English -> Visit BeyondTrust Original Page
サイバーセキュリティとは何ですか?
サイバーセキュリティ (またはサイバー セキュリティ) とは、システム、アプリケーション、ハードウェア、ソフトウェア、データ、ユーザー、ID を含む情報技術 (IT) インフラストラクチャ全体を保護することでサイバー リスクを軽減する取り組みです。情報セキュリティ (InfoSec)、つまりデータ セキュリティは、サイバーセキュリティの主要コンポーネントであり、データやその他の種類の情報の機密性、整合性、可用性を確保することを伴います。
サイバーセキュリティでは、組織や個人がサイバーレジリエンス(有害なサイバーイベントを防止または耐える能力)を高めるのに役立つツール、方法、リソースがますます増えています。一般的な有害イベントの種類は次のとおりです。
- マルウェア、外部の攻撃者、悪意のある内部者によるサイバー攻撃
- ITシステムのコンポーネントまたはアプリケーションの障害
- 人為的エラー(設定ミス、スクリプト/コーディングエラーなど)など。
- データの損失および/またはプライバシーや秘密の漏洩
- コンプライアンス違反
企業のサイバーセキュリティの実践は、従来、包括的な IT リスク管理フレームワークの範囲内にあります。
サイバーセキュリティの利点
サイバー犯罪者は、IT攻撃ベクトル (BeyondTrust 英語サイト)を悪用して IT 環境に不正アクセスし、データの盗難、ダウンタイム、個人情報の盗難、評判の失墜などにより被害者 (組織または個人) に損害を与える可能性があります。近年、クラウド移行、大規模なリモート ワーク、デジタル トランスフォーメーションの取り組みなどのトレンドにより、ほとんどの組織で攻撃対象領域が大幅に拡大しています。同時に、ソフトウェア、システム、インフラストラクチャ、データに対する脅威は絶えず進化しています。脅威アクターは、機械学習 (ML) と人工知能 (AI) の機能を攻撃に取り入れることも増えています。
サイバーセキュリティは、脅威を特定して防御するためのアプローチ、戦術、ソフトウェアのツールボックスを提供することで、組織がサイバーリスクに対処するのに役立ちます。強力なポリシー、プロセス、プラクティス、ツールに支えられた包括的なサイバーセキュリティ戦略により、組織や個人がサイバー攻撃の標的になったり被害を受けたりする可能性を大幅に軽減できます。
サイバーセキュリティ制御が解決に役立つ具体的な問題は次のとおりです。
- サイバー攻撃からの保護:サイバーセキュリティ制御は、アイデンティティベースの脅威、ブルートフォース攻撃(BeyondTrustサイト 英語)、マルウェア感染、ランサムウェア、ソーシャルエンジニアリング攻撃、サービス拒否、およびビジネスを混乱させる可能性のあるその他の多くの種類の攻撃を防止または軽減するのに役立ちます。
- データ侵害の防止:機密性の高いビジネス、顧客、サプライヤー データの漏洩は、サイバー攻撃が成功した場合の最悪の結果の 1 つです。サイバー セキュリティ制御は、システムやデータへの不正アクセスを防ぎ、攻撃者によるデータ侵害を阻止する多くの緩和策を提供します。
- 個人情報の盗難防止:顧客データが侵害されると、ログイン情報、パスワード、その他の機密性の高い個人識別情報 (PII) やデータが盗まれる可能性があります。これにより、攻撃者はアカウントを乗っ取ったり、なりすまし、またはなりすましをして、個人情報に壊滅的な損害を与えることさえできます。増え続ける ID セキュリティ製品とコントロールは、さまざまな種類の ID ベースの攻撃に対する保護の提供に役立ちます。
- サイバー保険の資格:サイバー脅威とランサムウェア攻撃の急増により、サイバー保険料が急騰し、引受基準が厳しくなっています。リスクの高い組織は、保険の適用が打ち切られる可能性もあります。最小権限の強制、多要素認証 (MFA)、リモート アクセス セキュリティは、サイバー保険の適用を受け、有利な条件を得るためにサイバー保険会社がますます要求する重要なサイバーセキュリティ制御の例です。
- 規制コンプライアンス:さまざまな業界や地域で事業を展開する組織は、特定のガバナンス イニシアチブに準拠する必要があります。これらのイニシアチブや規制の多くは、サイバーセキュリティ コントロール (特定のコントロールまたはより一般的なリスク管理アプローチ) を義務付けています。規制やイニシアチブの例としては、PCI-DSS、HIPAA、ISO、GDPR、SOC2、SOX などがあります。
サイバーセキュリティの種類
サイバーセキュリティ分野は常に進化しています。ここでは、サイバーセキュリティの実践分野のうち最も一般的なタイプをいくつか紹介します。その多くは重複しています。
