Loading
ブログ

サイバーセキュリティ評価: 目標とするセキュリティ体制を達成する方法

サイバーセキュリティ評価: 目標とするセキュリティ体制を達成する方法 hero image

安全性を高めるための各企業の取り組みはそれぞれ異なります。目標とするセキュリティプロファイルに影響を与える要因には、運用リスク、独自の運用ワークフロー、ポリシー、手順、リスク許容度などがあります。

残念ながら、100%リスクを回避するのは不可能です。目指すのは、独自の運用環境に基づいて、許容できるリスクのレベルを確立することです。

産業用セキュリティの強度また態勢を改善するための道のりは複雑に思えるかもしれませんが、それにはそれなりの理由があります。あまりの多くの異なる方法、業界標準、市場で使用可能な技術があるため、今後の道筋は明確ではないかもしれません。"何から始めたらよいのか"と悩まれるのも当然です。

この取り組みを開始する方法の1つは、セキュリティ評価を使用することです。簡単に言うと、セキュリティ評価はシステムまたは組織のセキュリティ態勢の体系化された測定です。

適切に使用すれば、現在のセキュリティ態勢を評価し、現在の状態と理想的な目標状態との間のギャップを特定し、目標のセキュリティ態勢に向けた明確な手順を提示するための非常に効果的な方法となります。

サイバーセキュリティ対策評価
ワークショップで働く、安全ジャケット、ヘルメットを着用して立っている女性のプロジェクトマネージャと男性のエンジニアが話をしながら、デジタルタブレットを使い、近代的な工場のCNCマシンによる組立ラインを監視している:ワークショップで働く、安全ジャケット、ヘルメットを着用して立っている女性のプロジェクトマネージャと男性のエンジニアが、話をしながら、デジタルタブレットを使い、CNCマシンによる組立ラインを監視している
評価
サイバーセキュリティ対策評価

ビジネスがサイバー犯罪の対象になるかどうかではなく、いつ被害を受けるか、が問題なのです。このクイズに答えて、サイバーセキュリティの対策を評価してください。

評価を受ける

評価のタイプ

「セキュリティ評価」という言葉にはさまざまな意味があるため、イニシアチブの意図に基づいて評価の範囲を適切に設定することが重要です。最も一般的なタイプの評価では、セキュリティプログラムで実行する手順に影響を与える可能性のあるさまざまな結果が得られる可能性があります。

  1. 脆弱性評価: 環境内に存在する既知の脆弱性を特定し、それらを修正するためのアクションプランを策定します。
  2. ギャップ分析: 組織の既存のセキュリティ態勢と、そのセキュリティ態勢の理想的な目標状態との間のギャップを特定します。ギャップ分析は通常、企業または業界の標準を考慮し、目標とするセキュリティ態勢を実現するために必要な手順を明確に定義することを目的としています。
  3. リスクアセスメント: 組織のセキュリティ態勢のより包括的な視点を提供します。リスク評価では、脆弱性評価とギャップ評価の要素を組み合わせて、組織のリスク許容度と理想的な組織のセキュリティ態勢に対する既知のリスクを特定して評価します。
  4. セキュリティ監査: この評価ベースのサービスは、通常、NERC-CIPやその他の標準への準拠を徹底するために、所定の業界標準や要求事項に対する組織のセキュリティ態勢と実行状況を監査します。

上記は一般的なタイプのセキュリティ評価ですが、選ぶ前に、まずは意図した目的を理解することから始めることが重要です。これは、期待値を適切に設定し達成するため、およびサイバーセキュリティプログラムを推進させる最も効果的な評価を選択するために重要です。
 

現実的に取り組む

組織に適した評価の種類を検討するときは、評価はある時点のスナップショットであることを忘れないでください。組織のセキュリティプログラムに対する唯一のソリューションと見なすべきではありません。評価は、メンテナンス、管理および技術管理が目指すリスク許容度に適切なものかを確認するための定期点検のようなものです。

予算およびリソースが限られ、組織全体の評価を実施できない場合、評価の範囲を組織のベースラインとなる部分に縮小する「代表標本アプローチ」を使用することも考えられます。
 

すべてをまとめる

セキュリティ評価は、現在のセキュリティ態勢を評価するための効果的なツールとなり得ますが、目標とするセキュリティプロファイルを実現するには、適切に選択し、範囲を設定し、明確で実行可能な手順を示した現実的なロードマップと組み合わせる必要があります。適切なプロバイダであれば、評価と堅牢なセキュリティプログラムの作成をお手伝いできます。

当社のサイバーセキュリティソリューションの詳細情報を表示する
ビデオ
サイバーセキュリティインシデント対応計画: 対応準備完了

当社では産業プロトコル内での運用機能を理解しているプロバイダの産業用セキュリティソフトウェアを統合し、お客様のネットワークの安全を強化し、インシデントに対応します。

公開 2019年4月29日

Quade Nettles
Quade Nettles
Product Manager for Cybersecurity Services, Rockwell Automation
Quade Nettles manages services associated with cyber security at Rockwell Automation. Quade’s primary responsibility is to develop the strategic roadmap for industrial cyber security services, which include consultative services like risk assessments and 24x7 managed support services. Since joining Rockwell Automation in 2012, Quade has held various positions with increasing responsibility in both technical and project management roles. Prior to his current position Quade served as a Global Program Manager of a cyber security program. Quade holds Bachelor of Business degree in Computer Information Systems from the University of Toledo and a Master of Business Administration degree from Cleveland State University.
購読申込

最新ニュースと情報をお受け取りになるには、ロックウェル・オートメーションのメールマガジンの購読申込をお願いいたします。

購読申込

お客様へのご提案

Loading