エンタープライズ セキュリティとは

エンタープライズ セキュリティとは、組織のサイバー セキュリティ体制のあらゆる側面を包括する用語であり、ユーザーにセキュリティ トレーニングを提供します。エンタープライズ セキュリティに含まれる戦術、ポリシー、人員、プロセス、システム、テクノロジーによって、組織のデータ、ITシステム、情報資産が保護されます。エンタープライズ セキュリティは、ますます巧妙化するサイバー脅威（盗難、データ侵害、サイバー攻撃など）を予測、防止、対応するための防御策を確立します。

攻撃者は、エンタープライズ セキュリティ システムを回避し、アプリケーション、システム、データへの不正アクセスを試みる方法を常に模索しています。エンタープライズ セキュリティは、攻撃者によるシステム、接続デバイス、各種エンドポイントなどのデータやネットワーク インフラストラクチャへのアクセスの試みを阻止します。

エンタープライズ セキュリティのもう一つの要素は、さまざまなコンプライアンス要件を満たす役割です。あらゆる組織は、個人を特定できる情報（PII）から独自の内部情報まで、多少なりとも機密情報を保有しています。

組織の規模に関わらず、ほとんどの組織はセキュリティとプライバシーの管理に関する要件を定めた法律、規制、基準の対象となります。該当するコンプライアンス要件を順守できない場合、多額の罰金を含む重大な処罰の対象となる可能性があります。エンタープライズ セキュリティはサイバー犯罪から組織を守るものと考えられがちですが、コンプライアンスにおける役割を見過ごすべきではありません。

エンタープライズ セキュリティが重要な理由

エンタープライズ セキュリティの規模と範囲は、あらゆる組織にとって根本的に重要なものです。以下に、エンタープライズ セキュリティを優先すべき理由として一般的に挙げられるものをいくつか紹介します。

• 包括的なエンタープライズ セキュリティ戦略は、効果的なリスク管理プログラムを実現するために不可欠です。
• 標的型持続的攻撃は増加しており、エンタープライズ セキュリティに付随する高度なソリューションとプロセスが必要です。
• 企業が利用するオンライン コミュニケーションのほぼすべてのタイプには、クレデンシャルの侵害やパケット スニファーなどの脅威が潜んでいます。
• 攻撃対象領域（アタックサーフェス）は、エントリー ポイント、リモート アクセス プロトコル、ユーザー アカウントの増加に伴い、拡大し続けています。
• 攻撃は巧妙化しており、多くの場合、人工知能（AI）によって実行され、数か月にわたる調査と計画から収集した詳細情報を利用してカスタマイズされています。
• クラウド サービスは、セキュリティ戦略を複雑化させています。
• エンタープライズ セキュリティの計画、展開、維持、改善は、組織の資産を保護するために不可欠です。
• エンタープライズ セキュリティは、セキュリティとプライバシーに関するコンプライアンス要件を満たすために重要な役割を果たします。
• 内部からの脅威には、ユーザーのアクセスを総合的に見直し、過剰な権限付与や未認証のラテラル ムーブメントの可能性に関する問題に対処するエンタープライズ セキュリティのアプローチが必要です。
• データ侵害につながる可能性のあるクラウド インフラストラクチャの誤設定は回避しなければなりません。
• エンタープライズ セキュリティの重要な要素であるセキュリティ トレーニングは、ソーシャル エンジニアリングの脅威に対する効果的な防御策となります。
• セキュリティ侵害は、機密データ、情報資産、従業員の生産性、ユーザー エクスペリエンス、ブランドの評判に重大な影響を及ぼす可能性があります。
• 脅威の状況はすでに広範囲にわたっており、拡大と進化を続けています。

エンタープライズ セキュリティ アーキテクチャ

エンタープライズ セキュリティ アーキテクチャは、サイバー セキュリティのすべての領域を網羅し、物理的なセキュリティ対策も含まれていなければなりません。これは、組織の資産を保護するための設計図です。