- アプリケーション セキュリティとは、ソフトウェアやその他のアプリケーションが障害、ハッキング、誤用、または侵害に対して耐性があることを保証する実践を指します。これは、アプリケーション自体が適切に構築されていることを確認すること、アクセスを制御し、潜在的な脆弱性やその他のリスクを監視することを指します。
- ビジネス継続性 (Business Continuity – BC) と災害復旧 (Disaster Recovery – DR)には、IT の中断を引き起こすイベント (人為的エラー、機器の故障、マルウェアやハッキング攻撃、環境災害など) に対する計画と、そのようなイベント発生後にできるだけ早く IT 機能を復旧することが含まれます。
- クラウド インフラストラクチャ エンタイトルメント管理 (Cloud Infrastructure Entitlements Management – CIEM)機能は、クラウド全体の権限とエンタイトルメントを検出し、管理します。これらのマルチクラウド ソリューションは、さまざまなクラウド環境全体で権限と最小権限の適用を合理化します。CIEM機能 (BeyondTrustサイト 英語)は、多くの場合、特権アクセス管理製品のコンポーネントです。
- クラウド セキュリティには、パブリック、プライベート、またはハイブリッド クラウド環境全体で使用される幅広いセキュリティ制御と戦略が含まれます。「クラウド セキュリティ」という用語は、クラウドでホストされるクラウドベースのセキュリティと、クラウド インフラストラクチャ自体のセキュリティの両方を指す場合があります。PaaS、IaaS、および SaaS セキュリティはすべて重要なサブ分野です。
- データ セキュリティには、ビジネス、顧客、その他のデータの整合性を保護し、維持することが含まれます。暗号化はデータ セキュリティの基礎の 1 つですが、アクセス制御、データ損失防止 (DLP)、エンドポイント保護など、多数のセキュリティ制御とテクノロジがデータの保護とデータ セキュリティの実装に役立ちます。
- エンドポイント セキュリティとは、PC、サーバー、IoT、スマートフォンなどのエンドポイントをマルウェア、ハッカー、内部者の悪用や誤用から保護するための戦略とテクノロジを指します。ウイルス対策とマルウェア対策は従来のエンドポイント セキュリティの一種ですが、現在では特権アクセス管理 (PAM)、エンドポイント検出および対応 (EDR) など、他の多くのテクノロジ領域も網羅しています。
- アイデンティティおよびアクセス管理 (Identity and Access Management – IAM) は、適切なデジタル ID がコンピューティング環境内のリソースに適切にアクセスできるようにするポリシー、プロセス、およびテクノロジのフレームワークです。IAM ソリューションは、ユーザーを認証し、特定のアプリケーション、データ、およびその他のシステムへのアクセスを許可します。IAM には、アイデンティティ ガバナンスおよび管理 (IGA)、アイデンティティ サービス (IaaS)、PAM などの分野が含まれます。
- アイデンティティ セキュリティとは、資格情報やアクセスなどのデジタル アイデンティティ(BeyondTrustサイト 英語) の保護に重点を置いた戦略とテクノロジを指します。総合的なアイデンティティ セキュリティには、IAM、PAM、ITDR、暗号化など、多くのセキュリティ分野が含まれます。
- アイデンティティ脅威と検出対応 (Identity Threat and Detection Response – ITDR) は、調整されたセキュリティ アプローチとツールの組み合わせを伴う重要な新しい分野です。ITDRは、ツール、プロセス、脅威インテリジェンス(BeyondTrust サイト 英語)を使用してアイデンティティ インフラストラクチャに対する潜在的な脅威を検出し、対応することでアイデンティティ ベースのシステムを保護することに重点を置いています。これには、検出メカニズムの実装、疑わしいアクティビティの調査、およびアイデンティティ システムの整合性を維持するための攻撃への対応が含まれます。
- ネットワーク セキュリティは、ネットワーク インフラストラクチャとソフトウェアを不正アクセスから保護します。ファイアウォールと侵入防止サービス (IPS) は最も伝統的なネットワーク セキュリティ ツールの一部ですが、現在ではネットワークのセキュリティ保護に役立つさまざまなテクノロジと制御が存在します。
