セキュリティ管理

セキュリティ管理とは

セキュリティ管理とは、企業のIT資産の目録を作成し、内部および外部の脅威とサイバー脅威からその資産を保護する計画を策定して文書化するプロセスを指します。対象となる資産のタイプは組織によって異なりますが、通常は、従業員、物的設備、テクノロジー、データが含まれることになります。分類だけにとどまらない、徹底した分析により、潜在的なセキュリティリスクを特定するとともに、特にサイバーセキュリティに関連する脅威を管理、対応、解決する方法を周知することができます。

国際標準化機構 (ISO) と国際電気標準会議 (IEC) が共同発表した一連の要件と推奨事項は、ISO/IEC 27001と呼ばれるセキュリティ管理システムの周知と認定に役立つもので、2003年に初めてオランダで策定され、2013年に更新されています。現在は、ITおよびデータセキュリティ戦略を策定する際の基準となっています。

セキュリティ管理が重要となる理由

セキュリティ管理が重要となるのは、企業や組織がインフラストラクチャを損失、盗難、障害から保護する際の信頼できる確かな基盤になるという、主にサイバーセキュリティ上の理由からです。企業、中でも分散ネットワークや複数の拠点にわたって膨大なデータやアプリケーションなどのワークロードを処理する企業は、徹底した分析と評価を行うことで、サイバー攻撃の発生を回避しつつ、攻撃時および攻撃後のダウンタイムを最小化してリカバリまでの時間を短縮できます。

またセキュリティ管理では、正式なドキュメントによってITの役割と手順を定めることで、役割の混乱、ヒューマンエラーやミスをなくし、業界標準や規制を遵守できます。セキュリティ管理により、新しいコンポーネントやインフラストラクチャを追加するプロセスを標準化することも可能です。

セキュリティ管理の仕組み

セキュリティ管理プロセスは、一般的に3つの段階 (評価、認識、対応) に分類されます。

アセスメント

この段階では、セキュリティリーダーがITポリシーのフレームワークを策定します。まずは、すべてのIT資産 (すべてのデバイス、各ハードウェアおよびソフトウェアなど) を詳細にリスト化し、組織のビジネスニーズやコンプライアンスニーズと照合するとともに、既存のIT資産の脆弱性や不備を入念に確認して認証プロトコルを割り当てます。完了したら、その結果に基づいてITリーダーがポリシーと手順の作成を指示します。

入門

セキュリティ管理システムが導入できたら、次は、結果を共有しながら、ITチームだけでなく組織内のすべての従業員にトレーニングを行います。こうした教育には、基本的なサイバーセキュリティのベストプラクティスから、サードパーティプロバイダーの詳細な役割と責任範囲まで含まれることがあります。

有効化

最終段階には、コンプライアンス戦略の実施、包括的な監視と対応、定期メンテナンスなど、いくつかの重要なアクションが含まれます。この段階が最後のアクションとも言えますが、必要に応じて (新たなビジネスニーズに対応したり、新しいテクノロジーを導入したり、新たな脅威に対応したりするために) 継続的に改訂する必要があります。

セキュリティ管理を導入しない場合のリスク

ITシステムをエンドツーエンドに把握または保護できていなければ、壊滅的な被害につながる可能性があります。サイバー攻撃者などのサイバー脅威がネットワークに侵入する方法を見つけてデータやリソースを破損、盗難、破壊するだけでなく、そうしたセキュリティ侵害が社外の人にまで影響を与えることがあります。たとえば、ハクティビストが石油やガスの生産事業を妨害することが、収益の減少やサプライチェーンの中断、ガス価格の上昇などの一連の問題を引き起こし、最悪の場合、安全機能の低下によって従業員が負傷する可能性もあります。また、セキュリティ対策に問題があるという評判は、企業の社会的評価だけでなく、業界内での地位、将来の成長可能性も低下させることになります。

組織内では、セキュリティ管理により、IT環境の管理をより効率的でプロアクティブなものに変えることができます。それを行わなければ、セキュリティ管理の不備によって脅威の特定と対応に時間がかかり、ルールや責任が不明確になり、進化するサイバーセキュリティの問題に対応できなくなり、イノベーションの可能性を狭めることにもなります。

クラウドセキュリティ管理とは

クラウドセキュリティ管理はセキュリティ管理の下位分野です。クラウドセキュリティポリシーの策定も同じようなプロセス (評価、認識、対応など) を経ますが、物的資産よりもクラウド向けインフラストラクチャに重点を置きながら、厳格なアクセス制御、データ暗号化と分析、プロアクティブな監視によってデジタル資産を保護することを最終目標とします。

強固なクラウドセキュリティ管理により、ITの柔軟性が向上して自動化の機会が増大します。従来のセキュリティ管理と同様に、コンプライアンスと評価を維持しつつ、ITチームの負荷を軽減できます。人工知能 (AI)機械学習 (ML) に監視などの作業を任せることで、ITチームは負荷の高い通常業務に費やす時間を短縮できます。

HPEとセキュリティ管理

HPEは、高性能なハードウェアからエンドツーエンドのソリューションに至るまで、ハイパフォーマンスかつセキュアな製品およびサービスポートフォリオを提供していることで知られています。これらのサービスはエンタープライズレベルの環境向けに設計されており、既存のセキュリティ戦略を強化して、セキュリティを時間を奪う障害ではなくイノベーションのアクセルへと変えることができます。

HPE Security and Digital Protection Servicesなどのオプションでは、アダプティブモデルと業界の専門知識を活用したエッジ、クラウド、およびデータ保護を提供します。ゼロトラストセキュリティやDevSecOpsなどの最新の手法とNISTなどの業界標準を含むリスクおよびセキュリティ管理ソリューションにより、新たなサイバー脅威やテクノロジーイニシアチブにも対応できます。インフラストラクチャ独自のセキュリティを実現するため、HPEのセキュリティソリューションは、分散ネットワークにおけるシリコンからクラウドまでの防御を実現します。

その他のHPEのセキュリティソリューション (Project Cosignoなど) は、アイデンティティ認証に重点を置いています。ゼロトラストプロトコルに基づいたProject Cosignoは、セキュリティとインフラストラクチャの設計チームにWebスケールの統合型プラットフォームを提供し、サービスIDの仲介と発行を行います。他の方法と異なり、このソリューションではオープン標準 (SPIFFE) に基づいて、スケーラブルで暗号化された、プラットフォームに依存しないIDが提供されます。それにより、セキュリティ全般を強化しながらセキュリティ運用と開発者の生産性を向上させ、アプリケーションのオンボーディングを簡素化するとともに、クラウドやコンテナの導入を促進できます。