目次:
ビデオ: V-NEWS「FPGAにできること」その4 セキュリティコントロールセンター編 2024
データを含む機密資産は、ライフサイクルを通じて適切に保護されなければなりません。セキュリティ専門家として、あなたの仕事です。情報ライフサイクル管理(ILM)は、次の5つの段階でデータをカバーします。
- 作成。 データはエンドユーザーまたはアプリケーションによって作成されます。この時点でデータの重要度と感度に基づいてデータを分類する必要があり、データ所有者(通常は必ずしもそうではありませんが、必ずしもそうではありません)を割り当てる必要があります。データは、文書、スプレッドシート、電子メールとテキストメッセージ、データベースレコード、フォーム、画像、プレゼンテーション(ビデオ会議を含む)、印刷された文書など、さまざまな形で存在する可能性があります。
- 流通(「動いているデータ」)。 データは、組織内で内部的に配布(または検索)されたり、外部の受信者に送信されたりする可能性があります。配布は手作業(宅配便など)または電子的(通常はネットワーク経由)です。輸送中のデータは妥協する可能性があるため、データの分類に基づいて適切なセーフガードを実施する必要があります。たとえば、パブリックネットワークを介して特定の機密データを送信するには、暗号化が必要な場合があります。そのような場合、適切な暗号化基準を確立する必要があります。機密データの偶発的または意図的な不正配布を防止するために、データ損失防止(DLP)技術を使用することもできます。
- 使用(「使用中のデータ」)。 この段階は、エンドユーザーまたはアプリケーションによってアクセスされ、そのユーザーまたはアプリケーションによって積極的に使用されている(たとえば、読み取り、分析、変更、更新または複製された)データを指します。使用中のデータは、データの分類レベルに対して許可されたシステムでのみ、適切な許可(クリアランス)と目的(必要なこと)を持つユーザーおよびアプリケーションによってのみアクセスする必要があります。
- メンテナンス(「安静時のデータ」)。 「動作中」または「使用中」でないデータの作成および廃棄の間は、いつでもデータは「安静時」に維持されます。保守には、データ(ハードドライブ、リムーバブルUSBサムドライブ、バックアップ磁気テープ、または紙などのメディア上の)とデータのファイリング(たとえば、ディレクトリとファイル構造内)が含まれます。データをバックアップすることもでき、バックアップメディアは安全なオフサイトの場所(「転送中のデータ」と呼ばれます)に転送されます。分類レベルをアップグレードする必要があるか(一般的ではない)、ダウングレードする必要があるかどうかを判断するために、データの分類レベルも(通常はデータ所有者によって)定期的にレビューされる必要があります。適切な保障措置を実施し、守秘義務(およびプライバシー)を確保するために定期的に監査する必要があります。
- たとえば、システム、ディレクトリとファイルのアクセス許可、および暗号化を使用します。 誠実さ。例えば、ベースライン、暗号ハッシュ、巡回冗長検査(CRC)、およびファイルロック(複数の同時ユーザによるデータの変更の防止または制御)を使用する。
- 入手可能。 たとえば、データベースおよびファイルクラスタリング(単一障害点を排除する)、バックアップおよびリアルタイムレプリケーション(データ損失を防ぐため)を使用します。
- <! - 1 - > 処分。
- <! - 2 - > 削除されたばかりのデータは適切に破棄されていません。それは単に「データが残っている」ということで、上書きされるのを待っています。あるいは、権限のない潜在的に悪意のある第三者によって不都合に発見されます。
ベースライン
ベースラインを確立することは、組織を出発点または最小基準と比較するため、または時間の経過とともに組織内の進捗状況を比較するために使用される標準的なビジネス方法です。セキュリティ制御を使用すると、これらのメソッドは次のような貴重な洞察を提供します。
<! - 3 - >
他の組織との比較
組織はコントロールセットを他の組織と比較して、コントロールにどのような違いがあるかを知ることができます。- 内部統制の比較 組織は、一連のコントロールをベースラインにして、何年もの間コントロールセットにどのような変更が発生しているかを知ることができます。
- 経時的なコントロール効果の比較 。組織は、コントロールの有効性の記録を比較して、進捗状況を確認したり、進捗状況を確認するためにさらに多くの努力を必要としたりすることができます。
- スコープと調整 組織の異なる部分とその基礎となるITシステムは異なるデータセットを格納して処理するため、組織が単一のコントロールセットを確立してそれらをすべてのシステムに課すことは意味がありません。過度に単純化されたデータ分類プログラムとその結果として生じるデータの過剰保護と過小保護のように、組織はしばしば論理ゾーンに分割し、次にこれらのゾーンに適用されるコントロールとコントロールのセットを指定します。別のアプローチは、異なるITシステムおよび組織の一部に対する制御および制御のセットを調整することである。たとえば、パスワード強度のコントロールには、さまざまなセキュリティレベルを持つシステムに適用されるカテゴリがあります。複雑な制御環境を複雑なIT環境に適用するための両方のアプローチが有効です。つまり、同じ目的を達成する異なる方法です。格納する情報に基づいて、さまざまなシステムや環境に適切なレベルの制御を適用するだけです処理または他の基準に基づいて決定される。
標準の選択
セキュリティ専門家のためにいくつかの優れたコントロールフレームワークが利用可能です。いかなる状況においても、最初から始める必要はありません。代わりに、業界をリードするいくつかのコントロールフレームワークの1つから始め、組織のニーズに合わせて個々のコントロールを追加または削除することをお勧めします。
制御フレームワーク標準には、情報セキュリティ管理の実践規範である
ISO27002
が含まれます。
COBIT
、情報と関連技術の制御目的。
- NIST 800-53 、連邦情報システムおよび組織のための推奨セキュリティ管理。
- 暗号化 クリプトは、ネットワークを通じて動いているデータについて話しているのか、サーバーやワークステーション上に休息しているのかにかかわらず、データ保護に重要な役割を果たします。暗号化とは、人が機密データにアクセスできる状況があるため、データを目立たないように隠すことです。暗号は、暗号鍵とそれを解読する方法を持っていない限り、アクセスする人々を拒否します。