- 運用技術 (Operational Technology – OT) セキュリティとは、物理的な機器の管理、監視、制御に使用されるソフトウェアとハードウェアを保護するための実践と技術を指します。OT には、監視制御およびデータ収集 (SCADA)、産業用制御システム (ICS)、分散制御システム (DCS) などが含まれます。
- 特権アクセス管理 (Privileged Access Management – PAM) は、ユーザー、アカウント、アプリケーション、およびその他のシステム資産の特権アクセスの管理と監視に重点を置いた分野とテクノロジです。特権アクセス管理 (PAM) ソリューションは、最小限の権限を適用し、人間とマシンの特権アカウントと資格情報 (パスワード、シークレット、キー、証明書など) を管理し、従業員とベンダーの安全なリモート アクセスを可能にします。PAM は一般に IAM のサブ分野と見なされており、アイデンティティ セキュリティの最も重要なサブ分野であると言えます。
- セキュリティ トレーニングは、ソーシャル エンジニアリング、フィッシング、マルウェアなどの一般的なセキュリティ問題を特定し、適切に対処できるようにユーザーに指導することで、サイバーセキュリティ体制を改善することを目的としています。トレーニングの目的は、潜在的な脅威や疑わしいアクティビティに直面したユーザーがより適切に認識し、適切に行動できるようにすることです。
- 脆弱性管理 (Vulnerability Management – VM)とは、IT エコシステムにおける潜在的な脅威と脆弱性をプロアクティブに特定 (脆弱性スキャン (BeyondTrust サイト 英語)など) し、パッチ適用、システム強化、新しいソリューションの実装などを通じて解決するセキュリティの規律を指します。侵入テスト (Pentesting) などの手法もこのアプローチに含まれます。
サイバーセキュリティの簡単な歴史
サイバーセキュリティが独自の分野として初めて登場したのは、コンピュータシステムがさまざまな業界や政府機関で普及し始めた1960年代と1970年代です。この時期に、ネットワークに接続されるコンピュータが増えるにつれて、これらのシステムを不正アクセスや悪意のある活動から保護する必要性が明らかになりました。
1940年代: コンピューティングの誕生
最初のデジタル コンピュータであるアタナソフ ベリー コンピュータ (ABC)は、1943 年に登場しました。1940 年代を通じて、コンピュータは大型で希少であり、相互接続されたネットワークがありませんでした。アクセス性が限られていたため、脅威は寄せ付けませんでした。コンピュータ ウイルスの概念は、1940 年代後半にジョン フォン ノイマンが「複雑なオートマトン理論と組織」という論文を発表したときに初めて導入されました。この論文で、ノイマンはコンピュータ プログラムが複製できると仮定しました。
1950年代: 電話詐欺
ハッキングの前身である「電話フリーキング」は、好奇心旺盛なユーザーが電話システムを探索した 1950 年代に実現しました。その後、1960 年代には、「ハッキング」という用語は、列車セットの操作から初期のコンピューターへと移行しました。
1960年代: 初期のハッキングと倫理的考慮
1960 年代のハッキングは、悪意ではなく好奇心旺盛な実験のためにコンピュータにアクセスするものでした。1967年、IBM は学生を招待して新しいコンピュータを試用してもらいました。学生たちは最初はアクセス可能な部分を探索していましたが、すぐにシステムの言語を学習し、さらに深く探り、システムの他の部分にアクセスしていることが分かりました。この経験が、業界が倫理的なハッキングとサイバーセキュリティに向けて最初の一歩を踏み出すきっかけとなりました。
1970年代: サイバーセキュリティの誕生と初期の脅威
1970 年代は、ARPANET によってサイバー セキュリティが本格的に誕生した時期です。この ARPANET では、ボブ トーマスによって最初のコンピュータ ワームである「Creeper」と呼ばれる実験的なプログラムが作成されました。多くの情報源から、彼はサイバー セキュリティの「創始者」であるとされています。これに対して、レイ トムリンソンの「Reaper」が最初のウイルス対策 (Creeper プログラムを削除する方法) として機能しました。
この10年間、政府や組織はネットワークの脆弱性に対処し始め、サイバーセキュリティ開発の基盤を築きました。
1980年代: サイバー攻撃とウイルス対策ソリューションの台頭
1980 年代にはサイバー攻撃が急増し、ウイルス対策ソリューションの開発が促進されました。ウィーン ウイルスとカスケード ウイルスによって脆弱性が露呈し、1987 年に商用ウイルス対策製品が開発されました。1986年にマーカス ヘスが米国軍のコンピューターに侵入した事件により、強力なサイバーセキュリティ対策の必要性が浮き彫りになりました。
