今日の組織は、サイバー攻撃やデータ侵害の脅威に対処する準備をする必要があります。 企業や会社はもちろん、同様のすべての事業は、攻撃や混乱、さらにはそれらに伴い発生する広範囲にわたる影響を防ぐよう努力する必要があります。 これらの結果には、経済的損失、運用とコンプライアンスへの悪影響、および長期的な評判の低下が含まれます。 こうしたことは、どれであっても、組織からビジネスが離れたり、組織に競争上の不利益をもたらす要因となる可能性があります。 IDCの調査によると、IDCの調査によると、ダウンタイムの「平均」コストは1時間あたり200,000ドルを超えています。1
サイバー攻撃やデータ侵害から組織を保護するために何ができるでしょうか? サイバー攻撃やデータ侵害に対する回復力を高め、それらを回避する可能性を高めるために、どのようなツールを使用できますか? どのようにして被害を軽減し、リカバリー時間を短縮しますか? 情報セキュリティとサイバーセキュリティは、危害を加える可能性のあるハッカーから組織を保護するのに役立つ2つの手段です。
情報セキュリティとは?
Techopediaは、情報セキュリティ(InfoSec)とは、ISと略されることも、データセキュリティと呼ばれることもあり、「悪意のある者からコンピューター・システム・データの機密性、保全性、および可用性を保護すること」を意味すると述べています。2 これには、データが保存されているとき、またはあるデバイスから別のデバイスに移動されているときに、データを安全に保ち、不正アクセスや同様の変更が発生しないようにすることが含まれます。
SANS Instituteは、InfoSecにもっと広い定義を与えており、「印刷物による、または電子的その他の形式による、秘密情報、個人情報、機密情報またはそれぞれのデータを、不正なアクセス、使用、誤用、開示、破壊、変更、混乱から保護するために設計および実装されたプロセスと方法論」と定義しています。3
米国国立標準技術研究所(NIST)は、InfoSecを「情報への不正なアクセスまたは情報の不正な変更から情報システムを保護すること」と簡単に定義しています。⁴ ただし、この単純な定義に基づいて、NISTはそれを拡張し、「保管、処理、または転送中の、許可されたユーザーへのサービス拒否に対して情報を保護する行為を含み、さらに、そのような脅威を検出、文書化、対抗するために必要な手段も含みます」。4
サイバーセキュリティとは?
Technopediaでは、サイバーセキュリティを「情報の盗難、侵害、攻撃から保護するために使用される予防方法で、ウイルスやその他の悪意のあるコードなど、情報に対する潜在的な脅威を理解することが求められる」としています。5 NISTは、サイバーセキュリティを「サイバー攻撃からサイバースペースの使用を保護または防御する能力」と定義しています 4。 セキュリティスコアカードはNIST定義を単純化し、「サイバーセキュリティは組織の外部からの攻撃に関連し、テクノロジー固有のハッキング、攻撃、または不正アクセスに対して脆弱なものを保護し、セキュアにするフレームワークである」と述べています。6
サイバーセキュリティが使用する戦略とツールには、次の例が含まれます。
- ID管理とアクセス管理
- リスク管理
- インシデント管理
- ウイルス対策およびマルウェア対策のソフトウェア
- ソフトウェアパッチ
- ファイヤーウォール
- 2要素認証
- 暗号化
サイバーセキュリティの重要な性質のため、組織は包括的なサイバーセキュリティ計画を実施することが不可欠です。 多くの企業は、業務を監督するために、専任の最高セキュリティ責任者(CSO)または最高情報セキュリティ責任者(CISO)のスタッフに関する深い専門知識を必要としています。
InfoSecとサイバーセキュリティ
InfoSecとサイバーセキュリティは、サイバーレジリエンスと同義の包括的な概念と考えるのが簡単です。 どちらの概念にも、情報の保護、リスクと致命的なインシデントの管理と軽減、および致命的なインシデントがもたらす影響の軽減が含まれます。
ただし、これらは互換性がなく、データの保存方法やデータの形式に基づいた2つの用語には明確な違いがあります。
