サイバー脅威の状況は常に変化しているため、定期的なサイバーセキュリティ評価は、包括的なリスク管理プログラムの不可欠な要素です。 あなたの会社は常に、第三者および第四者のプロバイダーを含むエコシステム全体のサイバー衛生を監視する必要があります。 サイバーセキュリティ リスク アセスメントは、セキュリティ体制に影響を与えるサイバー リスクを特定することでこれを行うのに役立ち、セキュリティ コントロールを実装してネットワークを保護するための資金をどのように割り当てるかについて、より多くの情報に基づいた決定を下すことができます。 最も一般的なサイバー セキュリティ リスク評価のいくつかと、効果的な評価を実施するために会社が実行できるツールを使用したアクションを見てみましょう。
サイバーセキュリティ評価とは?
サイバーセキュリティ評価は、組織のサイバーセキュリティ体制の現在の状態を判断し、改善のための手順を推奨するプロセスです。 アセスメントにはさまざまな種類がありますが、この記事では NIST SP 800-115: 連邦情報システム (ICS) のセキュリティ コントロールの実装 - セキュリティ アセスメント方法論第 2 版 (SAM2) に焦点を当てています。 ここでの目標は、SAM2 がどのように機能するかについての背景情報を提供して、SAMXNUMX が特定の状況に適しているかどうかを判断できるようにすることです。
サイバー セキュリティ評価ツール
サイバー セキュリティ評価ツールは、企業のサイバー セキュリティ体制を評価します。 この評価は、組織の現在のサイバー セキュリティ体制を判断し、潜在的なリスクと機会を特定し、既存のコントロールを評価する機会を提供するのに役立つ一連の質問で構成されています。
この評価は、以前に組織を評価したことのない外部の評価者によって完了するように設計されています。 評価結果に基づいて評価レポートが生成されます。これには、サイバー セキュリティ体制を改善するための推奨事項が含まれる場合があります。
サイバーセキュリティ評価はどのように行うのですか?
サイバーセキュリティ評価を実施するための最初のステップは、プロジェクトの範囲を理解することです。 サイバーセキュリティ評価は、ネットワークとシステムのセキュリティ、アプリケーションの開発と実装、ユーザー認証モデル (シングル サインオンなど)、データ分類管理のポリシーと手順など、情報セキュリティのすべての側面を考慮する分析として定義できます。
評価の範囲には、次のものが含まれている必要があります。
- 脅威または脆弱性が発生した場合のビジネスへの影響。
- 上記で特定された各領域の現在のリスクレベル。
- 各領域は、既知の脅威からどの程度保護されていますか? そうでない場合は、現在の業界標準/ベスト プラクティスに基づいて実装する必要がある可能性があるコントロールを特定します。
- 他に注意が必要な分野は? 例: ネットワーク トラフィックを監視する十分なキャパシティがありますか? ログインのたびに私たちを介さずに、顧客が日々の活動の一環としてオンラインで行っていることを十分に把握できていますか?
サイバー セキュリティ評価チェックリスト
標準のセキュリティ評価チェックリストを使用して、サイバー セキュリティ評価ですべてのベースをカバーしていることを確認できます。 これは、大規模なプロジェクトやチームで作業する場合に特に重要です。これにより、各人がプロセスの一部を完了するのに必要な時間が短縮されるためです。
以下は、必要に応じてカスタマイズして使用できるチェックリストの例です。
- NIST 800-53 (コンピュータ セキュリティ フレームワーク) – このドキュメントは、組織のライフ サイクル全体にわたる情報セキュリティ管理の最小要件を定義します。 懸念される XNUMX つの領域について説明します: リスク評価、侵入テスト、インシデント対応計画の開発と実装、施設のセキュリティ管理計画の開発と実装、ポリシー ガイダンス ドキュメントの作成/更新能力
サイバーセキュリティ評価には何が含まれますか?