1986 年のもう一つの有名な事件は、ローレンス バークレー国立研究所の IT マネージャー、クリフ ストールが関わった事件です。ストールの上司は、コンピューター使用料のアカウントに 75 セントという小さな会計エラーがあったため、それを解決するよう依頼しました。これがきっかけで、ストールは、スーパーユーザー アクセス権を取得したハッカーがシステムにアクセスしていることを突き止めました。最終的に、彼は追いかけっこを続け、KGB のハッカーを捕まえるためにハニーポットを設置しました。この事件を扱った彼の著書「カッコウの卵」は、サイバー スパイに光を当て、当時の多くのシステムがいかに驚くほど無防備であったかを実証しました。
1990年代: インターネットが普及し、攻撃対象領域が急増
1990 年代には、インターネットが急激に成長し、それに伴いサイバーセキュリティの課題も拡大しました。ポリモーフィック ウイルス、DiskKiller 事件、そしてウイルス対策プログラムの出現により、サイバー脅威と防御が激化しました。
90 年代後半、メリッサ ウイルスが企業に 8,000 万ドル以上の損害を与え、サイバー セキュリティ戦略の強化の必要性が浮き彫りになりました。一方、セキュア ソケット レイヤー (SSL)の開発は重要な防御メカニズムを提供しました。1995年のケビン ミトニックの逮捕は、サイバー犯罪活動の増加と潜在的な影響を実証しました。
2000年代: インターネットの拡大とクラウドの誕生
2000 年代にはインターネットの利用が急速に拡大し、コンピューターやインターネットに接続されたデバイスが普及しました。さらに、クラウド コンピューティングが商用化され、進化の新たな段階が始まりました。しかし、接続性の拡大とクラウド コンピューティングの出現により、サイバーセキュリティの新たな課題も生じました。
セキュリティ衛生に関する知識がほとんどまたはまったくない初心者ユーザーがオンラインになったため、接続された攻撃対象領域が大幅に拡大しました。オンライン コンピューティングの出現以来のサイバーセキュリティの進化は、セキュリティ チームと脆弱性を悪用するサイバー犯罪者との間の絶え間ない「軍拡競争」によって特徴付けられています。ソーシャル エンジニアリング、フィッシング、ランサムウェア、高度なファイルレスマルウェアなどのさまざまな攻撃ベクトルが、脅威の状況の拡大に寄与しています。
2010年代: 攻撃対象領域が再び急激に拡大
2009 年に DevOps が登場し、2010 年代初頭には急速に勢いを増し、IT イノベーションの新たな波を先導する一方で、時には大規模なセキュリティ ギャップや脆弱性も生み出しました。
ウイルスはウェブサイト訪問を通じてシステムに感染するように進化し、アノニマスのようなハクティビスト集団が政治的動機で団体を標的にするようになった。アルバート・ゴンザレス集団によるクレジットカードハッキングや、2013年と2014年のヤフーの大規模侵害のような事件は、新興のデジタルプラットフォームの脆弱性を浮き彫りにした。
これに対応して、コンピューターフォレンジック、多要素認証、ML 駆動型脅威検出などのテクノロジーを組み込んだ革新的なサイバーセキュリティソリューションが登場しました。これらの進歩にもかかわらず、国家が支援する攻撃、フィッシング、ランサムウェアなどの脅威が根強く残っていることから、熟練したサイバーセキュリティ専門家の重要性が依然として高いことが証明されました。
2020 年代以降: ゼロ トラストと ID セキュリティが中心に
2020 年代は、社会、仕事、サイバーセキュリティに重大な影響を及ぼした COVID-19 の世界的大流行の発生の認識から始まりました。
世界中の多くのデジタルワーカーにとって、パンデミックはリモートワークへの大規模かつ即時の移行を必要とし、すでに進行していたトレンドを大幅に加速させました。パンデミックにより、組織は急速なデジタル変革を余儀なくされました。この急速な進化により、攻撃対象領域が拡大し、多くのセキュリティギャップが生じ、脅威アクターに絶好の機会を提供しました。
2020 年代初頭、従来のネットワーク境界が急速に解消され、ハイブリッド/リモート ワーク、モバイル接続、クラウド コンピューティングが台頭したことで、アイデンティティ中心のセキュリティとゼロ トラスト原則の導入の必要性と需要が強調されました。今日のほとんどの攻撃の中心にあるのは、アイデンティティ、その権限、およびアクセス経路です。
