情報技術セキュリティ評価
セキュリティの脆弱性を見つけるための明示的な調査

情報技術セキュリティ評価とは、セキュリティ管理策が正しく実装されているか、意図したとおりに動作しているか、どこに弱点が存在するかを判断するための計画的な評価です。[1]

情報技術セキュリティ評価とは、セキュリティ管理策が正しく実装されているか、意図したとおりに動作しているか、どこに弱点が存在するかを判断するための計画的な評価です。[1]

一般的な慣行では、作業を3つの方法に分けます。文書と構成の検査、担当者へのインタビュー、定義された条件下でのテストです。[1]

評価結果は、制御の有効性に関する判断をサポートし、技術的な発見を検証して優先順位を付け、後で検証または再テストして修正を計画します。[1]

セキュリティ評価は、リスクを発生可能性と影響度の観点から表現するリスク評価や監査とは異なります。[2]

範囲と用語

セキュリティ評価とは、セキュリティ管理策が正しく実装されているか、意図したとおりに動作しているか、どこに弱点が存在するかを確認するための計画的な評価を指します。[1]

一般的な慣行では、評価作業は、文書と構成の検査、担当者へのインタビュー、定義された条件下でのテストという3つの方法に分類されます。[1]

リスク評価は別途扱われます。リスクは通常、発生可能性と影響度の観点から表現され、このプロセスでは意思決定のためにリスクを特定、推定、優先順位付けします。[2] [3]

監査もまた異なるものです。それは管理システムの文脈における適合性の体系的かつ独立した評価です。組織は、技術的管理の有効性を検査するために評価を使用しながら、ISMS内で監査を適用することができます。[4] [5]

方法論

計画

  • 計画では通常、範囲と目的を定義し、関与のルールを設定し、法的および倫理的制約を確認し、アカウントと環境を準備します。[1]
  • 良い実践としては、テストが始まる前に、承認、データ処理の制限、通信を記録することも挙げられます。[6]
  • ソフトウェア開発が対象範囲に含まれる場合、活動は安全な開発プラクティスと整合し、調査結果をライフサイクルにマッピングすることができます。[7]

実行

  • 実行では、検査、インタビュー、テストを組み合わせて、制御の有効性に関する証拠を収集します。[1]
  • Webおよびアプリケーションをターゲットとする場合、典型的なカバレッジには入力検証、認証とセッション管理、および構成が含まれます。[8]
  • OWASP Top 10などの公開されているリスク分類は、ベンダーやツールの名前を挙げることなく、共通の脆弱性に関する共通の語彙を提供します。[9]
  • APIに焦点を当てた評価では、サービスインターフェースに特有の問題に対処するために、APIセキュリティトップ10が参照されることが多い。[10]

検証の考え方

  • 多くのチームは、ツール固有の手順に従うのではなく、要件セットと保証レベルに照らして実装を検証します。[11]
  • 規制や契約の文脈では、基準は管理基準やカタログ(例えば、管理されている非機密情報の保護)から得られる場合がある。[12] [13]

報告への移行

  • 評価計画と証拠記録は、それぞれの所見を使用された方法まで追跡することで再現性をサポートします。[14]
  • 結果には通常、優先順位をつけた改善策と、その後の検証または再テストの計画が含まれます。[1]

報告

典型的な評価報告書では、評価の範囲と目的が示され、使用された方法が説明され、証拠に裏付けられた結果が提示されます。また、必要に応じて、潜在的な影響と可能性についても言及され、優先順位を付けて修正が推奨され、検証または再テストの計画が定義されます。[1]

再現性をサポートするために、評価計画と証拠記録により、評価者は各発見を、それを生み出した技術と評価対象まで追跡することができます。[14]

調査結果は、多くの場合、NIST SP 800-53やISO/IEC 27002などの公認管理カタログや実践ガイドにマッピングされるため、所有者は何を変更すればよいかを正確に把握できます。[12] [13]

リスクと測定

実際には、多くの組織が定性的または半定量的なスコアリングで結果を伝達しています。これは、一般的なリスク管理ガイダンスや情報セキュリティの使用法と一致しています。[15] [2]

モデルとデータが定義されていれば定量的な分析も可能であり、Open FAIRは頻度と損失を表現するための広く引用されているアプローチの1つである。[16]

ISO/IEC 27005はこれらの考え方を情報セキュリティリスク管理に結び付け、ISMSの文脈内で用語の一貫性を保つのに役立ちます。[3]

ツール(ベンダーではなく種類)

記事では通常、特定の製品ではなく、脆弱性スキャナー、ソフトウェア構成分析、動的/対話型アプリケーションテスト、構成チェック、証拠/問題追跡などのツールの種類について説明します。 [8] [17]