セキュリティ評価は、ツールと技術を使用してネットワーク環境に関する情報を収集するプロセスです。 適切なセキュリティ評価は、組織のデータ、システム、およびアプリケーションが可能な限り安全であることを確認することを目的としています。
適切なセキュリティ評価には次のものが含まれます。
- 評価の範囲、スケジュール、および費用。
- それを実行するチーム。
- それを実施するために使用されるアプローチ (例: 侵入テストまたは脆弱性スキャン);
- ポートスキャンやファジングソフトウェアなど、収集段階で使用されるツール/手法。
- このアクティビティから結果を受け取る人々 - つまり、マシンを XNUMX つずつ調べるエンド ユーザー (手動でログを記録する必要はありません)、電子メールの添付ファイルを介して直接レポートを受け取るパートナー/ベンダーです。
サイバーセキュリティ評価サービス
セキュリティ評価は、リスクのレベルを判断し、組織の情報セキュリティの弱点を特定するためのデータの体系的な収集です。 セキュリティ評価の目的は、組織の現在のプロセスとポリシーのギャップを特定し、ハッカーが悪用できる脆弱性を評価することです。
セキュリティ評価は、Nessus や Qualys の Vulnerability Management Suite (VMS) などのオープン ソース ソフトウェアを使用して実施できます。Vulnerability Management Suite (VMS) は、ネットワーク構成のスナップショットを今すぐ提供します。また、外部委託することもできます (サイバー セキュリティ評価などを通じて)。 このプロセスには多くの利点があります。 リアルタイムのフィードバックを提供します。 一度にすべてのツールにアクセスできるため、ベンダー ロックインの問題はありません。また、評価段階で特定のツールに問題が発生した場合は、別のツールを無料で利用できる可能性があります。
サイバーセキュリティ評価レポートの例
サイバー セキュリティ評価レポートは、組織の現在のセキュリティ体制とそのギャップを説明するドキュメントです。 また、ベスト プラクティスやテクノロジの実装など、組織のサイバー セキュリティを改善するための推奨事項も提供します。
サイバー セキュリティ評価レポートには、次の情報が含まれている必要があります。
- レポートの目的 (例: 「現在の保護レベルに関する情報を提供するため」)
- 含まれる情報の種類の説明 (例: 「次のトピックがカバーされます:」)
- このドキュメント全体で使用されている参考文献のリスト。これには、作成中に参照された外部リソースが含まれます (例: 「Dr. John Doe がこの論文を書いた」)。
サイバーセキュリティ評価にはどのくらいの時間がかかりますか?
ビジネスの規模、実施したい評価の種類、および利用可能な時間によって異なります。 各パートの完成スピードも、第三者からどれだけ早く結果が返ってくるかに影響するので、相手の反応が遅かったり、全く結果が出なかったりすると、他のプロジェクトが遅れてしまう可能性があります数日または数週間 (関係するリソースの数に応じて) 進行中です。 これが発生した場合は、ニーズに合ったプロバイダーが見つかるまで、代わりに別のプロバイダーで再試行することをお勧めします!
NIST セキュリティ評価とは何ですか?
NIST は、国立標準技術研究所 (NIST) です。 これは、米国商務省内の非規制機関です。つまり、法律を制定したり、政府の規制を施行したりしません。 代わりに、NIST は建物、電子機器、およびソフトウェアの標準を作成して公開しています。これには、情報セキュリティ標準も含まれます。
「評価」という言葉は、組織が XNUMX つまたは複数の指定された基準または目的に対して現在の状態を評価する評価プロセスを指します。 次に、それらの調査結果に基づいてアクションを実行します。 セキュリティ評価は、過去の侵害やサイバー犯罪者による現在の脅威を調べることで、組織が脆弱性を知るのに役立ちます。 将来の攻撃を防ぐために利用できる十分なリソースがあるかどうかを判断します。 ハッカーが再び失敗するように改善できる領域を特定します。
セキュリティ評価計画の XNUMX つの段階とは?
セキュリティ評価は、ネットワークと顧客に関する情報を収集し、評価の目標を定義し、さまざまなソースからデータを収集するアプローチを設計し、結果を分析するプロセスです。
セキュリティ評価の最初の段階は計画です。 この段階では、組織のサイバー セキュリティ体制を評価するために収集する情報を決定します。 また、このタスクの実行に誰が関与するか、各人 (およびそのチーム) が完了するまでにかかる時間を考慮することもできます。
計画が作成されたら、実行に移します。 このフェーズでは、計画中に割り当てられたすべてのタスクが、専門知識レベルに応じて、個別にまたは一緒に作業を開始します。
サイバーセキュリティ評価を開始するにはどうすればよいですか?
目標設定の最初のステップは、問題を定義することです。 これまでにこれを行ったことがない場合、これは難しいかもしれませんが、組織が達成しようとしていることと、現在の状態がどこにあるかを明確に理解することから始める必要があります。
問題を定義したら、測定可能な結果を設定して、スタッフが目標に向かってどのように進んでいるかを理解できるようにします。 可能であれば、他の人がどれだけうまくやっているかについての認識に頼らないようにしてください。個人またはチームメンバーとして、常に間違いや失敗を認めるべきです (そして、自分自身を忘れないでください!)。 野心的でありながら現実的であることは、ここで成功を収める上で大いに役立ちます。 「次の 20 か月でチーム メンバーのフィットネス レベルを XNUMX% 上げたい」などのことを考えてみてください。
無料のサイバー セキュリティ評価ツール
サイバー セキュリティ評価の概要を簡単に知りたい場合は、無料のツールが役立ちます。 ネットワークに関する重要な情報が表示され、物事がどこにあるかのスナップショットが提供されます。 ただし、これらのツールは有料ツールほど詳細でなく、信頼性も低いため、環境の安全性に関するすべての詳細を提供するわけではありません.
