セキュリティ管理

この記事は読者にとって分かりにくい、あるいは不明瞭な可能性があります。記事の明確化にご協力ください。この件についてはトークページで議論される可能性があります。( 2012年1月) (このメッセージを削除する方法とタイミングについてはこちらをご覧ください)

セキュリティ管理またはセキュリティ対策は、物理的財産、情報、コンピュータシステム、またはその他の資産に対するセキュリティリスクを回避、検出、対抗、または最小限に抑えるための保護手段または対策です。 ^{[ 1 ]}情報セキュリティの分野では、このような管理によって情報の機密性、完全性、可用性が保護されます。

管理システムは、フレームワークまたは標準と呼ばれることもあります。フレームワークにより、組織はさまざまな種類の資産にわたってセキュリティ管理を一貫して管理できるようになります。

セキュリティ管理は、セキュリティインシデントの発生可能性や影響を低減し、システムとデータのCIAトライアドを保護することを目的としています。CIAトライアドを保護することで、組織はシステム、資産、データ、ネットワーク、物理インフラに対する一貫したリスク管理という責任を果たすことができます。^{[ 2 ]}

セキュリティ管理は様々な基準で分類できます。一つのアプローチとして、セキュリティ侵害に対するセキュリティ管理の作用の仕方、時期、場所によって分類する方法があります。これらは管理タイプと呼ばれることもあります。

• 予防的管理は、不正侵入者を締め出すなど、インシデントの発生を防ぐことを目的としています。また、物理的な入場を制限するファイアウォールや施錠されたサーバールームと呼ばれることもあります。
• 検出制御は、インシデントを識別、特徴付け、記録することを目的としています。たとえば、ネットワーク上の悪意のある行為者から疑わしい行動を隔離したり、ネットワーク監視ツールを使用して疑わしいアクティビティにフラグを立てたりします。 ^{[ 3 ]}
• 補償制御は、マルウェアの検出時にシステムをシャットダウンするなど、アクティブなインシデントによる進行中の損害を軽減します。
• 事象発生後、是正管理は、組織を可能な限り効率的に通常の稼働状態に回復するなど、インシデントによって引き起こされた損害を修復することを目的としています。

セキュリティ制御は、制御の実装に応じて分類することもできます (制御カテゴリと呼ばれることもあります)。次に例を示します。

• 物理的制御- フェンス、ドア、錠、CCTV システム、消火器などの有形のアイテムが含まれます。
• 手順または管理上の制御- 例:インシデント対応プロセス、管理監視、セキュリティ認識およびトレーニング。
• 技術的または論理的な制御-例：ユーザー認証（ログイン）および論理アクセス制御、ウイルス対策ソフトウェア、ファイアウォール。
• 法的および規制的またはコンプライアンス管理-組織が処理および保護するのに役立つプライバシー法、ポリシー、規制、条項が含まれます (例: HIPAA、GDPR)。

これらの分類は、組織が適切に設計された多層防御戦略を構築し、各層が脅威の発生を制御および防止できるようにするのに役立ちます。

セキュリティ管理には、技術的管理（アクセス管理やファイアウォールなど）と管理的管理（ポリシーや手順など）の両方が含まれます。^{[ 4 ]}

効果的な制御テストおよび検証プロセスにより、次のことが可能になります。

• 安全策を特定することで、資産の機密性、整合性、可用性が保護されます。

• サービスのセキュリティ体制の詳細な概要。

• 管理の弱点や失敗によって生じるリスクを軽減するために優先される可能性のある緩和計画への貢献

評価の手順:

文書セキュリティ管理の実装：インフラストラクチャのセキュリティ保護、コンポーネントの構成、識別とアクセス管理、セキュリティポリシー

セキュリティ制御の監視と検証: 通常は手動または自動テストで、侵入、ログの確認、脆弱性スキャン、スタッフへのアンケートやインタビューなどをテストします。

テスト結果の報告: レポート、指標、傾向の生成

制御は、リスク評価後に適用されるリスク処理戦略の一部であり、その後の設計、構築、運用、変更はライフサイクルの一部です。

大学のITポリシーでは、「標準化された一連の制御を使用することで、ITセキュリティは大学と医療センターのすべてのエリアを脅威から保護することができます。」と述べています。^{[ 5 ]}

