• RSSフィード
  • Twitterフォロー
  • iGoogleに追加

【 ここから本文 】

セキュリティ・マネジメント

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示

セキュリティ・マネジメント

[米国]
ITインフラのセキュリティ評価基準、米国の非営利団体が策定・公開へ

2種類の観点と一貫性のある方法でセキュリティの度合いを測定

(2008年09月17日)

 ITインフラストラクチャのセキュリティを評価する際の基準を、米国の非営利団体Center for Internet Security(CIS)が近く発表する。CISによると、この基準は、ITインフラ全体のセキュリティ評価を一貫性のある方法で行うものだという。

 CISでCEOを務めるバート・ミウシオ(Bert Miuccio)氏は、企業・組織のITインフラ全体のセキュリティの度合いを測る際の問題点を「一貫性のないアプローチ」と表現。さらに、「多くの企業・組織がサイバー・セキュリティを向上させようと多大な時間や費用を費やしているが、ベスト・プラクティスへの準拠が主眼になりやすく、結果自体は二の次になってしまうケースが多い」と語った。

Center for Internet Security(CIS)のWebサイト

 CISは米国ペンシルベニア州ハーシーに本拠を置く非営利組織で、その活動内容はITセキュリティの促進にある。CISは年内をメドに、企業や政府、学術機関のセキュリティ専門家のコラボレーションを通じて定義されたITセキュリティ評価基準をリリースする予定だ。

 この評価基準には「結果」と「プロセス」の2つの観点がある。前者に含まれるのは、「セキュリティ・インシデントの平均間隔」と「セキュリティ・インシデントからの復旧の平均所要時間」の2つだ。

 一方、後者は「承認された基準に準拠して構築され、セキュリティ・ポリシーに従ってパッチが適用され、ウイルス対策が施されているシステムの割合(%)」、「リスク・アセスメント、侵入または脆弱性アセスメントを受けたビジネス・アプリケーションの割合(%)」、セキュリティ・アセスメント、脅威モデル解析、またはコード・レビューを実配備前に受けたアプリケーション・コードの割合(%)」から構成されている。

 評価基準は広く一般にも公開される予定だ。ただし、CISの会員組織の場合は、同基準をベースにしたホスティング・ソフトウェアを利用することができる。このソフトウェアは、時間の経過につれて変化するセキュリティ・パフォーマンスの追跡や評価を支援するよう設計されており、測定データ記録やリポート生成も可能だ。

 例えば、セキュリティ・インシデントの平均間隔が短くなる傾向にあれば、IT管理者はプロセスの指標を見て、その悪化にどの要因がつながっている可能性があるのかを確かめることができる。

 「つまり、これはデータを掘り下げる手段だ」とミウシオ氏。「そして、その知識に基づいて、IT管理者はプロセスの修正に着手し、リソースをシフトし、プロセス間に優先度をつけ、プロセスを再設計し、ベスト・プラクティスを実装することができる」と付け加えた。

 ミウシオ氏によると、CISがリリースする予定の評価基準は、あらゆる規模の企業を対象にしたものだが、規模の大きい企業(高度なセキュリティ・プログラムを多数導入し、セキュリティへの投資額も大きい企業)のほうが、より有効に活用できる可能性が高いという。

 カナダのオタワに本拠を置くHIPS(ホスト侵入防止システム)ベンダーのThird Brigadeで最高技術責任者(CTO)を務めるブライアン・オヒギンス(Brian O'Higgins)氏は、CISが策定した基準を高く評価しているセキュリティ技術者の1人だ。同氏は、CISのフォーカスは究極的にはビジネスに影響を与えると見ている。

 オヒギンス氏は、市場に出回っているセキュリティ・ツールを使っても、ビジネス・ユニットにとって最も重要なことを測定できるとはかぎらないと指摘する。その根拠として同氏は、システム・ログ管理ツールなどに満足しているITプロフェッショナルは少ないとの調査結果(Rotman School of ManagementとTelusが実施)を挙げている。

 ログ管理リポートはシステム・ログやシステム・アラームなどのデータを提供するが、こうした記録結果を評定するために必要なツールはいまだ未熟な段階にある、というのがオヒギンス氏の意見だ。「全力を傾けてあらゆるものを測定したからといって、改善につながるとはかぎらない」と同氏は言う。

 オヒギンス氏によると、結果の測定はプロセス・データ収集の次に必要なステップだが、現在出回っている他のツールと同様、結果測定ツールでも誤診断の余地はあるという。「IT管理者が自社のインフラのコンポーネントを実際以上にセキュアだと思い込むのと同じだ」(同氏)

 ただし、妥当性を常に維持するためには、変貌し続けるセキュリティ脅威に応じて評価基準も変わっていくことが必要だと、オヒギンス氏は強調した。

(Kathleen Lau/Computerworldカナダ版)

関連記事

▲ページの先頭へ戻る

Enterprise Client Strategy 2010

【戦略的なクライアント管理でTCOの削減を――「Enterprise Client Strategy 2010」レポート

各セッションの講演レポート公開中!

注目のホワイトペーパー

NEC

仮想化環境の現状と課題――求められるのは高可用性

仮想化環境でも業務システムを止めないために

日立製作所

中堅中小企業が知っておくべきPC運用管理の勘所

〜運用コスト削減とセキュリティ強化を同時に実現するために〜

NRIセキュアテクノロジーズ

従来型の情報漏洩対策だけではもう限界!――本質を押さえた根本的な解決策とは

業務に支障なく、効率的かつ効果的なセキュリティ

日立製作所

中堅中小企業が押さえておきたいIT管理の重要ポイント

〜経済情勢の変化や顧客ニーズの多様化に柔軟に対応するために〜

日立製作所

中堅中小企業の経営基盤強化を支えるIT統合管理

〜コンパクトでスピーディな経営の実現のために〜

Computerworld Special

シンプルな運用管理が仮想化環境リソースを最大活用に導く

仮想化からクラウドまで、シームレスな運用管理を実現

仮想化環境だからこそ求められる高可用性 CLUSTERPROなら停止要因の約90%に対処可能

複雑化する仮想化環境の課題に対する“最適解”

Computerworld BLOG

進化するビジネス・モバイル

トレンド最前線

注目されるビジネス・モバイルPCの市場動向を探る

WiMAX搭載モバイルPCの実力

モバイルWiMAXを取り巻くワイヤレス・ネットワーク環境の現状

インテル vProテクノロジーで実現する“鉄壁ビジネス・モバイル”

モバイルPCが抱えるセキュリティの課題とは

最新モバイルPCとWindows 7で実現するビジネスの堅牢性

Windows 7 Enterpriseが提供する企業向け機能を徹底紹介

Weekly Ranking

集計期間:03/10〜03/16

関連ニュース(提供:トレンドマイクロ、日立システム)

Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国