InfoSecは、データがデジタルであるかアナログであるかに関係なく、主にデータの保護に関係しています。 InfoSecの概念は、実質的に、組織のすべてのデジタル・データを保護する場合と同じように、自宅の金庫の中身を安全に保護する際にも簡単に適用できます。 InfoSecにとってファイアウォールの設置は重要ですが、セキュリティを個人的に設定してドアをロックしたり、特定の領域へのアクセスを必要とする従業員のみにアクセスを制限するための同様の対策を講じたりするといった、物理的に資産を保護する方法も同様に重要です。
SecurityScorecard社は、「サイバーセキュリティーは、デジタル情報、システム、ネットワークなど、デジタル形式で発生するデータの保護にのみ関係します」と述べています。6 サイバーセキュリティのデジタル・データに対する独占性は、InfoSecとの区別に役立ちます。
CSOのWebサイトでは、InfoSecとサイバーセキュリティーの違いについて異なる説明が提供されており、「サイバーセキュリティーはIT資産を攻撃から守るためのより広範な慣行であり、情報セキュリティーはサイバーセキュリティーの傘下の特定の分野です」と述べています。7 この概念を拡張して、CSOは、「ネットワークセキュリティーとアプリケーションセキュリティーは、それぞれがネットワークとアプリコードに焦点を当てた、InfoSecに対する姉妹のような慣行です」と述べています。7
データセンターのセキュリティへのInfoSecの適用
- InfoSecの実用的なアプリケーションに関しては、組織が直接管理する場合でも、クラウド・サービス・プロバイダーが管理する場合でも、データセンターのセキュリティを考慮してください。 データセンターは非常に複雑であり、物理的セキュリティとソフトウェアセキュリティか仮想セキュリティの両方が必要です。 データセンターの建物の設計、レイアウト、および場所は、多くの場合、主要道路から離れた場所にデータセンターを配置する、データセンターの周囲にバッファゾーンを設定する、といった物理的セキュリティの戦略に組み込まれています。 データセンターの物理的セキュリティを最適化するためのその他の手法とツールとしては、以下の利用が含まれます。
- 警備員、カメラ、警報システム
- 2要素認証、個人ID検証(PIV)カード、個人パスコード
- バッジ読み取り装置と生体認証システム(指紋読み取り装置、顔認識ソフトウェア、虹彩スキャナーなど)
物理的なセキュリティは、不正なアクセスを防ぐだけでなく、災害などによるデータセンターの被害を防ぐためにも有効です。 たとえば、大規模な停電が発生し、電力がすぐに復旧しなかった場合、すべてのデータセンターのサーバーを適切に冷却することが困難になり、サーバーが損傷する可能性があります。 しかし、追加の電源バックアップや、より少ない電力でより長く稼働する冷却システムなどの冗長性を採用していれば、損傷を防ぎ、サーバーの保全性を確保することができます。
物理的セキュリティでは、さまざまなツールと手法を使用してデータセンターとそのデータのセキュリティを確保しますが、ソフトウェア・セキュリティのプロセスではデジタルツールと手法を使用します。 これらのデジタルツールと技術は、データセンターに損害を与えたり、データの盗難や不正アクセスを引き起こしたりするものを含め、データセンターのネットワークへの不正アクセスを防止します。 SIEM)(Security Information and Event Management)は、データセンターの監視と管理のリアルタイムでの供給に役立ちます。 SIEMは、データセンターとそのデータのさまざまな部分にアクセスできるユーザーとデータセンター全体のアラームシステムとセンサーを制御するために使用できます。
データセンターのネットワークに何かを展開する前には、それをスキャンして評価し、データセンターのネットワークの保全性に害を及ぼすかどうかを判断する必要があります。 これらのスキャンは通常、マルウェアや同等の悪意のあるソフトウェアやコードを探します。
InfoSecのコア原則とは?
