【 ここから本文 】

システム脆弱性

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

[米国]
ITインフラのセキュリティ評価基準、米国の非営利団体が策定・公開へ

2種類の観点と一貫性のある方法でセキュリティの度合いを測定

(2008年09月17日)

 ITインフラストラクチャのセキュリティを評価する際の基準を、米国の非営利団体Center for Internet Security(CIS)が近く発表する。CISによると、この基準は、ITインフラ全体のセキュリティ評価を一貫性のある方法で行うものだという。

 CISでCEOを務めるバート・ミウシオ(Bert Miuccio)氏は、企業・組織のITインフラ全体のセキュリティの度合いを測る際の問題点を「一貫性のないアプローチ」と表現。さらに、「多くの企業・組織がサイバー・セキュリティを向上させようと多大な時間や費用を費やしているが、ベスト・プラクティスへの準拠が主眼になりやすく、結果自体は二の次になってしまうケースが多い」と語った。

Center for Internet Security(CIS)のWebサイト

 CISは米国ペンシルベニア州ハーシーに本拠を置く非営利組織で、その活動内容はITセキュリティの促進にある。CISは年内をメドに、企業や政府、学術機関のセキュリティ専門家のコラボレーションを通じて定義されたITセキュリティ評価基準をリリースする予定だ。

 この評価基準には「結果」と「プロセス」の2つの観点がある。前者に含まれるのは、「セキュリティ・インシデントの平均間隔」と「セキュリティ・インシデントからの復旧の平均所要時間」の2つだ。

 一方、後者は「承認された基準に準拠して構築され、セキュリティ・ポリシーに従ってパッチが適用され、ウイルス対策が施されているシステムの割合(%)」、「リスク・アセスメント、侵入または脆弱性アセスメントを受けたビジネス・アプリケーションの割合(%)」、セキュリティ・アセスメント、脅威モデル解析、またはコード・レビューを実配備前に受けたアプリケーション・コードの割合(%)」から構成されている。

 評価基準は広く一般にも公開される予定だ。ただし、CISの会員組織の場合は、同基準をベースにしたホスティング・ソフトウェアを利用することができる。このソフトウェアは、時間の経過につれて変化するセキュリティ・パフォーマンスの追跡や評価を支援するよう設計されており、測定データ記録やリポート生成も可能だ。

 例えば、セキュリティ・インシデントの平均間隔が短くなる傾向にあれば、IT管理者はプロセスの指標を見て、その悪化にどの要因がつながっている可能性があるのかを確かめることができる。

 「つまり、これはデータを掘り下げる手段だ」とミウシオ氏。「そして、その知識に基づいて、IT管理者はプロセスの修正に着手し、リソースをシフトし、プロセス間に優先度をつけ、プロセスを再設計し、ベスト・プラクティスを実装することができる」と付け加えた。

 ミウシオ氏によると、CISがリリースする予定の評価基準は、あらゆる規模の企業を対象にしたものだが、規模の大きい企業(高度なセキュリティ・プログラムを多数導入し、セキュリティへの投資額も大きい企業)のほうが、より有効に活用できる可能性が高いという。

 カナダのオタワに本拠を置くHIPS(ホスト侵入防止システム)ベンダーのThird Brigadeで最高技術責任者(CTO)を務めるブライアン・オヒギンス(Brian O'Higgins)氏は、CISが策定した基準を高く評価しているセキュリティ技術者の1人だ。同氏は、CISのフォーカスは究極的にはビジネスに影響を与えると見ている。

 オヒギンス氏は、市場に出回っているセキュリティ・ツールを使っても、ビジネス・ユニットにとって最も重要なことを測定できるとはかぎらないと指摘する。その根拠として同氏は、システム・ログ管理ツールなどに満足しているITプロフェッショナルは少ないとの調査結果(Rotman School of ManagementとTelusが実施)を挙げている。

 ログ管理リポートはシステム・ログやシステム・アラームなどのデータを提供するが、こうした記録結果を評定するために必要なツールはいまだ未熟な段階にある、というのがオヒギンス氏の意見だ。「全力を傾けてあらゆるものを測定したからといって、改善につながるとはかぎらない」と同氏は言う。

 オヒギンス氏によると、結果の測定はプロセス・データ収集の次に必要なステップだが、現在出回っている他のツールと同様、結果測定ツールでも誤診断の余地はあるという。「IT管理者が自社のインフラのコンポーネントを実際以上にセキュアだと思い込むのと同じだ」(同氏)

 ただし、妥当性を常に維持するためには、変貌し続けるセキュリティ脅威に応じて評価基準も変わっていくことが必要だと、オヒギンス氏は強調した。

(Kathleen Lau/Computerworldカナダ版)

関連記事

▲ページの先頭へ戻る

注目のリポート/ホワイトペーパー

フレームワーク化されたサプライ・チェーン・プロセスを導入すれば、ビジネス・パフォーマンスはさらに向上する

フレームワーク化されたサプライ・チェーン・プロセスを導入すれば、ビジネス・パフォーマンスはさらに向上する

企業の持続的な成長のためには、サプライ・チェーンの最適化が不可欠

調達から支払いまでのプロセスを“見える化”し、財務サプライチェーンを合理化する

調達から支払いまでのプロセスを“見える化”し、財務サプライチェーンを合理化する

現在のプロセス状況を可視化し、改善ポイントを見つけることがカギ

Windows Server 2008 対応製品(ソフトウェア関連)

SOA/BPM 関連製品

注目のトピック

ワークスタイル革新[New]
業務生産性の向上とワーク・ライフ・バランスの実現を目指して
事業継続マネジメント(BCM/DR)[Update]
万全のBC/DR基盤を構築し企業の信頼を高める
マルチコア・コンピューティング[Update]
ITインフラを最適化しパワーを最大限に生かす
グリーンITの戦略的価値
“環境マネジメント”の視点でITを最適化する
仮想化の“真実”
IT革命を支えるテクノロジー
データセンター革新
次世代ITインフラをいかに構築すべきか
ビジネス・インテリジェンス最新事情
組織と“個”の知的生産性を高める
セキュリティ・マネジメント[戦略と実践]
内外の脅威から企業を守る
Windows Server 2008 World
新世代プラットフォームの実力を探る
コンプライアンス総点検
法令順守の実態を把握し、万全の対策を!
SOAがITを変える
企業はどう備えるべきか
ITIL活用最前線
ITILでビジネスとITを変える
データ・マネジメント
新時代の情報/データ管理基盤を構築するために

Weekly Ranking

集計期間:01/02〜01/08

トピック一覧

ニュース特集

セキュリティ

ソフトウェア&サービス

経営/業務改革

ITマネジメント

データ・マネジメント

プラットフォーム

IT基盤技術

ハードウェア

ネットワーキング

トレンド

IT業界動向

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国