サイバーセキュリティに関しては、物理セキュリティの専門家と IT の専門家にとって同様に理解するのに役立つ用語や概念が数多くあります。多くの場合、これらの用語は誤って使用されたり、置き換えられたりするため、混乱が生じる可能性があります。

脆弱性、エクスプロイト、バックドア

最も混同されやすい用語の 3 つは、脆弱性、エクスプロイト、バックドアです。これらの用語にはそれぞれ、明確に異なる定義と目的があります。

A脆弱性システムまたはシステム内の一部のソフトウェアの欠陥であり、攻撃者にホスト オペレーティング システムまたはソフトウェア自体のセキュリティ インフラストラクチャをバイパスする方法を提供する可能性があります。これは開いたドアではなく、攻撃された場合に侵入できる可能性がある弱点です。すべてのソフトウェアには欠陥や脆弱性があり、通常は時間の経過とともに発見されます。ソフトウェア会社の内部テストでは、通常、リリース前にそれらをすべて排除しようとしますが、すべての異なるネットワークやシステム統合でソフトウェアをテストすることは不可能です。

---

脆弱性スキャンは、脆弱性が悪用されたことを意味するものではありません。

---

攻撃者がソフトウェアのコードまたはシステムの脆弱性を発見すると、悪用悪意のある行為を目的としてその脆弱性を利用する方法を丹念に考え出すことで達成されます。悪用とは、脆弱性 (弱点) をシステムに侵入する実際の方法に変えようとする行為です。脆弱性を「悪用」して、システムを攻撃するための実行可能な方法に変えることができます。

ソフトウェアの脆弱性を悪用するのは難しい場合があります。たとえば、Google は、Chrome Web ブラウザの脆弱性を発見したセキュリティ研究者に報酬を与えています。 Google が支払う支払い額は 500 ドルから 3,000 ドルの範囲です。ただし、セキュリティ専門家が悪用された脆弱性を発表するためのコンテストも開催しています。これらの専門家は、その仕事に対して、はるかに高額の賞金 (最大 60,000 ドル) を受け取ります。支払い額の違いは、脆弱性を悪用しようとする際の作業の規模を反映しています。

バックドア多くの場合、デバイスの管理機能への入り口であり、コード開発者によって意図的にそこに配置されます。新しいコードや機能が追加されるときに何が起こるかを予測するのは難しいため、これはコード開発では一般的なことです。開発プロセス中に何か問題が発生した場合、開発者はバックドアを使用してコードまたはデバイスに戻ることができます。バックドアは通常、顧客が使用できるようにリリースされる前にコードから削除されます。

脆弱性スキャンと侵入テスト

前述の用語と同様、サイバーセキュリティに関連する評価やテストはしばしば混同されます。最も一般的な 2 つは、脆弱性スキャンと侵入テスト (ペネトレーション テストまたはペネトレーション テストとも呼ばれます) です。

A脆弱性スキャンは、潜在的な脆弱性または既知の脆弱性を探して報告する、自動化された高レベルのテストです。対照的に、a侵入テストシステムの弱点を検出して悪用しようとする実際の担当者によって実施される、詳細な実践的な検査です。

脆弱性スキャンは、既知の脆弱性を製品の現在のソフトウェア/ファームウェアのバージョンおよび構成と比較する、ある時点のスナップショットです。脆弱性スキャンは、脆弱性が悪用されたことを意味するものではありません。さらに、脆弱性スキャンでは将来の脆弱性を予測することはできません。これらはドキュメントを求めてデバイスをスキャンするだけであるため、システム全体のセキュリティを証明するものではなく、フォローアップする必要があります。

ガバナンス、リスク管理、コンプライアンス、規制

ガバナンス、リスク管理、コンプライアンス (GRC) は、規制とともにすべて密接に関連した概念であり、組織が確実に目標を達成し、不確実性に対処し、誠実に行動することを保証することを目的としています。 

ガバナンス取締役 (または取締役会) によって確立および実行されるプロセスの組み合わせであり、組織の構造と、目標達成に向けて組織がどのように管理および導かれるかに反映されます。