1977年のNISTの出版物で最初に言及された 8、一般にCIAトライアドと呼ばれるものは、InfoSecの心臓部を構成するコア原則で構成されています。 これらの3つの原則は次のとおりです。
- 機密保持
- 保全性
- 可用性
機密保持とは?
機密保持は、おそらくInfoSecと最も類似した要素を持ち、プライバシーを保護し、データ、情報、ソフトウェアなどへの開示とアクセスに対し許可された制限を維持する行為を指します。 CSOは、機密性を維持するために、ITセキュリティは「誰がデータにアクセスしようとしているのかを識別し、許可なくそれらの試みをブロックできる」必要があると述べています。7 サイバーレジリエンスを高め、データの機密性を確保するのに役立つツールには、次のものがあります。
- 単一要素認証(SFA)、2要素認証(2FA)、多要素認証(MFA)、およびその他の同様のタイプの認証
- 最も一般的なタイプの認証であるパスワードベースの認証
- 対称暗号化と非対称暗号化
- IDおよびアクセス管理の製品とサービス
保全性とは?
保全性とは、データの恒常性を維持し、不適切または同様に許可されていない変更や破壊からデータを保護する行為を指します。 データの機密性を確保するためのツールと手法の多くは、データの保全性を保護するために使用される手法と同じです。
サイバーレジリエンスを強化し、データの保全性を確保するのに役立つツールとしては、次のものがあります。
- チェックサムまたはハッシュは英数字の値であり、ファイルの内容を一意に表し、ファイルの保全性を検証するために頻繁に使用されます。 たとえば、外部Webサイトからダウンロードされたファイルインストーラー。
- バージョン管理システム(VCS)は、ユーザーがファイルに加えられた変更やこれらの変更がいつ行われたかなど、ファイルの履歴を追跡するのに役立ちます。
- GitはVCSの例であり、GitHubはGitを使用してプロジェクトをホストするWebサイトです。
- 頻繁にデータのバックアップを取ることは、データが最新の状態から確実に復元されるようにするのに役立ちます。
- データのバックアップと合わせて、目標復旧時間(RTO)と目標復旧時点(RPO)を確立することで、中断が発生した場合でも、災害復旧プロセスが大幅に合理化されます。
- サイバーボールトは、重要なデータを悪意のあるサイバー脅威から保護するのに役立ちます。 サイバーボールトは、データを監視し、潜在的な脅威、不正アクセス、または同様の問題を検出する分析スキャンを備えた、セキュリティが充実した不変ストレージの分離されたボールトとして機能します。 サイバー・リカバリー・ソリューションであるサイバーボールトは、データを復元する必要があるときに、データがクリーンで保護され、アクセス可能であることを保証するのに役立ちます。
SecurityScorecardは、保全性を確保することにより、「[データの]情報の否認防止と真正性」を確実にすると述べています。5CSOは同様の点を共有し、「特に法的な文脈において、データの保全性を確保していることを証明できる」と定義することにより、否認防止とは何かに拡張します。7
可用性とは?
保全性は機密性と多くの類似点を共有していますが、可用性は機密性をほぼ完全に反映しています。 主な違いは、保全性の概念が、許可されていないユーザーがアクセスしてはならないデータに対応していることです。 可用性の概念は、許可されたユーザーがアクセスできるデータに対応しています。
適切な権限を確立することは、データのアクセシビリティーを確保するための1つの方法です。 CSOは、「ネットワークとコンピューティング・リソースを、予想されるデータ・アクセスの量に一致させ、災害復旧の目的で適切なバックアップポリシーを実装する」ことで、データの可用性を確保できると主張しています。7
データの機密性と利用可能性の両方を確保することは、多くの組織が行うバランスを取る行為で、
組織は維持に苦労しています。 保全性と同様、ファイルを複製およびバックアップするための定期的なスケジュールを確立します。 これらのプロセスは、災害復旧プロセスを合理化し、高速リカバリーを確保するのに役立ちます。 CSOは、ファイルを頻繁にバックアップすることに加えて、データの可用性を確保するために、「ネットワークとコンピューティングのリソースを予想されるデータアクセスの量に一致させる」必要があると述べています。7
サービスとしての災害復旧とは?
