機能。 監査人は、IT管理者が情報を処理するための効率的で制御された環境を構築するための組織構造と手順を備えていることを確認します。
- 監査人は、通信制御がクライアント側とサーバー側の両方で動作していることと、それらを接続するネットワーク上で動作していることを確認します。
- システム開発監査。 この分野を対象とした監査では、開発中のシステムが組織が設定したセキュリティ目標を満たしていることが確認されます。 監査のこの部分は、開発中のシステムが設定された基準に従っていることを確認するためにも行われます。
- 情報処理。 これらの監査は、データ処理のセキュリティ対策が実施されていることを確認します。
組織は、特定の監査タイプを1つの全体的な統制レビュー監査に組み合わせることもできます。
セキュリティ監査に関連する手順
これらの5つの手順は、一般的にセキュリティ監査の一部です:
- 目標に同意する。 監査で何を達成すべきかについての議論には、すべての利害関係者を含めます。
- 監査の範囲を定義します。 コンピュータ機器、内部文書、処理されたデータを含む、監査対象のすべての資産を一覧表示します。
- 監査を実施し、脅威を特定する。 リスト各脅威に関連する潜在的な脅威には、自然災害、マルウェア、または権限のないユーザーによるデータ、機器、または記録の損失が含まれます。
- セキュリティとリスクを評価します。 特定された脅威のそれぞれが発生するリスクと、組織がそれらをどれだけうまく防御できるかを評価します。
- 必要なコントロールを決定します。 リスクを最小限に抑えるためにどのようなセキュリティ対策を実装または改善する必要があるかを特定します。
その他の種類の監査の詳細
バックアップ監査準備のためのベストプラクティス
事業継続計画監査
監査人が見たいコンプライアンス監査
テストと評価と監査
監査は、テストや評価などの他の慣行とは別の概念です。 監査は、組織が内部で設定された手順やセキュリティポリシー、および標準グループや規制当局が設定した手順やセキュリティポリシーを遵守しているこ 組織は、自ら監査を実施するか、第三者に監査を実施させることができます。 セキュリティ監査のベストプラクティスは、さまざまな業界組織から入手できます。
侵入テストなどのテストは、特定のシステムが正常に動作していることを確認する手順です。 テストを行うIT専門家は、脆弱性を開く可能性のあるギャップを探しています。 たとえば、penテストでは、セキュリティアナリストは、攻撃者が何を見てアクセスできるかを判断するために、脅威のアクターと同じ方法でシステムにハ
評価は、リスクや脆弱性の評価などの計画されたテストです。 システムがどのように動作すべきかを調べ、それをシステムの現在の動作状態と比較します。 たとえば、コンピュータシステムの脆弱性評価では、そのシステムを保護するセキュリティ対策の状態と、システムが必要な方法で応答しているかど
セキュリティ監査は、ITシステムとデータを保護するための全体的な戦略の一部です。 サイバーセキュリティのベストプラクティスと手順に関する最新の考え方をご覧ください。