1.2. 脆弱性の評価
時間やリソースがあり、その気になれば、攻撃者はほとんどすべてのシステムに侵入できます。現在利用できるセキュリティーの手順と技術をすべて駆使しても、すべてのシステムを侵入から完全に保護できる訳ではありません。ルーターは、インターネットへのセキュアなゲートウェイを提供します。ファイアウォールは、ネットワークの境界を保護します。仮想プライベートネットワーク (VPN) では、データが、暗号化されているストリームで安全に通過できます。侵入検知システムは、悪意のある活動を警告します。しかし、これらの技術が成功するかどうかは、以下のような数多くの要因によって決まります。
- 技術の設定、監視、および保守を行うスタッフの専門知識
- サービスとカーネルのパッチ、および更新を迅速かつ効率的に行う能力
- ネットワーク上での警戒を常に怠らない担当者の能力
データシステムと各種技術が動的であることを考えると、企業リソースを保護するタスクは極めて複雑になる可能性もあります。この複雑さゆえに、使用するすべてのシステムの専門家を見つけることは、多くの場合困難になります。情報セキュリティーの多くの分野によく精通している人材を確保することはできても、多くの分野を専門とするスタッフを確保することは容易ではありません。これは、情報セキュリティーの各専門分野で、継続的な注意と重点が必要となるためです。情報セキュリティーは、常に変化しています。
1.2.1. 重要です。
エンタープライズネットワークを管理するとします。このようなネットワークは、一般的にオペレーティングシステム、アプリケーション、サーバー、ネットワークモニター、ファイアウォール、侵入検出システムなどで構成されます。ここで、それぞれの点について最新のことを考えてみましょう。現在のソフトウェアおよびネットワーク環境の複雑性を考慮して、不正使用とバグは一定です。ネットワーク全体のパッチや更新を最新の状態に保つと、異種システムを持つ大規模な組織では深刻なタスクになります。
現在のタスクと専門知識要件を組み合わせます。また、インシデントが発生したり、システムが侵害されたり、データが破損し、サービスが中断されることは防ぎます。
セキュリティー技術を強化し、システム、ネットワーク、およびデータの保護を支援するためには、ネゴシエーションを確認して、攻撃者のように見なされ、システムのセキュリティーを測定する必要があります。お客様のシステムおよびネットワークリソースに対する予防的な脆弱性アセスメントは、攻撃者が悪用する前に対処できる可能性がある問題を引き起こす可能性があります。
脆弱性アセスメントは、お使いのネットワークとシステムのセキュリティーに関する内部監査です。このアセスメントの結果により、ネットワークの機密性、完全性、および可用性が分かります(詳細は「」を参照 「セキュリティーの標準化」)。通常、脆弱性アセスメントは、対象システムとリソースに関する重要なデータを収集する調査フェーズから開始します。その後システム準備フェーズとなります。基本的にこのフェーズでは、対象を絞り、すべての既知の脆弱性を調べます。準備フェーズが終わると報告フェーズになります。ここでは、調査結果が高中低のカテゴリーに分類され、ターゲットのセキュリティーを改善する(または脆弱性のリスクを軽減する)方法が説明されています。
たとえば、自宅の脆弱性アセスメントを実施することを想定してみましょう。まずは自宅のドアを点検し、各ドアが閉まっていて、かつ施錠されていることを確認します。また、すべての窓が完全に閉まっていて鍵が閉まっていることも確認します。これと同じ概念が、システム、ネットワーク、および電子データにも適用されます。悪意のあるユーザーはデータを盗んで、破壊します。悪意のあるユーザーが使用するツール、思考、動機に注目すると、彼らの行動にすばやく反応することが可能になります。