制御/実践レンズを使用すると、結果をISO/IEC 27002やNIST SP 800-53などの確立されたカタログにマッピングできるため、記述は中立的かつ永続的になります。[13] [12]

RMFとの関係 / 継続的なモニタリング

評価は、NISTリスク管理フレームワーク内で、コントロールの選択、実装、承認、継続的な監視と並んで位置付けられており、一度きりのイベントではありません。[18]

継続的なモニタリングでは、評価活動やその他のデータを時間の経過とともに使用し、その結果を組織、ミッション、システムレベルでのリスクと制御の意思決定にフィードバックします。[19] [20]

多くのプログラムでは、この作業はISMSを通じて調整されており、定期的な評価と監査の要件とガバナンスを提供しています。[5]

参考文献

  1. ^ abcdefghij 情報セキュリティテストおよび評価に関する技術ガイド(SP 800-115)—レポート(レポート). メリーランド州ゲイサーズバーグ:国立標準技術研究所. 2008年9月30日. 2025年11月30日閲覧
  2. ^ abc Joint Task Force Transformation Initiative (2012-09-17). リスク評価実施ガイド(報告書). メリーランド州ゲイサーズバーグ:国立標準技術研究所. 2025年11月30日閲覧
  3. ^ ab "ISO/IEC 27005:2022". ISO . ISO/IEC . 2025年10月30日閲覧。
  4. ^ "ISO 19011:2018". ISO . 2025年11月30日閲覧。
  5. ^ ab "ISO/IEC 27001:2022". ISO . 2025年11月30日閲覧。
  6. ^ 「NIS2 技術実装ガイダンス | ENISA」www.enisa.europa.eu . 欧州連合サイバーセキュリティ機関 (ENISA) . 2025年9月16日. 2025年11月30日閲覧
  7. ^ セキュアソフトウェア開発フレームワーク(SSDF)バージョン1.1:ソフトウェア脆弱性のリスク軽減のための推奨事項(レポート). メリーランド州ゲイサーズバーグ:米国国立標準技術研究所(NIST). 2022年2月3日. 2025年11月30日閲覧
  8. ^ ab "OWASP Webセキュリティテストガイド | OWASP Foundation". owasp.org . OWASP Foundation . 2025年10月27日閲覧。
  9. ^ 「Introduction - OWASP Top 10:2025 RC1」. owasp.org . OWASP Foundation . 2025年11月30日閲覧。
  10. ^ 「OWASP APIセキュリティトップ10」owasp.org . OWASP Foundation . 2025年11月30日閲覧。
  11. ^ 「OWASP アプリケーションセキュリティ検証標準 (ASVS) | OWASP Foundation」。owasp.org . OWASP Foundation . 2025年10月27日閲覧。
  12. ^ abc 情報システムおよび組織のためのセキュリティとプライバシー管理(レポート). メリーランド州ゲイサーズバーグ:米国国立標準技術研究所(NIST). 2020年12月10日. doi :10.6028/NIST.SP.800-53r5.
  13. ^ abc "ISO/IEC 27002:2022". ISO . 2025年11月30日閲覧。
  14. ^ ab Joint Task Force (2022-01-25). 情報システムおよび組織におけるセキュリティとプライバシー管理の評価(報告書). メリーランド州ゲイサーズバーグ:米国国立標準技術研究所(NIST). doi :10.6028/NIST.SP.800-53Ar5 . 2025年11月30日閲覧
  15. ^ "ISO 31000:2018". ISO . 2025年11月30日閲覧。
  16. ^ 「The Open FAIR™ Body of Knowledge | www.opengroup.org」www.opengroup.org . 2025年10月27日閲覧
  17. ^ 「CIS Controls Version 8」。CIS。インターネットセキュリティセンター(CIS) 。 2025年10月27日閲覧
  18. ^ Force, Joint Task (2018-12-20). 情報システムおよび組織のリスク管理フレームワーク:セキュリティとプライバシーのためのシステムライフサイクルアプローチ(報告書). メリーランド州ゲイサーズバーグ:米国国立標準技術研究所(NIST) . 2025年11月30日閲覧
  19. ^ 連邦情報システムおよび組織のための情報セキュリティ継続的モニタリング(ISCM)(報告書)メリーランド州ゲイサーズバーグ:米国国立標準技術研究所(NIST)。2011年9月30日。 2025年11月30日閲覧
  20. ^ 情報セキュリティリスク管理:組織、ミッション、情報システムの視点(報告書). メリーランド州ゲイサーズバーグ:国立標準技術研究所. 2011年3月1日. 2025年11月30日閲覧
Retrieved from "https://en.wikipedia.org/w/index.php?title=Information_technology_security_assessment&oldid=1326381707"