4つの基本カテゴリの制御：コンピュータ制御、データ保護、ネットワーク保護、ユーザー認証

コンピュータ制御:組織は、電子メール保護、エンドポイントの検出と応答、集中パッチ管理、ドメイン メンバーシップを実装できます。

データ保護:データ保護のため、組織はディスク全体の暗号化とメディア破壊を装備することがある。

ネットワーク保護:望ましくないユーザーから情報を安全に保つために、ネットワークを保護することが重要です。組織は、フロー監視、ネットワークおよびシステム アクティビティのログ記録、ネットワーク境界保護を使用し、ファイアウォールのバイパスを禁止して攻撃を軽減できます。

ユーザー認証:組織は 2 要素認証を使用したり、承認されたアカウント管理のみを使用してユーザーに毎年パスワードの変更を強制したり、ローカル管理者パスワード ソリューション (LAPS) を使用したりすることができます。

ISO /IEC 27000シリーズ規格は、優れたセキュリティ対策を推進し、情報セキュリティ管理策の分析と設計を体系化するフレームワークまたはシステムを定義します。2022年10月にリリースされた最新版のISO/IEC 27001;2022では、93のセキュリティ管理策が規定されており、最もよく知られている規格のいくつかを以下に概説します。

ISO/IEC 27001:2022 は 2022 年 10 月にリリースされました。ISO 27001:2013 の認証を受けたすべての組織は、3 年以内 (2025 年 10 月まで) に新しいバージョンの規格に移行する義務があります。

2022 年版の規格では、4 つのグループに 93 の制御が指定されています。

• A.5 : 組織的統制
• A.6 : 人事管理
• A.7 : 物理的なコントロール
• A.8 : 技術的制御

これらの制御は、次のように運用機能にグループ化されます。

以前のバージョンの規格であるISO/IEC 27001では、14 のグループに 114 の制御が指定されていました。

• A.5: 情報セキュリティポリシー
• A.6: 情報セキュリティの組織化
• A.7: 人事セキュリティ - 雇用前、雇用中、雇用後に適用される制御。
• A.8: 資産管理
• A.9: アクセス制御とユーザーアクセスの管理
• A.10: 暗号技術
• A.11: 組織の施設および設備の物理的セキュリティ
• A.12: 運用セキュリティ
• A.13: 安全な通信とデータ転送
• A.14: 情報システムの安全な取得、開発、サポート
• A.15: サプライヤーおよび第三者のセキュリティ
• A.16: インシデント管理
• A.17: 事業継続性/災害復旧（情報セキュリティに影響する範囲）
• A.18: コンプライアンス - ポリシーなどの内部要件、および法律などの外部要件に準拠します。

連邦情報処理標準（FIPS）は、すべての米国政府機関に適用されます。ただし、国家安全保障システム委員会（NCSS）の管轄下にある一部の国家安全保障システムは、これらの標準の適用範囲外で管理されています。

連邦情報処理規格200（FIPS 200）「連邦情報および情報システムに対する最低限のセキュリティ要件」は、連邦情報システムにおける最低限のセキュリティ管理策と、リスクに基づいてセキュリティ管理策を選択するプロセスを規定しています。最低限のセキュリティ管理策のカタログは、NIST特別刊行物SP 800-53に掲載されています。

FIPS 200 では、17 の広範な制御ファミリが識別されます。

国立標準技術研究所

成熟度ベースのフレームワークは 5 つの機能領域に分かれており、その「コア」には約 100 個の個別のコントロールがあり、米国の組織や政府機関で広く使用されています。

ファミリと相互参照にグループ化された約 1,000 の技術制御のデータベース。

• 800-53の改訂3以降、プログラム管理コントロールが特定されました。これらのコントロールはシステムコントロールとは独立していますが、効果的なセキュリティプログラムには不可欠です。
• 800-53 の改訂 4 以降では、セキュリティ制御を連邦法のプライバシー要件に合わせるために、8 つのプライバシー制御ファミリが特定されました。
• 800-53 の改訂 5 以降、制御は NIST データ プライバシー フレームワークで定義されているデータ プライバシーにも対応します。