数多くのエンタープライズ セキュリティ アーキテクチャが、組織の微妙な要件を反映して展開されています。

エンタープライズ セキュリティ アーキテクチャは通常、以下の項目を含む層構造で考えられます。

• コンポーネント セキュリティ
  • 製品およびツール
  • 標準およびフレームワーク
  • Webサービス
• 概念的なセキュリティ アーキテクチャの要素
  • アクセス制御
  • アプリケーション セキュリティ
  • 証明書管理
  • 通信セキュリティ
  • ドメイン
  • ガバナンス ポリシー
  • インシデント対応
  • 情報システム
  • オペレーション リスク管理
• 論理的セキュリティ
  • プラットフォーム
  • ハードウェア
  • ネットワーク
  • オペレーティング システム
  • ファイル
  • データベース
• オペレーション セキュリティ
  • 実装ガイド
  • 管理
  • 構成/パッチ管理
  • 監視
  • ロギング
  • ペネトレーション テスト
  • アクセス権限管理
  • 変更管理
  • フォレンジック

エンタープライズ セキュリティにおけるベスト プラクティス

エンタープライズ セキュリティとは、無数の要素を含んだ広大な分野です。エンタープライズ セキュリティ戦略および実装を策定する際に考慮すべきベスト プラクティスには、以下のようなものがあります。

• ゼロ トラストのガイドラインに従った強固なエンタープライズ セキュリティ アーキテクチャから着手する。
• すべてのデバイス（モバイルやモノのインターネット（IoT）など）を対象に、デバイスのセキュリティ プロトコルを作成し、実施する。
• 保存中および転送中のデータを暗号化する。
• 災害復旧計画を策定する。
• 広範囲にわたる監視と可視化を可能にする。
• 最小権限の原則、ロール ベース アクセス制御、強力なパスワード、および多要素認証 (MFA)に基づくアクセス制御を義務付ける。
• 従業員および関係するサード パーティに対して定期的なセキュリティ トレーニングを義務付ける。
• アイデンティティ セキュリティ制御を設定する。
• 包括的なセキュリティ ソリューションを戦略的に選択する。

エンタープライズ セキュリティのリスク管理とは

エンタープライズ セキュリティのリスク管理（ESRM）とは、社内戦略と世界的に認められたリスク軽減の原則を融合させた、エンタープライズ セキュリティに対する戦略的アプローチです。攻撃対象となり得るあらゆるリソースを特定することで、組織が脅威を回避し、軽減するための枠組みとプロセスを提供します。

エンタープライズ セキュリティのリスク管理では、ビジネス リーダーとセキュリティ リーダーが協力して資産を保護します。両者が緊密に連携することで、組織は効率的な業務運営を促進できるだけでなく、サイバー セキュリティ侵害による財務的損失および評判の低下を防ぐことができます。エンタープライズ セキュリティのリスク管理戦略が成功するかどうかは、ビジネス リーダーとセキュリティ リーダーが緊密に連携し、共通の目標を達成するという両者の責任にかかっています。

エンタープライズ セキュリティのリスク管理は、エンタープライズ セキュリティ全体において重要な役割を果たすため、重要です。セキュリティ リーダーとビジネス リーダーの円滑な連携により、リスク管理戦略が効果的に実施され、組織独自の要件に対応するよう改善することができます。

エンタープライズ セキュリティのリスク管理戦略の主な特徴は以下の通りです。

• リスク管理の意思決定がデータ主導型であり、ビジネス チームとセキュリティ チームからの意見が組み込まれるように、エンタープライズ セキュリティ ガバナンスを確立する必要があります。
• 戦略は、あらゆる種類のリスクを特定して軽減できる総合的なアプローチを採用し、組織への影響を明確に示すものでなければなりません。
• セキュリティ リーダーは、ビジネス リーダーに意思決定プロセスに役立つ貴重な見識を提供できる信頼のおけるパートナーとして見なされなければなりません。
• セキュリティ リーダーは、組織全体に影響を与えるエンタープライズ セキュリティのシステム、プロセス、要因の方法と理由をビジネス リーダーが理解できるよう、エンタープライズ セキュリティの透明性を確保しなければなりません。

