47.2. 脆弱性のアセスメント
時間、リソース、動機があると、クラッカーはほぼすべてのシステムに侵入できます。結局のところ、現在利用可能なすべてのセキュリティー手順と技術は、すべてのシステムが侵入から安全であることを保証することはできません。ルーターは、インターネットへのセキュアなゲートウェイを提供します。ファイアウォールは、ネットワークの境界を保護します。仮想プライベートネットワーク (VPN) では、データが、暗号化されているストリームで安全に通過できます。侵入検知システムは、悪意のある活動を警告します。しかし、これらの技術が成功するかどうかは、以下のような数多くの要因によって決まります。
- 技術の設定、監視、および保守を行うスタッフの専門知識
- サービスとカーネルのパッチ、および更新を迅速かつ効率的に行う能力
- ネットワーク上での警戒を常に怠らない担当者の能力
データシステムと各種技術が動的であることを考えると、企業リソースを保護するタスクは極めて複雑になる可能性もあります。この複雑さゆえに、使用するすべてのシステムの専門家を見つけることは、多くの場合困難になります。情報セキュリティーの多くの分野によく精通している人材を確保することはできても、多くの分野を専門とするスタッフを確保することは容易ではありません。これは、情報セキュリティーの各専門分野で、継続的な注意と重点が必要となるためです。情報セキュリティーは、常に変化しています。
47.2.1. 不利な点を考える
エンタープライズネットワークを管理すると仮定します。このようなネットワークは、一般的にオペレーティングシステム、アプリケーション、サーバー、ネットワークモニター、ファイアウォール、侵入検知システムなどで設定されています。次に、これらの各項目を最新に維持してみてください。現在のソフトウェアおよびネットワーク環境が複雑であるため、悪用とバグはある程度のものです。ネットワーク全体でパッチや更新を最新の状態に維持すると、異種システムを使用する大規模な組織では難易な作業になります。
専門知識の要件と現在の状態を維持するタスクを組み合わせて、インシデントの発生、システムの侵害、データが破損し、サービスが中断される可能性は軽減されます。
セキュリティーテクノロジーとシステム、ネットワーク、およびデータの保護を支援するために、弱点を確認してシステムのセキュリティーを判断する必要があります。独自のシステムおよびネットワークリソースに対する予防的な脆弱性アセスメントにより、クラッカーが悪用される前に対処できる潜在的な問題を特定することができます。
脆弱性アセスメントは、ネットワークおよびシステムセキュリティーの内部監査です。ここで、ネットワークの機密性、整合性、および可用性を示す結果( 「セキュリティーの標準化」で説明)。通常、脆弱性アセスメントは、対象システムとリソースに関する重要なデータを収集する調査フェーズから開始します。その後システム準備フェーズとなります。基本的にこのフェーズでは、対象を絞り、すべての既知の脆弱性を調べます。readiness フェーズでは、レポートフェーズで評価され、その結果は高、中、低リスクのカテゴリーに分類され、ターゲットのセキュリティーを強化する(または脆弱性のリスクを軽減する)方法が説明されます。
たとえば、自宅の脆弱性アセスメントを実施することを想定してみましょう。まずは自宅のドアを点検し、各ドアが閉まっていて、かつ施錠されていることを確認します。また、すべての窓が完全に閉まっていて鍵が閉まっていることも確認します。これと同じ概念が、システム、ネットワーク、および電子データにも適用されます。悪意のあるユーザーはデータを盗んで、破壊します。悪意のあるユーザーが使用するツール、思考、動機に注目すると、彼らの行動にすばやく反応することが可能になります。