2023 年、 OpenAI の ChatGPTのリリースは世界を驚かせ、生成 AI やその他の形態の AI や機械学習による技術進歩の飛躍を浮き彫りにしました。脅威アクターは、スピアフィッシング キャンペーンなどの攻撃手法に AI を組み込むことにますます力を入れ始めました。短期的には、AI/ML テクノロジの出現により攻撃者のツールセットが強化され、攻撃のスケーラビリティと標的が拡大しました。これらのテクノロジが進化するにつれて、将来的には攻撃がさらに複雑で効果的かつ回避性の高いものになる可能性があります。
企業は、脅威の検出や対応など、AI を活用した新しいサイバーセキュリティ制御を評価、開発、実装するために奮闘している初期段階にあります。
8つの一般的なサイバー脅威ベクトル
ここでは、個人や組織に影響を及ぼす最も一般的なサイバー脅威ベクトルをいくつか紹介します。
- 資格情報の盗難とパスワードのクラッキング:パスワードベースの攻撃では、資格情報 (パスワード、トークン、SSH キー、DevOps シークレット) を推測または盗み、アカウントを乗っ取って不正アクセスやデータを取得します。
- マルウェア:データの盗難や、コンピューター、システム、その他の機器の破壊など、危害を加える目的で作成された悪意のあるコンピューター ソフトウェア (ファームウェア、マイクロコードなどを含む)。一般的なマルウェアの種類には、ワーム、トロイの木馬、ランサムウェア、ワイパーウェア、ボット、ルートキット、スパイウェアなどがあります。
- ランサムウェア:ランサムウェアの脅威には、ファイルをロックして暗号化し、暗号化を解除してシステム所有者のアクセスを回復する代わりに身代金 (多くの場合、ビットコイン) を要求するマルウェアが含まれます。
- ソーシャル エンジニアリング:犯罪者は、巧妙ななりすましのトリック、フィッシング (詐欺メール)、ビッシング (音声や電話による説得) などの手法を使用して、従業員の警戒を緩め、マルウェアをインストールさせたり、ログイン情報やパスワードなどの機密情報を共有させたりします。
- MFA 疲労攻撃:多要素認証(MFA) 疲労攻撃 ( MFA 爆撃または MFA スパミングとも呼ばれる) は、攻撃者が標的の被害者の電子メール、電話、または登録済みデバイスに 2 要素認証の要求を繰り返しプッシュするソーシャル エンジニアリング サイバー攻撃戦略です。
- 脆弱性攻撃: パッチが適用されていないソフトウェアやシステムは脆弱性を生み出し、犯罪者はそれを標的型攻撃で悪用します。
- 特権攻撃:特権の昇格を含む、システム、マシン、またはユーザーの特権の不正使用または乱用。
- 妨害行為: Web サイトや公開されているアプリケーションやサービスなどのビジネス資産を停止させることを目的としたサービス拒否 (DoS) やその他の攻撃。
サイバーセキュリティ戦略、ポリシー、プロセス
サイバーセキュリティへのアプローチは、運用する環境の種類によって異なります。たとえば、個人ユーザーは、パスワード マネージャーやマルウェア対策コントロールを使用し、適切なセキュリティ対策を実践して、デバイスと情報のセキュリティを適切に確保する場合があります。
一方、大企業のセキュリティを担当し、データとシステムをホストするためにマネージド サービス プロバイダー (MSP)を使用している場合は、サイバーセキュリティ戦略、ポリシー、プロセスを MSP と一致させる必要があります。クラウドベースのインフラストラクチャに移行する場合は、それに応じてアプローチを調整する必要があります。基本的に、ビジネスの IT 資産がどこにあっても、いつでも保護するためにあらゆる努力をする必要があります。使用するソフトウェアが複数の環境とユース ケースで動作できることを保証することも同様に重要です。
現在、ゼロ トラスト セキュリティは、主要なエンタープライズ サイバー セキュリティ フレームワークの 1 つです。ゼロ トラストでは、アクセス権が継続的に評価され、あらゆる場所で最小権限が適用され、すべてのアクセスが監視およびレビューされることが保証されます。
特権アクセス管理によるゼロトラストの推進 – 今すぐ読む (BeyondTrust サイト 英語)
サイバーセキュリティのベストプラクティス12選
IT エコシステムの監査から堅牢な ID およびアクセス管理の実装まで、組織のエンタープライズ システムとデータを保護するには、いくつかの重要な要素があります。以下では、サイバーセキュリティのベスト プラクティスの主要な側面を取り上げ、常に変化する脅威の状況に対する回復力のある防御を構築するための洞察を提供します。
- 既存のITエコシステムを監査する
ハードウェア、ソフトウェア、ネットワーク コンポーネントを含む IT エコシステムの包括的な監査を開始します。構成、権限、ユーザー ロールを調べて、組織のデジタル環境を理解します。この詳細なマッピングは、潜在的な脆弱性を特定するだけでなく、特定のインフラストラクチャまたは IT 資産に合わせて調整された堅牢なサイバーセキュリティ戦略を開発するための基礎的なステップとしても機能します。
