ブログ記事

サイバー セキュリティ監査とは何か、目的や重要性について詳しく解説

ComplianceSecurity
6分で読めます

企業がサイバー セキュリティ監査を優先するべき理由は数多くあります。サイバー セキュリティ監査を実施することで、甚大な損害をもたらすコンプライアンス違反、データ侵害、またはその他の深刻なサイバー セキュリティ インシデントにつながりかねない問題を特定し修正することができます。サイバー セキュリティ監査は、サイバー セキュリティ プロセスやシステムにおける脆弱性、脅威、危険な慣行、弱点を特定します。

サイバー セキュリティ監査とは何か、目的や重要性について詳しく解説

サイバー セキュリティ監査とは何か

サイバー セキュリティ監査とは、組織のサイバー セキュリティとサイバー リスクを包括的に評価および分析することです。また、サイバー セキュリティ監査の目的は、インフラの脆弱性や脅威を積極的に特定し、それに対する対策を検討することで、弱点が攻撃されることを防ぐことです。

サイバー セキュリティ監査にはさまざまな技術、プロセス、管理手法が用いられ、組織のネットワーク、プログラム、デバイス、データのリスクや脅威に対してどの程度保護されているのか保護の強度が評価されます。これは定期的に実施され、その結果は確立された社内ベースライン、業界標準、サイバー セキュリティのベスト プラクティスと比較して測定されます。このような監査は、社内のITおよびセキュリティチーム、または外部の第三者機関によって実施されます。

サイバー セキュリティ監査には、組織のタイプや規模によってアプローチが異なりますが、一般的な目的は、サイバー リスクの低減と組織のセキュリティ対策の改善を支援することです。サイバー セキュリティ監査のメリットには、以下のようなことがあります。

  • 法律や規則の違反に関連する罰則の回避
  • セキュリティとシステムの脆弱性を積極的に察知
  • ポリシーや手順を徹底する上で適切なサイバー セキュリティ管理メカニズムが導入されていることの確認
  • 機密データが未認証のアクセスから保護されていることの確認
  • サイバー セキュリティ リスクの特定と修正
  • セキュリティ システムとプロセスの改善
  • インシデント対応の準備態勢の強化
  • セキュリティとリスクのベースラインと最低限のしきい値の維持
  • 社内および社外のコンプライアンス ルール要件を満たしているかの確認
  • セキュリティ研修および教育プログラムの最適化
  • お客様、従業員、パートナーとの信頼と信用の強化
  • セキュリティ ポリシーと手順の検証
  • すべての従業員やシステムがセキュリティ ポリシーに従っていることの確認

サイバー セキュリティ リスクに対する企業の備え

サイバー セキュリティ計画は、サイバー セキュリティ監査によって補完されます。サイバー セキュリティ監査の一環として確認すべき事項や評価すべき領域には、以下のようなことがあります。

  • サイバー リスク管理計画は最新の状況に対応していますか?
  • 計画は、最新のインシデントや新たに判明した脅威を考慮していますか?
  • すべての部署と連絡を取り、サイバー リスク管理計画が現状の要件を満たしていることが確認されていますか?
  • 古い技術を使用しているツールは、最新のソリューションに置き換えられていますか?
  • アップデートやパッチは定期的に適用されていますか?

サイバー セキュリティ監査の範囲

サイバー セキュリティの監査を行う範囲は、さまざまな要因によって決定されます。しかし、監査の規模に関わらず、脆弱性調査には通常以下が含まれます。

データ セキュリティ

ネットワーク セキュリティ

  • アクセス ポイント
  • アンチウイルス設定
  • 可用性
  • ネットワーク トラフィックの監視(電子メール、インスタント メッセージ、ファイルなど)
  • ネットワーク コンポーネントの弱点