有料のサイバー セキュリティ評価ツールは、無料のツールよりも詳細に分析できるため、金の価値があります。 また、会社のインフラストラクチャのさまざまな部分 (デスクトップとモバイルなど) のリスク レベルを評価する場合にも、はるかに正確です。
以下は、チェックアウトする必要がある無料のサイバー セキュリティ評価ツールのトップ ピックです。
#1。 カリ Linux
Kali Linux は、エシカル ハッキングとも呼ばれるペネトレーション テスト用の一般的なオペレーティング システムです。 Debian Linux をベースにしており、600 以上のセキュリティ ツールがプリインストールされています。 これにより、ネットワークまたは Web アプリケーションのセキュリティをテストするのに理想的です。
Kali は、さまざまな攻撃 (ポート スキャンなど) を実行することにより、ネットワークまたは Web アプリケーションのセキュリティをテストできます。
#2。 フィッシングに行く
Go phish は、ペネトレーション テスターとセキュリティ意識トレーニングのためのフィッシング ツールキットです。 アセスメントや教室の設定で使用できる、現実的なフィッシング メール、Web ページ、および SMS メッセージを作成する機能を提供します。
このツールは、有名な侵入テスト フレームワーク Metasploit Framework (MSF) も作成した Adrienne Porter Felt によって作成されました。 このプロジェクトの目的は、プログラミングの経験が豊富でない人でも、MSF の API の動作を最初に学ばなくても、MSF の API の上に自分のツールを簡単に構築できるようにすることでした。これがまさに彼らが行ったことです!
#3。 守備
Defending は、OWASP Top 10 を使用して Web アプリケーションの脆弱性を見つけて修正する Web ベースのセキュリティ スキャナーです。 侵入および Web アプリケーションのセキュリティ テストに使用できます。 それでも、Python とオープン ソースで記述されているため、その機能について詳しく知りたい場合は、GitHub の outstation をチェックしてください。
#4。 エアクラック
Aircrack-ng は、ワイヤレス ネットワークの監査に使用できる一連のツールです。 WiFi セキュリティの監査に使用され、ネットワーク キーとパスワードを回復します。
このツールは、WPA/WPA2 暗号化が「Aircrack」として知られる自動スクリプトを使用したサービス拒否攻撃 (DoS) に対して脆弱であることを発見した Simon Paška によって最初に開発されました。 Aircrack の最初のバージョンは、2002 年に Wichert Akkerman と Michal Zalewski によってリリースされました。 4 年に Mikko Hyppönen は、mon2004/0 の代わりに mon0 をサポートする Airmon と呼ばれる新しいバージョンを作成しました[1]。 5 年までに、aircrack-ng は Kismet の Linux Shodan プラグイン (最初にリリースされたのは 2007 年) に統合されていました。
#5。 げっぷスイート
Burp Suite は、Web アプリケーションのセキュリティ テストを実行するための統合プラットフォームです。 これには、トラフィックの傍受と監視からレポートの生成まで、テスト プロセス全体をサポートする一連のツールが含まれています。
Burp Suite は、HTTP および要求と応答をインターセプト、操作、ログに記録して、Web サイトまたはアプリケーションのセキュリティを確保できます。 次のような機能が含まれています。
- プロキシ – 特別な権限なしでライブ ネットワーク接続に任意のペイロードを挿入します。 Twitter や LinkedIn などのサードパーティのテストにも役立ちます (多くの場合、特別な権限が必要です)。
- リピーター – 異なる入力を使用して簡単にリクエストを複数回繰り返すことができます。 パラメータ/ヘッダーなどのさまざまな組み合わせを試すときに役立ちます。たとえば、XNUMX つのリクエストを数回繰り返して XNUMX つの異なる URL 間で GET パラメータを変更する場合などです。
まとめ
結論として、サイバーセキュリティ評価は、企業がハッキングや盗難に対する脆弱性を評価するのに役立つプロセスであることに注意してください。 評価には、ネットワーク インフラストラクチャのインベントリの実施、各システムに関連するリスクの評価、それらのシステムと開発における脆弱性のテスト、問題がより重大な問題になる前に問題を修正するためのアクション プランの作成が含まれます。 さらに、会社のシステムから機密情報を盗もうとするハッカーから身を守る最善の方法を従業員が理解できるように、継続的なトレーニングを受けることが不可欠です。
サイバー セキュリティ評価に関するよくある質問
サイバーセキュリティ評価とは?
運用技術と情報技術を評価する体系的なプロセスを通じて資産の所有者と運用者をガイドするスタンドアロンのデスクトップ アプリケーションです。
セキュリティ リスク評価チェックリストとは何ですか?
組織の資産の整合性、機密性、および可用性に影響を与える脅威のリストを提供します。
5 つのステップでサイバーセキュリティのリスク評価を行うにはどうすればよいですか?
- ステップ 1: リスク評価の範囲を決定する
- ステップ 2: サイバーセキュリティのリスクを特定する方法
- ステップ 3: リスクを分析し、潜在的な影響を判断する
- ステップ 4: リスクの決定と優先順位付け
- ステップ 5: すべてのリスクを文書化する
参考文献