検出監査を実施した後、企業は技術的な評価を超えた徹底的なギャップ分析を実施できます。手順と人員の側面を考慮しながら、既存のサイバーセキュリティ対策の成熟度を評価します。この総合的な調査により、組織のサイバーセキュリティ体制を詳細に理解し、複数の側面にわたって的を絞った改善を促進します。 - サイバーセキュリティにリスクベースのアプローチを採用する
発生可能性と影響度 (爆発半径) に基づいて潜在的な脅威を評価する際には、組織の運用特性と資産特性に合わせて評価を調整します。リスクベースのアプローチをカスタマイズすることで、サイバーセキュリティの取り組みがビジネス環境の固有の優先事項と課題に対応するように細かく調整され、より適応性と効果性の高い防御戦略が実現します。 - アイデンティティの管理と保護
アイデンティティとアクセス管理 (IAM) と特権アクセス管理 (PAM) を使用して、アイデンティティのライフサイクル全体を管理します。コンテキスト要因を認証プロセスに統合します。ユーザーの行動と環境変数を考慮した適応型セキュリティ制御を実装します。特に機密性の高いアカウントとアクセスには、フィッシング耐性と FIDO2 MFA を使用します。成熟したアイデンティティ脅威検出および対応 (ITDR) 機能により、アイデンティティ リスクを継続的に評価し、脅威を迅速に検出して修復します。
アイデンティティ攻撃対象領域を効果的に管理するには、まず可視性から始めます。無料のアイデンティティセキュリティ態勢評価を受けてください。 - 資格情報を保護する
パスワード マネージャーを使用して、従業員、ベンダー、マシンのエンタープライズ認証情報を保護します。特権パスワード管理ソリューションは、特権アクセスを必要とするすべての ID とアカウントを保護するために使用する必要があります。理想的には、これらのソリューションは、IT および非 IT 従業員が使用するエンタープライズ アプリケーションへの特権ユーザー パスワード、DevOps シークレット、SSH キー、さらには従業員のパスワードを保護できます。パスワード管理は、パスワード再利用攻撃、ブルート フォース攻撃など、最も大規模な攻撃ベクトルの一部を防止または軽減できます。 - 最小権限の適用
特権アクセス管理やその他のセキュリティ技術と手法 (システム強化など) を使用して、すべての ID、アカウント、システム、アプリケーション、プロセスにわたって最小権限の原則を運用します。最小権限には、ネットワーク セグメンテーションとマイクロセグメンテーションを適用してアクセスを分離し、セグメント間での問題の拡散を防ぐことも含まれます。定期的なアクセス レビューと監査によって最小権限の原則を強化し、進化するビジネス ニーズとの継続的な整合を確保します。 - 脆弱性を積極的に特定して管理する
IT 資産全体の脆弱性を特定し、優先順位を付けて修正します。これには、自動化された脆弱性スキャンと管理ツール、および場合によっては侵入テストが含まれます。また、脆弱性スキャンと侵入テストをソフトウェア開発ライフサイクルに統合して、プロセスの早い段階でセキュリティ上の欠陥を検出して修正します。 - すべてのアクセス経路を安全にする
ネットワーク内およびネットワーク間のアクセスを保護。これには、人間 (従業員とベンダー) とマシンの両方が含まれます。これには、ネットワーク セキュリティ ツール (ファイアウォールなど)、特権アクセス管理 (セッションの監視/管理を含む) などの組み合わせが必要になります。アクセスのニーズに合わせて、さまざまな方法とプロトコルを調整する必要があります。たとえば、VPN は一部のリモート従業員アクセスには適しているかもしれませんが、従業員の個人デバイス (BYOD) や外部ベンダーが使用することは絶対に避けてください。アクセスは監視および監査も行う必要があります。現代の環境では、ゼロ トラスト ネットワーク アクセス (ZTNA) がますます活用され、アクセスに適応型の信頼とコンテキストを適用しています。 - データを保護する
このセクションのプラクティスの多くは、データの保護にも役立ちます。ただし、データを保護するには、所有しているデータとそのデータに必要な保護を評価することから始める必要があります。その一部は、適用される規制に基づいています。適切なカバレッジを確保し、監査を実施するために、情報とデータのガバナンス フレームワークを実装します。データへの最小権限アクセスを実装するだけでなく、暗号化やデータ損失防止 (DLP) などの特殊なデータ セキュリティ保護を実装します。 - ビジネス継続性(Business Continuity – BC)/災害復旧(Disaster Recovery – DR)プロセスとテクノロジーの実装
