内部セキュリティ監査を実施することは、データ漏洩やその他の高価なセキュリティ脅威から会社を守るための正しい道を歩むための素晴らしい方法です。 多くの IT およびセキュリティ専門家は、セキュリティ監査は、組織のセキュリティ コンプライアンスを評価するためのストレスの多い高価なソリューションと考えています (実際、外部セキュリティ監査のコストは 5 万ドル台にのぼっています)。 しかし、適切なトレーニング、リソース、データがあれば、内部セキュリティ監査は組織のセキュリティを評価するのに有効であることが証明され、会社の防御を改善するための重要で実用的な洞察を生み出すことができるという事実を見逃しています。
内部セキュリティ監査で投資に対するリターンを得るために必要な 5 つのステップがあります:
- 監査の定義
- 脅威の定義
- 現在のセキュリティ パフォーマンスを評価
- 優先順位 (リスク スコアリング)
- セキュリティ ソリューションの構築
External vs. Professional8968 内部セキュリティ監査
各ステップの詳細に入る前に、外部セキュリティ監査と内部セキュリティ監査の違いを理解することが重要です。 外部セキュリティ監査は、企業にとって信じられないほどの価値がありますが、中小企業にとっては法外なコストがかかり、依然として内部の IT およびセキュリティ チームの協力と連携に大きく依存しています。 これらのチームは、何よりもまず、尊敬される手頃な価格の外部監査パートナーを見つけなければなりません。また、監査人に対する目標/期待値を設定し、すべての関連する正確なデータを提供し、推奨される変更を実行することが求められます。
それでもなお、大規模な組織が、内部チームによる監査や評価に加えて、外部監査に頼るのには理由があります (そして、金融機関がグラム リーチ ブライリー法に従って外部監査を受けることを要求されるのも理由です)。 社外の人間によって行われるため、内部の偏見によって見落とされるビジネス・ユニットがないことも保証されます。 監査役は、すべてのセキュリティ・プロトコルを理解し、物理的およびデジタル的なシステムの欠陥を発見するよう訓練されているという利点がある。
このような利点があるにもかかわらず、多くのITおよびセキュリティ専門家は、そのスピード、コスト、効率、および一貫性から、内部セキュリティ監査を選択する。 これらの内部監査は基本的に無料であるため(時間の拘束を除けば)、より頻繁に行うことができます。 さらに、関連データの収集と分類は、第三者に配布されることがないため、簡素化されます。
内部セキュリティ監査を実施する場合、セキュリティ・プロトコルを維持するために必要なコンプライアンス要件について、自分自身を教育することが不可欠となります。 一度慣れれば、どこを見るべきか理解でき、内部セキュリティ監査を始める準備ができることになります。
Define Your Audit
監査人としての最初の仕事は、監査の範囲を定義することです – つまり、すべての資産のリストを書き出す必要があります。
いったん資産の長いリストができたら、セキュリティ境界を定義する必要があります。 すべてを監査できると期待するのは無理があります。
脅威の定義
次に、貴重な資産のリストを作成し、それらの資産に対する潜在的な脅威の対応するリストを書き出してください。 基本的に、脅威が合法的にビジネスに多大な損失を与える限り、あらゆる潜在的な脅威を考慮すべきです。
このステップで考えるべき一般的な脅威のリストを以下に示します。 従業員は最初の防衛線です。疑わしい活動(例:フィッシング)に気付き、チームが定めたセキュリティプロトコルに従うよう、従業員はどの程度訓練されているでしょうか? また、会社の機密アカウントを保護するために、個人的なパスワードを再利用していませんか? フィッシング攻撃:情報漏えい事件の加害者は、機密情報へのアクセスを得るために、ますますフィッシング詐欺に手を染めるようになっています。 フィッシング攻撃の75%以上は金銭的な動機によるものです。
- DDos攻撃:企業内に、または第三者との接続を通じてデータにアクセスし、機密情報を盗んだり悪用したりする人物がいる可能性を考慮することが重要です。 分散型サービス妨害(DDoS)攻撃とは、複数のシステムが標的のシステム(通常はWebサーバー)に殺到して過負荷をかけ、使い物にならなくすることです。