---

結局のところ、企業は規制、つまり最低限の要件を遵守する必要があります。

---

ガバナンスは、企業が遵守しなければならない外部規制だけでなく、リスクと脅威を管理するために企業が自らに適用する内部ガイダンスでも構成されます。これにより、規制で義務付けられている以上にビジネスが保護されます。例としては、PCI-DSS支払いおよびクレジット カード データを保護するための暗号化の使用に関する規制を銀行に課します。銀行の内部ガバナンスでは、企業ネットワーク上のすべてのデータの暗号化を要求するポリシーを作成することで、事態をさらに進めることができます。現在、銀行は支払いデータだけでなく、そのすべてのデータを保護しているため、他の重要なビジネス情報が傍受されるリスクがさらに軽減されています。

リスク管理不確実性の下で組織が確実に目標を達成することを妨げる可能性のあるリスクの予測と管理が含まれます。

リスク管理に関して言えば、企業が潜在的なサイバーセキュリティ リスクを、その可能性と潜在的な影響の観点から評価することが良い出発点となります。その際、企業にとって、目標の達成に役立つデータ、デバイス、システム、設備を特定し、それらの責任者を特定することが重要です。これには、デバイス、システム、ソフトウェア、ファームウェアなどのインベントリが含まれます。ミッションクリティカルな目標を特定する。手順とセキュリティポリシーを特定する。次に、リスク評価を実行し、リスク管理計画を決定します。企業の評価プロセスをサポートする強固なリスク管理フレームワークが存在します。良い例は次のとおりです。

コンプライアンス義務付けられた境界 (法律や規制) および自主的な境界 (企業ポリシー、手順など) を遵守することです。

本質的に、コンプライアンスとは、企業がガバナンスと規制によって概説された管理目標を順守していることを確認するプロセスです。これは、(銀行の例のように) すべてのデータが暗号化されていることを確認するためのテスト (侵入テストまたは内部テスト) で構成されます。また、企業が定められたポリシーを行動で裏付けていることを証明する文書や証拠も提供します。

これは重要です。なぜなら、次のような規制があるからです。,または—外部監査人は、企業がポリシーに記載されているとおりに実行していることを検証します。

誰かがデバイスの構成を誤って暗号化されていない場合、侵害が発生する可能性があるため、このプロセスは重要です。この場合、銀行は裁判所に対して過失がなかったことを証明しなければなりません。銀行は、ポリシー、テスト、監査を通じて、企業が侵害を防止するための措置を講じたことを証明する必要があります。コンプライアンスは、ビジネスが無謀ではなかったことを証明するのに役立ちます。企業に過失があった場合、企業が支払う罰金や罰金は何倍にもなるのは明らかです。

規制所定の責任範囲内で規制やルールに基づいて適切な行為を監督し強制する権限を与えられた政府行政機関による管理です。

規制 (および法律、または規制案) は企業に義務付けられているものです。規制には、契約、法定、規制という 3 つの基本的な形式があります。企業が運営しているビジネスの種類に応じて、他の企業と比較して多かれ少なかれ規制上の義務があります。たとえば、コーヒー ショップ チェーンの規制義務は、病院、銀行、または政府の請負業者よりもはるかに少なくなります。

結局のところ、企業は規制、つまり最低限の要件を遵守する必要があります。その目的は、これらの最小要件を考慮してポリシーを作成し、そこから制御目標を抽出することです。多くの場合、規制は政策の出発点となります。

リスクと脅威

リスクと脅威という 2 つの用語は、しばしば同じ意味で使用されるため、誤って使用されます。これらの用語をよりよく理解するには、保護しようとしている資産があり、すべての資産と同様に脆弱性があると考えてください。脆弱性が存在するため、脅威誰かがその脆弱性を悪用する可能性があるということ。脅威の規模は、誰かが脆弱性を悪用する可能性によって異なります。リスク脅威が実際に発生した場合、または脆弱性が悪用された場合に、ビジネスに対する潜在的な影響または資産の損失です。    

CISSP の Wayne Dorris は、Axis Communications のサイバーセキュリティ事業開発マネージャーであり、Security Industry Association のサイバーセキュリティ諮問委員会の委員を務めています。