サイバー レジリエンスを確保し、インシデントから回復するためのテクノロジーと手順を導入することが重要です。たとえば、定期的なデータ バックアップは、サーバー障害、環境の危険、ランサムウェア攻撃による停止など、さまざまな脅威から回復するために重要です。インシデント対応の計画とトレーニングは、BC/DR のもう 1 つの重要な側面です。 - ゼロトラスト環境を目指す
今日のリモートおよびモバイル ワークフォースとクラウド利用の時代において、ゼロ トラスト原則は、機密性の高い ID、資産、リソースへのリスクを軽減しながら、安全なアクセスを提供する最も効果的なアプローチであると言えます。NIST ゼロ トラスト モデル (SP 800-207) では、永続的な信頼を排除します。これには、継続的な認証の実施、最小権限の適用、適応型アクセス制御、ネットワーク上で誰が何を行っているかの継続的な可視性と制御の確保が含まれます。 - サイバーセキュリティフレームワークを考慮する
適用可能な、または希望する業界のフレームワークと規制に基づいて、サイバーセキュリティ戦略を定期的に見直し、更新してください。これには、PCI DSS、ISO 27001/27002、CIS Critical Security Controls、およびゼロ トラスト アーキテクチャに関する NIST フレームワークが含まれます。これにより、セキュリティ体制が改善され、組織の整合性と回復力について顧客やパートナーに信頼を提供できるようになります。 - 従業員に適切なセキュリティ対策を指導し、セキュリティ文化を構築する
定期的なターゲットを絞ったサイバーセキュリティ トレーニングの更新により、初期のオンボーディングを超えて、従業員が新たな脅威や進化する攻撃手法について常に把握できるようにします。フィッシングの模擬演習を実施して警戒を強化し、潜在的な脅威を特定して軽減する能力を備えたサイバーセキュリティを意識した組織文化を育成します。
サイバーセキュリティにおける仕事の種類と役割
Fortinet の最近のレポートによると、企業の取締役会の 83% が IT セキュリティ担当者の増員を提案しています。同じ調査では、リーダーの 10 人中 9 人が、テクノロジー関連の認定資格を持つ人材の採用を希望していることが示されています。
さらに、最近の ISC2 の調査では、回答者の 92% が組織内にスキルギャップがあると報告しており、最も一般的なのはクラウド コンピューティング セキュリティ、AI/ML、ゼロ トラストの実装です。
スキル不足に対処するために、多くの組織は、IT およびサイバーセキュリティ関連のさまざまな責任をマネージド サービス プロバイダー (MSP)およびマネージド セキュリティ サービス プロバイダー (MSSP)にアウトソーシングしています。
ということで、組織が人材を確保しようとするサイバーセキュリティの一般的な役割をいくつか挙げてみます。
- 最高情報セキュリティ責任者 (CISO) : 組織全体のすべての IT セキュリティに責任を負います。
- セキュリティ エンジニア: サイバー セキュリティの脅威、特にインフラストラクチャから IT および会社の資産を保護するためのプロセスとテクノロジーをレビュー、テスト、実装します。
- セキュリティ アーキテクト: セキュリティを最大化し、リスクを最小化するために、セキュリティ ツールを識別、計画、設計、実装します。
- セキュリティアナリスト: 資産、レポート、出力をレビューして、潜在的なリスクを特定し、解決します。職務には、セキュリティ戦略、ポリシー、プロトコルの設計と管理、保護対策の実装、不正アクセスの監視、脆弱性スキャンと侵入テストの実施、セキュリティ侵害の調査、セキュリティベンダーとの関係の管理が含まれます。
- 侵入テスター (正しいハッカー):侵入テスターは、脆弱性を悪用してシステムやアプリケーションのセキュリティを評価します。悪意のある人物が悪用する前に弱点を特定し、組織の防御を強化することを目的としています。これらの役割は、企業にセキュリティ サービスを提供する小規模組織でよく見られます。
さらに、小規模な企業やチームでは、IT セキュリティを含むさまざまな責任を伴う IT ゼネラリストの役割を担うことがよくあります。
- キャリア展望:デジタル技術の急速な成長と継続的な進化により、サイバーセキュリティの人材に対する需要が高まっています。IT に興味があるかセキュリティに興味があるかにかかわらず、この分野には毎年拡大し続ける多様な役割があります。