サービスとしての災害復旧(DRaaS)は可用性の重要なコンポーネントであり、データ、IT資産、アプリケーションに常にアクセスできるようにするか、すぐに利用できない場合はすぐに利用できるようにします。
Gartner社は、「サービスとしての災害復旧のマーケットガイド」において、「DRaaSは、ITの回復力をコスト効率よく改善し、コンプライアンスや規制要件を満たし、リソースの不足に対処したいインフラストラクチャーと運用のリーダーにとって優れたオプションです」と述べています。9
Techopediaは、DRaaSを「クラウドリソースを使用してアプリケーションとデータを保護するクラウドコンピューティングとバックアップサービスのモデルであり、システム障害が発生した場合にビジネスの継続性を可能にするシステム全体のバックアップを組織に提供する第2のインフラストラクチャーとして機能する」と定義しています。10
IBMは、DRaaSは、「IT停止後の迅速な復旧のために、重要なアプリケーションとインフラストラクチャー、データ、とシステムの継続的なレプリケーションを提供し、次の機能を備えています。
- 信頼性が高く、検証可能で一貫性のある数分でのRTOと数秒でのRPO。
- プライベート、パブリック、ハイブリッドの各クラウド、ディスクとテープの組み合わせを含むカスタム・ソリューション・アーキテクチャー」と述べえています。11
IBMはまた、DRaaSが「ビジネスの回復力のサポート」に役立ち¹⁰、「災害復旧オーケストレーション・プロセス、災害復旧ヘルス・モニタリング[と]アプリケーション、インフラストラクチャー、データ、クラウド・システムの継続的なレプリケーションなど、包括的な災害復旧サービスを提供する」と述べています。12
「DRaaSは、多くの場合、災害復旧計画(DRP)または事業継続性計画(BCP)とペアになっています」。¹⁰ DRaaSが適切に機能していれば、組織は、中断や必要な修復があったとしても、仮想マシン(VM)で実行することで日常のプロセスを続行できるはずです。
Gartner社は、DRaaSプロバイダーは、「サービスを、完全に管理されたオファリング、支援付きの復旧オファリング、またはサービスとしてのソフトウェア(SaaS)・モデルとして提供できる」と述べています。⁹ DRaaSサービスは、「単体の工業化されたサービスとして市場に出され販売され、少なくとも次の機能が含まれている必要があります。
- 計画された実行と宣言のためのオンデマンドのリカバリー・クラウド
- サーバー・イメージと実動データのクラウドへの複製
- オンプレミスとクラウドの間の自動フェイルオーバーとフェイルバック
- リカバリー時間サービス・レベル・アグリーメント(SLA)9
参考情報
サイバー・レジリエンス・フレームワークを実現するための5つの主要テクノロジー、ITC。 2020年10月。
情報セキュリティー(IS)、Techopedia。
情報セキュリティー参考情報、SANS。
重要な情報とセキュリティー関連用語の用語集、NIST、2013年5月。
サイバーセキュリティー、Techopedia。
サイバーセキュリティーと情報セキュリティーの違い、SecurityScorecard、2020年5月4日。
情報セキュリティとは? 定義、原則、および仕事、CSO、2020年1月17日。
後処理監査ツールと手法米国商務省、米国商務省標準局、1977年10月。
サービスとしての災害復旧のマーケットガイド、Gartner、2020年6月25日。
サービスとしての災害復旧(DRaaS)、Techopedia。
災害復旧、IBM。
DRaaSハイブリッドプラットフォームの復旧、Kyndryl。