エンタープライズ セキュリティのリスク管理のライフサイクルは組織によって異なりますが、以下にその大まかな段階を示します。

• 組織の資産を特定し、優先順位を付ける。
• リスクと組織の資産との関係を、それぞれの価値に応じて特定し、優先順位を付ける。
• 特定の脅威に対処する対象を絞った保護を実装することで、優先順位の高いリスクを軽減するための対策を講じる。
• 組織のセキュリティ体制全体を継続的に改善するシステムを導入し、リスクを継続的に低減する。

エンタープライズ セキュリティのリスク管理プログラムを策定する際に考慮すべき要素には、以下のようなものがあります。

リスク選好度の設定

エンタープライズ セキュリティのリスク管理プログラムでは、組織のリスク選好度を考慮する必要があります。これは、組織が受け入れようとするリスクの大きさを示すもので、組織の既存のリスク プロファイル、リスク負担能力、リスク許容度、リスクに対する姿勢などが含まれます。

ガバナンス

エンタープライズ セキュリティのリスク管理プログラムのガバナンスには、リスクの測定と報告に関する方針のみならず、参加の促進、トレーニングの実施、サポートの提供に必要な業務上の役割を含める必要があります。

目的と戦略

エンタープライズ セキュリティのリスク管理プログラムの取り組みを開始する前に、セキュリティ リーダーとビジネス リーダーの間で目的を一致させることが重要です。目的が確立されたら、その目的の達成につながる戦略を策定することができます。

リスク関連データの収集と共有

正確なエンタープライズ セキュリティのリスク データを収集、集約、共有を容易に行うことができるよう、プロセスと手順を整備する必要があります。リスク データの収集と共有に使用するシステムは、すべてのリスク関連情報を取得し、データ量の増加に伴い拡張できるものでなければなりません。収集したすべてのリスク関連情報は、処理・分析を行い、関係者がアクセス可能な形式で利用できるようにする必要があります。

エンタープライズ セキュリティの課題

エンタープライズ セキュリティには課題が付きものです。エンタープライズ セキュリティ対策を実施し維持する際に組織が考慮すべき問題には、以下のようなものがあります。

計画

エンタープライズ セキュリティの最も難しい側面のひとつは計画であり、最も効果的な範囲を網羅する戦略やソリューションを決定する必要があります。これらの決定には、保護すべき資産の種類だけでなく、ユーザーの種類、予算、ITリソースなど、他の多くの要因も考慮しなければなりません。

最新の状態を維持する

すでにエンタープライズ セキュリティ ソリューションを導入している組織にとって、最新の状態を維持することは非常に骨が折れる作業です。

エンタープライズ セキュリティ体制のすべての要素を定期的に評価し、現在の要件を満たし、最適に機能していることを確認する必要があります。

これらを評価することで、更新が必要な領域、交換が必要なシステム、改善が必要な領域を特定できます。

人的要因への対策

エンタープライズ セキュリティは主にデジタル防御に重点を置いていますが、人的責任も大きな脅威となります。サイバー セキュリティ防御がどれほど強力であっても、ソーシャル エンジニアリング攻撃に引っかかる人が一人でもいれば、攻撃者はセキュリティ システムを回避することができます。

ソーシャル エンジニアリング攻撃は人間の本質的な弱点を利用するため、防御するのは非常に困難です。トレーニングは役立ちますが、効果を上げるには開発、実装、テストへの取り組みが必要です。

変化する脅威への対処

エンタープライズ セキュリティが回避しようとしている脅威は多様で、ますます複雑になっています。一見すると、ソリューションが特定されて実装されるのと同じくらい速く、脅威は変化しているため、エンタープライズ セキュリティ ソリューションと戦術の調整が必要になります。対処すべき多くの脅威には以下のようなものがあります。