運用上のセキュリティ

  • ユーザーがポリシーや手順にどれだけ忠実に従っているかの評価
  • 情報およびシステムの保護
  • セキュリティ ポリシー、手順、制御

物理的セキュリティ

  • アラーム システム
  • アクセス制御の構築
  • 物理的デバイスに関してのストレージ保護(施錠、画面ロック、ディスク暗号化など)
  • 監視機能

ソフトウェア システム

  • データ処理
  • アプリケーションの保護
  • セキュリティ ソリューション
  • ソフトウェア開発

システム セキュリティ

内部サイバー セキュリティ監査と外部サイバー セキュリティ監査の違い

サイバー セキュリティ監査は、外部サイバー セキュリティ サービス グループ、または社内ITおよびセキュリティ チームのいずれかによって実施できます。サイバー セキュリティ監査の種類と詳細については、監査の目的、組織の規模、および情報の収集、処理、保存によって決定されます。

外部と内部どちらのチームも使用するサイバー セキュリティ監査の種類には、以下などがあります。

コンプライアンス監査

多くの規制や法律が多くの組織に影響を及ぼしているため、コンプライアンス サイバー セキュリティ監査が最も一般的です。この監査では、要件を特定し、既存のセキュリティ ソリューションにマッピングしてギャップを特定することに重点が置かれます。サイバー セキュリティ監査として包括的なものではありませんが、コンプライアンス監査は、悪用される可能性のある保護システムの脆弱性やギャップの特定に効果を発揮します。

侵入監査

侵入試験は、サイバー セキュリティ監査のもう1つの種類です。システムはシミュレーションの攻撃を受けることで、脆弱性を見つけます。

一部の侵入試験の実施には自動化ツールが使用されます。より高度なサイバー セキュリティ監査では、自動化と人間による攻撃ベクトルを組み合わせて、徹底的に調べることで、隠れた脆弱性を見つけ出します。

リスク評価監査

リスク評価のサイバー セキュリティ監査は、他の監査よりも複雑で時間と費用がかかるにもかかわらず、組織のセキュリティ対策の全体像を把握することはできません。リスク評価監査は、潜在的な脅威、それが発生する可能性、実際に発生した場合の影響に焦点を当てます。このプロセスを通じて脆弱性は明らかにされますが、セキュリティ システムの健全性や有効性は、発見対象として優先されるものではありません。

外部サイバー セキュリティ監査

外部サイバー セキュリティ監査は、セキュリティ監査サービスを提供するサード パーティによって実施されます。これらのコンサルタントやグループは、様々なサイバー セキュリティ監査の経験に基づき、セキュリティ プログラムやプロトコルにおけるギャップや脆弱性を特定するための高度なツールやプロセス一式を提供します。

サイバー セキュリティ監査を外部委託するメリットとしては、以下などがあります。

  • コンプライアンス要件に対する深い理解
  • 独立性
  • 内部バイアスや利害の対立の不在
  • 専門的経験

外部サイバー セキュリティ監査には多くのメリットがありますが、費用と時間がかかります。サード パーティによるサイバー セキュリティ監査の簡素化と迅速化には、以下のようなヒントが活用できます。

  • 組織のニーズに合ったレベルのサービスを提供している会社を見つけること。
  • 関連する情報をすべて収集し、整理すること。
  • 監査の規模に関するパラメータを設定すること。

内部サイバー セキュリティ監査

内部サイバー セキュリティ監査は、IT、セキュリティ、リスク、コンプライアンス チームなどの社内グループのメンバーによって実施されます。このような監査では、組織は独自のツールとプロセスを使用して、セキュリティ システムの有効性と規制要件への準拠の評価を行います。

内部サイバー セキュリティ監査の利点としては、この監査を行うことで、以下が可能になります。

  • 社内システムおよびプロセスに直接アクセスできる。
  • 費用対効果の高い作業を行える。
  • 頻繁にレビューが可能。
  • セキュリティおよびコンプライアンス システムとプロトコルに関する深い知識を得られる。

内部サイバー セキュリティ監査の潜在的なデメリットとしては、以下のようなことがあります。

  • 客観性の欠如
  • 活用できる専門技術の限界
  • バイアスや利害の対立の可能性

サイバー セキュリティ監査の頻度

サイバー セキュリティ監査を実施する頻度はどの程度が最適かという質問に対する答えは、「状況による」です。企業が監査を実施するのは、以下のような要因に基づき、毎月、四半期ごと、毎年、またはそれ以下の頻度になります。