ISACAが発行した独自の制御セット。^{[ 6 ]}

• エンタープライズITガバナンス
  • 評価、指示、監視（EDM） – 5つのプロセス
• エンタープライズITの管理
  • 調整、計画、組織化（APO） – 13のプロセス
  • 構築、取得、実装（BAI） – 10のプロセス
  • 提供、サービス、サポート（DSS） – 6つのプロセス
  • 監視、評価、アセスメント（MEA） - 3つのプロセス

以前はSANS Critical Security Controlsとして知られていましたが、現在は正式にCIS Critical Security Controls (COS Controls)と呼ばれています。^{[ 7 ]} CIS Controlsは、システムとデータを脅威から保護するための18の優先順位付けされたサイバーセキュリティのベストプラクティスに分かれています。

• CIS コントロール 1: 企業資産のインベントリと管理
• CIS コントロール 2: ソフトウェア資産のインベントリと管理
• CIS コントロール 3: データ保護
• CIS コントロール 4: 企業資産とソフトウェアの安全な構成
• CIS コントロール 5: アカウント管理
• CIS コントロール 6: アクセス制御管理
• CIS コントロール 7: 継続的な脆弱性管理
• CIS コントロール 8: 監査ログ管理
• CIS コントロール 9: 電子メールと Web ブラウザの保護
• CIS コントロール 10: マルウェア防御
• CIS コントロール 11: データ復旧
• CIS コントロール 12: ネットワーク インフラストラクチャ管理
• CIS コントロール 13: ネットワーク監視と防御
• CISコントロール14：セキュリティ意識とスキルのトレーニング
• CIS コントロール 15: サービスプロバイダー管理
• CIS コントロール 16: アプリケーション ソフトウェアのセキュリティ
• CISコントロール17：インシデント対応管理
• CISコントロール18：侵入テスト

管理策はさらに実装グループ（IG）に分割されており、CIS管理策の実装の優先順位付けに推奨されるガイダンスとなっています。^{[ 8 ]}

このセクションは拡張が必要です。不足している情報を追加していただければ幸いです。 （2024年7月）

電気通信において、セキュリティ制御はOSI モデルの一部としてセキュリティ サービスとして定義され、これらのドキュメントでは、ネットワーク通信を保護するための認証、アクセス制御、データの機密性などのメカニズムが指定されています。

• ITU-T X.800 勧告。
• ISO 7498-2

これらは技術的に整合している。^{[ 9 ] [ 10 ]}このモデルは広く認識されている。^{[ 11 ] [ 12 ]}

セキュリティリスクと注意義務を定める法律が交差する点において、データ責任が定義されます。リスク管理者が国、州、地方レベルで責任を規定する法律を調査するのに役立つデータベースがいくつか登場しています。これらの管理セットにおいて、関連法の遵守こそが真のリスク軽減策となります。

• パーキンス・コーイ・セキュリティ侵害通知チャート：米国の各州におけるデータ侵害通知要件を定義した一連の条項（州ごとに1つ）。^{[ 13 ]}
• NCSLセキュリティ侵害通知法：データ侵害通知要件を定義した米国の州法のリスト。^{[ 14 ]}
• ts管轄区域：侵害の前後にサイバーセキュリティに影響を与える380以上の米国の州法と連邦法を網羅した商用サイバーセキュリティ研究プラットフォーム。ts管轄区域はNISTサイバーセキュリティフレームワークにもマッピングされています。^{[ 15 ]}

このセクションはリスト形式ですが、散文としての方が読みやすいかもしれません。必要に応じて、このセクションを翻訳していただけると助かります。編集支援をご利用いただけます。（2024年7月）

内部ビジネスおよびビジネス間のコントロールを検討するフレームワークと標準は多岐にわたります。以下に例を示します。

• SSAE 16
• ISAE 3402
• ペイメントカード業界データセキュリティ標準
• 医療保険の携行性と説明責任に関する法律
• コビット 4/5
• CISトップ20
• NISTサイバーセキュリティフレームワーク

• NIST SP 800-53 改訂4
• 国防総省指令8500.2
• FISMApedia用語