- 給与水準:キャリアが進むにつれて、給与水準の上昇が期待できます。サイバーセキュリティ内で選択した特定の分野によって、全体的な報酬がさらに向上する可能性があります。
- 成長の機会:絶えず進化するテクノロジー環境において、サイバーセキュリティの専門家は継続的な成長を遂げる絶好の立場にあります。テクノロジーが進歩するにつれて、サイバーセキュリティの新たな課題が生まれ、新たなスキルセットが求められます。これにより、キャリア開発と専門化の継続的な機会が確保されます。
- 目的意識:サイバーセキュリティのキャリアは、深い目的意識をもたらします。サイバー脅威が継続的に増加し、解決すべき興味深いビジネス上の課題が数多くある中、個人や組織のセキュリティと保護において重要な役割を果たします。増大し続ける脅威から人々を守ることに専念する業界に貢献することで、充実感を得ることができます。
一般的なサイバーセキュリティ認定
認定情報システムセキュリティ専門家 (CISSP) : CISSP は、堅牢なサイバーセキュリティ プログラムの設計、実装、管理に関する専門知識を認定する世界的に認められた認定資格です。
CompTIA Security+ : Security+ は、基礎原則を網羅したエントリーレベルの認定資格であり、サイバーセキュリティのキャリアをスタートする個人に最適です。
サイバーセキュリティアナリスト+ ( CySA+) : CySA+ は、行動分析、脅威インテリジェンス、脆弱性管理に重点を置いており、サイバーセキュリティアナリストに適しています。
CompTIA Advanced Security Practitioner+ (CASP+) : CASP+ は、批判的思考と高度な技術スキルを重視した、サイバーセキュリティ専門家向けの高度な認定資格です。
認定倫理ハッカー (CEH) : CEH は、倫理的なハッキング技術を持つ個人を認定し、システムの脆弱性を特定して対処できるようにします。
グローバル情報保証認定 (GIAC) : GIAC は、GIAC 認定インシデント ハンドラー (GCIH)、GIAC 認定エンタープライズ ディフェンダー (GCED)、GIAC 認定侵入アナリスト (GCIA) など、それぞれ特定のサイバーセキュリティ ドメインに重点を置いたさまざまな専門認定を提供しています。
公認情報システム監査人 (CISA) : CISA は、情報システムの監査、管理、セキュリティ確保の専門家を認定します。
認定情報セキュリティ マネージャー (CISM) : CISM は、組織の情報セキュリティ プログラムの管理、設計、評価に関する専門知識を認定します。
認定クラウド セキュリティ プロフェッショナル (CCSP) : CCSP は、安全なクラウド環境の設計と実装を行う個人を認定します。
Offensive Security Certified Professional (OSCP) : OSCP は、倫理的なハッキングと侵入テストの実践的なスキルを重視した実践的な認定です。
システム セキュリティ認定実践者 (SSCP) : SSCP は、IT インフラストラクチャの実装、監視、およびセキュリティ保護を担当する個人を認定します。
エンタープライズ IT ガバナンス認定 (CGEIT) : CGEIT は、IT リソースのガバナンスと戦略的管理の専門家を認定します。
リスクおよび情報システム制御認定 (CRISC) : CRISC は、IT リスクの特定と管理に関する専門知識を認定します。
CSX サイバーセキュリティ プラクティショナー (CSX-P) : CSX-P は、実践的なパフォーマンスベースの試験を通じて、サイバーセキュリティ スキルを持つ個人を認定します。
CompTIA PenTest+ : PenTest+ は、侵入テスト スキルに重点を置いた認定資格で、脆弱性の特定と管理における熟練度を保証します。GIAC
Certified Incident Handler (GCIH) : GCIH は、セキュリティ インシデントへの対応と管理の専門家を認定し、サイバーセキュリティの脅威を効果的に検出、対応、軽減するスキルを身につけさせます。
GIAC 認定エンタープライズ ディフェンダー (GCED) : GCED は防御戦略に重点を置いており、サイバー脅威に対する安全なエンタープライズ レベルの防御を設計および実装する個人を認定します。
GIAC 認定侵入アナリスト (GCIA) : GCIA は、ネットワーク セキュリティ インシデントの分析と対応に関する専門知識を認定するもので、侵入検知と分析を専門とするプロフェッショナルに最適です。
現在のセキュリティ体制を評価する
このチェックリストを使用して、インフラストラクチャ全体のセキュリティ制御を段階的に測定します。
チェックリストをダウンロード(BeyondTrustサイト 英語)