サイバー セキュリティ監査の頻度は、以下のような要因によって決定されます。

  • ITやセキュリティ インフラへの大幅な変更
  • 監査を実施するために必要なリソースの可用性
  • 保有する情報の重要性と価値
  • 組織が関連する業界およびそれに関連するコンプライアンス要件
  • 組織が直面するサイバー セキュリティ リスクのレベル
  • 重大なサイバー セキュリティ インシデントの発生
  • 収集・保存されるデータの機密性
  • 組織のITインフラの規模

サイバー セキュリティ監査のベスト プラクティス

考慮すべきサイバー セキュリティのベストプラクティスには、以下などがあります。

サイバー セキュリティ監査の範囲の決定と、明確な目標の設定

サイバー セキュリティ監査を開始する前に、目的を明確にし、それを達成するためには何をする必要があるか、また、主要な利害関係者は誰か、誰が関与するかを決定します。また、監査をどのように実施し、何を評価するのかを決定することも重要です。

サイバー セキュリティ監査で一般的に考慮される分野には以下があります。

  • コンプライアンス要件
  • 機密情報のデータ保存、送信、保護システム
  • 教育および研修プログラム
  • インシデント対応計画
  • ITインフラ(ハードウェア、ネットワーク、ソフトウェアなど)
  • 全体的なポリシーや手続き
  • 物理的なセキュリティ対策

サイバー セキュリティとサイバー リスクのフレームワークの活用

サイバー セキュリティおよびサイバー リスクのフレームワークは、組織が監査の一環として脆弱性を効果的に特定および評価するのに役立ちます。このようなフレームワークの例としては、以下があります。

  • 情報システムコントロール協会(ISACA)の情報および関連技術のための管理目標(COBIT)
  • インターネット セキュリティ センターのリスク評価手法(CIS RAM)
  • 国防総省(DoD)のリスク管理フレームワーク(RMF)
  • 情報リスク要因分析(FAIR)
  • 国際標準化機構(ISO)のISO/IEC 270001(国際電気標準会議(IEC)との提携のもと策定)
  • アメリカ国立標準技術研究所のサイバー セキュリティ フレームワーク(NIST CSF)

包括的なリスクと脅威の評価の実施

以下に挙げるような詳細を分析します。

  • データの価値と機密性(知的財産、財務データ、顧客情報など)
  • データ侵害の潜在的影響
  • 分野ごとのリスクの種類
  • 組織が直面する脅威の種類(分散型サービス拒否(DDoS)攻撃、マルウェア、シャドーIT、アクセス制御侵害、偶発的または悪意ある内部者、ゼロデイ攻撃、フィッシングなど)

これにはより詳細な可視性を得るために、インタビューや現地訪問も含める必要があります。リスクと脅威を理解することで、サイバー セキュリティ監査の目標とリソースの割り当てについて、焦点を絞りこむことができます。

コンプライアンス要件の理解

カリフォルニア州プライバシー権法(CPRA)、EU一般データ保護規則(GDPR)、支払カード産業データセキュリティ規格(PCI DSS)などの法律や業界規制には、サイバー セキュリティ監査の際に考慮すべき、セキュリティとプライバシーの厳格な要件が定められています。

セキュリティ ポリシー、手順、制御のベースラインに対する評価

セキュリティ ポリシー、手順、制御のレビューを実施し、特定の脅威から保護するためにどのような対策が講じられているか、またそれらの対策の有効性を判断する必要があります。またこれは、ギャップを特定する機会にもなります。

確立された社内ベースライン、外部のベスト プラクティスやフレームワーク、および規制要件は、組織の既存のセキュリティ ポリシー、手順、制御の評価と、それらが業界のベスト プラクティスおよび規制に準拠していることの確認に利用されます。