• AIを駆使したサイバー攻撃
  AIはエンタープライズ セキュリティを新たな高みに押し上げるのに役立っていますが、サイバー犯罪者もAIを活用しています。マルウェアに使用されるモデルをトレーニングしたり、不正確なデータを企業のAIシステムに送り込んだり、エンタープライズ セキュリティ システムを回避するように最適化された新しいタイプの攻撃（ソーシャル エンジニアリングに使用されるディープ フェイクなど）を生成したりするためにAIが使用されています。
• 予算削減
  マルウェアと同様に、予算削減もエンタープライズ セキュリティの有効性に悪影響を及ぼします。景気後退やその他の暗い経済予測に関するうわさが広がると、経営陣はコスト削減に走りがちですが、これは必然的にIT部門やセキュリティ部門に打撃を与えます。このような予算削減は、新しいエンタープライズ セキュリティ ソリューションや、その実装と管理を行うチームの採用が遅れることにつながります。
• クロスサイト スクリプティング（XSS）
  クロスサイト スクリプティングは、信頼されているWebサイト上で悪意のあるスクリプトを実行する攻撃手法です。これにより、悪意のあるコードが勝手に送信され、ユーザーの操作が侵害されます。攻撃者はXSSを利用してユーザーのIDを盗み、機密情報への「認証済み」アクセス権限を取得して、そのデータを盗みます。
• 分散型サービス拒否（DDoS）攻撃
  DDoS攻撃では、大量のインターネット トラフィックをサーバーに送り込み、システムを過負荷状態にすることで、サービスを中断し、Webサイトをオフラインにします。動機は、混乱を引き起こすことや、その攻撃でITチームおよびセキュリティ チームの注意をそらしている間に他の悪質な行動を実行するなど、さまざまです。
• IoTセキュリティのギャップ
  接続デバイスは一般的な攻撃ベクトルです。なぜなら数多くの脆弱性があるからです。あらゆるIoTデバイスは、組織のネットワークへの侵入経路となります。その結果、エンタープライズ セキュリティ ソリューションでは保護が困難な攻撃対象領域（アタックサーフェス）が急激に拡大します。
• フィッシング
  フィッシング攻撃は今に始まったものではありませんが、依然として有効であり、AIによってさらに効力のあるものになっています。フィッシングでは、サイバー攻撃者は虚偽の表示のもと、従業員を騙して不適切な行動に誘導します。その結果、ユーザーがパスワードやクレジット カード番号、その他の機密情報を漏洩してしまうおそれがあります。
• ランサムウェア
  ランサムウェアは、ファイルを暗号化して、感染したファイルを必要とするユーザー、システム、アプリケーションがアクセスできないようにするマルウェアの一種です。攻撃者はその後、ファイルの復号化と引き換えに身代金を要求します。
• スキルのギャップと人材問題
  人員削減によって、重要なエンタープライズ セキュリティのスタッフ不足に加え、有能な人材が不足していることで、欠員を補充することが困難になっています。その結果、ITチームとセキュリティ チームとの間でサイバー セキュリティに関する専門知識にギャップが生じ、組織がサイバー攻撃に対して脆弱な状態になります。
• SQLインジェクション
  SQL（Structured Query Language）は、データベースの検索や問い合わせに広く使用されているコンピューティング言語であり、サイバー攻撃者に悪用されています。SQLインジェクション攻撃では、攻撃者はアプリケーション コードの脆弱性を悪用し、標準的なオンライン フォーム フィールド（ログイン ボックスやフォームなど）にSQLクエリを挿入（インジェクション）することで、それがアプリケーションのSQLデータベースに渡され、不正アクセスに使用されます。
• ウイルスとワーム
  ウイルスとワームは、コンピュータやネットワークを通じて感染を広げるよう設計された悪意のあるソフトウェアの一種です。これらのマルウェアはいずれも、ソフトウェアの脆弱性を悪用するもので、攻撃者はシステムに侵入したり、システムを破壊したり、データを盗んだり、システムにバックドアを仕掛けたりすることができます。

エンタープライズ セキュリティ – あらゆる組織のサイバー セキュリティ基準

エンタープライズ セキュリティ ソリューションは、ほぼすべての組織のサイバー防御の基盤となります。組織の規模が大きいほど、導入はより広範かつ複雑になります。

エンタープライズ セキュリティは、ネットワークやサーバー（ホスト環境、オンプレミス環境、ハイブリッド環境）から、エンドポイント（電話、ノートパソコン、タブレットなど）やデータ ストレージ システムに至るまで、組織のあらゆる領域を保護します。組織の種類、使用するデータ、規模によって、導入するエンタープライズ セキュリティの構成要素と複雑さのレベルが決まります。