- BYOD (Bring Your Own Device)。 あなたの組織では BYOD を許可していますか? もしそうなら、加害者にとっての攻撃対象はより大きく、より弱くなります。 システムにアクセスできるデバイスはすべて、たとえそれが企業の所有でなくても、説明する必要があります。
- マルウェア。 マルウェア:ワーム、トロイの木馬、スパイウェアなど、さまざまな脅威が含まれ、最近増えているランサムウェアも含まれます。 可能性は低いものの、これらのいずれか、または両方が発生した場合の被害は、非常に高額になる可能性があります。
Assess Current Security Performance
脅威のリストができたので、それらに対する自社の防御能力について率直に話す必要があります。 この時点で、既存のセキュリティ構造のパフォーマンスを評価することになりますが、これは、本質的に、あなた自身、あなたのチーム、またはあなたの部門のパフォーマンスを評価していることを意味します。
これは、外部監査がさらなる価値を提供できる分野の 1 つで、監査の結果に内部の偏見が影響しないことを保証するためです。
内部セキュリティ監査の正当性と有効性を高めるには、これまでの自分のパフォーマンスや部門全体のパフォーマンスを評価し査定する際に、感情や偏見を排除するように努めることが重要です。 防御の第一線として、従業員に対する脅威は、ネットワークの検出に関連する脅威よりも重く見るべきかもしれません。 もちろん、これは、直面する脅威に関するチームの長所と短所によって、どちらにも当てはまります。
特定の脅威から十分に防御する、または貴重な資産を十分に保護する組織の能力を考慮することは、次のステップの優先順位付けにおいて非常に有益です。
Prioritize (Risk Scoring)
これは監査人として最も重要な仕事かもしれません。 どのように優先順位をつけるのですか。
脅威のリストを取り、脅威の発生の潜在的な損害と実際に発生する可能性を比較検討します (従って、それぞれにリスク スコアを割り当てます)。 例えば、自然災害はビジネスを消滅させる可能性がありますが(高リスクスコア)、資産が自然災害の被害を受けたことのない場所に存在する場合は、それに応じてリスクスコアを下げる必要があります。
関連する脅威をスコア化する際には、現在のセキュリティパフォーマンス評価(ステップ#3)の結果を含めることを忘れないようにします。
Formulate Security Solutions
内部セキュリティ監査の最終ステップは簡単です。脅威の優先順位リストを取り、それを否定または排除するためのセキュリティ改善またはベストプラクティスの対応リストを書き留めてください。 このリストは、今後数週間および数カ月間の個人的な To Do リストとなります。
このステップで考えるべき一般的なセキュリティ ソリューションを以下にリストアップしています。 これは受け入れがたいことです。 新入社員にはトレーニングを、既存社員にはフィッシングメールを見分ける方法など、セキュリティのベストプラクティスに関する認識を高めるためのアップデートを実施します。 フィッシング攻撃は最近ますます一般的になってきており、その特定はますます難しくなってきています。 フィッシングメールをクリックすると、犯人はソフトウェアのインストールを介してデータにアクセスするための多くのオプションを提供します。 スパムフィルターも役立ちますが、電子メールをネットワークの「内部」または「外部」として識別することも非常に価値があります(各主題行にそれを追記して、電子メールがどこから発信されているのかを従業員に知らせることができます)。
内部セキュリティ監査完了
おめでとうございます、あなたは今、最初の内部セキュリティ監査を完了するためのツールを手にしています。 監査は反復プロセスであり、将来の監査のために継続的な見直しと改善が必要であることに留意してください。
最初のセキュリティ監査は、将来のすべての監査の基準として使用されるべきです。
方法とプロセスを改善し続けることにより、一貫したセキュリティ レビューの雰囲気を作り出し、あらゆる種類のセキュリティ脅威からビジネスを保護するために、常に最適な状態にあることを確認します。 Dashlane Businessは、世界中の7,000以上の企業で信頼されており、セキュリティ行動を変える効果や、全社的な採用を可能にするシンプルなデザインで、大企業や中小企業から称賛を浴びています。