サイバー セキュリティ監査のこの部分では、次のような主要分野の調査が必要です。

アクティブな技術テストの実施

構成レビュー(ファイアウォールやアクセス制御リストなど)、セキュリティ対策の有効性を評価する侵入テスト、およびネットワーク デバイス、サーバー、アプリケーションの脆弱性スキャンといった、ITインフラの脆弱性や弱点を特定するため技術テストを実施します。結果を分析して改善できる分野を特定し、攻撃者の潜在的な侵入ポイントを検出します。

セキュリティ ログ、アプリケーション データ、ユーザー アクティビティ レポートの調査とインシデントの特定および分析

サイバー セキュリティ監査の一環として、セキュリティ ログ、アプリケーション データ、ユーザー アクティビティ レポートを厳選し、インシデントを特定して分析する必要があります。これらのレビューには、疑わしい活動や侵害の兆候を示す手がかりとなり得る、利用可能なすべてのソースからの情報が含まれる必要があります。この情報分析により、現在進行中および将来の攻撃、ポリシー違反、未認証のアクセス試行の検知が容易になります。

すべての所見とレコメンデーションの記録

サイバー セキュリティ監査中および監査後には、特定された脆弱性、弱点、および軽減または修復のための提案など、すべての調査結果を文書化することが重要です。レコメンデーションは潜在的な影響に基づいて優先順位付けし、その情報を社内ベースラインの設定または更新に活用する必要があります。

サイバー セキュリティ監査に一般的に含まれるレコメンデーションには、以下のようなものがあります。

  • セキュリティ システムを保護するために導入されている防止、検出、対応ツールの文書化
  • セキュリティ問題や自然災害が発生した際に、業務停止や混乱を最小限に抑えるためのインシデント対応計画
  • パッチ管理、ネットワークのセグメント化、セキュリティ アーキテクチャの改善など、脆弱性修正のためのプロセスおよび手順
  • セキュリティの認識と対応トレーニングおよび教育リソース

セキュリティ システムの継続的監視

サイバー セキュリティ監査のレコメンデーションが実施された後、次の監査までの期間、すべてのシステムを継続的に監視する必要があります。

サイバーセキュリティ監査は、未然にリスクを防ぎ、IT環境を保護

あらゆる組織が社内外のソースからのサイバー脅威に対し脆弱であることを踏まえると、サイバー セキュリティ監査を優先させることは理にかなっています。監査の柔軟性とオプションにより、これらの監査を定期的に実施することが可能になります。

サイバー セキュリティ監査を実施するために必要な時間とリソースは、サイバー攻撃につながる恐れのある脆弱性の特定と低減に対して、組織が最善を尽くしたことを保証する重要な投資です。サイバー攻撃の規模にもよりますが、その影響は良くても業務妨害、最悪の場合は壊滅的になります。金銭的な損失から風評被害まで多岐にわたります。慎重に適切な監査の種類を選択することで、組織はサイバー セキュリティ監査を活用し、ネットワーク、デバイス、データに対する未認証のアクセスや改ざんからの保護を実現することができます。

関連コンテンツ

サイバー セキュリティ監査についてもっと詳しく知る

NIST CSF(サイバーセキュリティフレームワーク)とは

NIST CSF(サイバーセキュリティフレームワーク)とは

NIST CSFとは、企業がセキュリティ製品を導入検討する際の判断基準です。なぜNIST CSFを導入すべきかを解説します。

記事を読む
Gartnerのレポート「アイデンティティ ファーストのセキュリティで、サイバー セキュリティの効果を最大化」

アイデンティティ ファーストのアプローチとは?

Gartner社が指摘する、「3つのC」に重点を置いた、アイデンティティ ファーストのセキュリティを実現方法を解説します。

特別レポートをダウンロード
アイデンティティ・セキュリティとは何か?

アイデンティティ・セキュリティとは何か?

IDセキュリティ(別名IDガバナンス)は、多様な従業員へのテクノロジーアクセスの提供に関連するサイバー脅威から保護します。

記事を読む

お問い合わせ

SailPoint Identity Security Cloudの
詳細をご希望ですか?

DX時代の先進的な企業が、アプリケーションやデータの安全な利用を、スピードと拡張性を持って管理・保護するという課題に、SailPointのソリューションがどのように対応できるのかご紹介します。

お問い合わせ