脅威の状況は、近年めまぐるしく変動しています。 まず、脅威の活動レベルが急上昇しています。 リスクの性質も大きく変化しています。 Symantec Global Intelligence Network とインターネットセキュリティ脅威レポートから抽出した以下のデータをご覧ください。
- シマンテックマネージドセキュリティサービスは、毎日 20 億件以上のイベントを記録し、そのうち約 100 件のイベントを緊急に対処が必要な重大なセキュリティイベントとして識別しています。
- Symantec DeepSight Threat Management System は、同サービスの利用者に向けて毎年 10 万件以上のセキュリティ警告を発信しています。
- 最近の攻撃は、不正利用して金銭的な利益を得るためにエンドユーザーの機密情報をターゲットにする傾向にあります。
- また、より広範な地域を活発に移動し、いち早く新しい手口を取り入れ、より頻繁にベンダーや管理者、エンドユーザーが講じるセキュリティ対策に対応するようになってきています。
脅威のこうした傾向により、セキュリティ管理は明らかに企業にとってますます頭の痛い問題になっています。 一方で、複数のセキュリティ技術の管理、スキルの高い人材を引き付け、研修を実施し、維持することの困難さ、法的規制範囲の拡大、予算の制限といった別の問題もあります。
企業のセキュリティ体制の診断には、ネットワークデバイス、サーバー、デスクトップ、Web アプリケーション、データベース内外のインフラに関して、脆弱性、弱点、悪用される危険性を分析することが含まれます。
また、企業の経営層を支えるために、企業のセキュリティコントロールのポートフォリオをそれぞれ評価、優先順位付け、管理するといった問題も出てきます。
こうしてみると、相当困難な課題であると言えます。
シマンテックのコンサルティングサービスは、企業が IT リスクを管理し、コストを抑制し、IT パフォーマンスを最大化するために役立つソリューションを提供します。 シマンテックのコンサルタントは、複雑な企業環境の要件に合ったカスタムソリューションの評価、設計、導入、管理において豊富な経験を有しています。
シマンテックのコンサルタントが提供できる主なサービスの 1 つに、企業のセキュリティプログラムの成熟度評価があります。 シマンテック統合アセスメントサービスは、このプロセスのために開発されました。 具体的には、シマンテック統合アセスメントサービスでは、Symantec Security Management Framework に照合してセキュリティプログラムの成熟度を測定します。
Symantec Security Management Framework は情報セキュリティプログラムに関する多岐にわたる議論に対応する目的で開発されました。 当然 CoBIT や ISO 27002 などの確立済みの標準に沿っていますが、このフレームワークは既存の情報セキュリティ管理環境の理解と評価に役立つよりシンプルな関係モデルを提供します。
シマンテックのコンサルタントはセキュリティプログラム内のリスクに対する優先度を識別、評価、確立します。 コンサルタントは、インタビュー、文書によるレビュー、脅威のモデリング、専門的なツールを用いた技術的スキャンテスト等により具体的な設計領域を調査します。
つまり、この評価は、企業の経営層によるセキュリティプログラムのポートフォリオの評価、優先順位付け、調整、管理、また、セキュリティ体制のよりよい理解に役立てることを目的としています。
シマンテックセキュリティプログラム評価は、セキュリティ標準としての位置付けを意図したものではありません。 むしろ、既存の環境の議論と評価のためのモデルとして作成されたものです。このフレームワークには 7 つの主領域があります。
- セキュリティ戦略
- セキュリティ組織
- セキュリティ運用
- ネットワークとシステムのセキュリティ
- アプリケーションセキュリティ
- データセキュリティ
- コンプライアンス
これらはさらに 1 つあるいは複数の主領域に当てはまる詳細な要素に分類されます。 フレームワークの各要素は複数の軸上で評価され、お客様に対して情報セキュリティの総合的な図式を提供します。
つまり、シマンテックセキュリティプログラム評価とは、企業が限られたリソースでセキュリティの成熟度レベルを引き上げ、ビジネスニーズに対応する方法についてガイダンスを提供するものです。
今日のセキュリティ運用管理とは、進化し続ける脅威と脆弱性から24 時間 365 日体制で企業を保護することを意味します。 これは、増加する規制やポリシーに対するコンプライアンスを保証するものです。 また、あらゆるセキュリティイベントに対してすばやく対処するためのものです。
セキュリティプログラムの成熟度を Symantec Security Management Framework に照合して評価することにより、シマンテック統合アセスメントサービスでは、企業は自社のセキュリティ体制についてより理解を深めることができます。 特に、戦略的な IT リスク管理の優先順位を識別し、セキュリティ体制の強化に重点を置いたセキュリティプログラムを開発し、業務と技術の目標を調整できるようになります。
Hatena
Yahoo
Livedoor
Buzzurl
Delicious
FC2
Google
Newsvine
newsing
Digg
