包括的なセキュリティ評価により、組織は以下のことができます。
- 組織内の資産(ネットワーク、サーバー、アプリケーション、データセンター、ツールなど)を特定する。
- 各資産のリスク・プロファイルを作成する。
- これらの資産によって保存、送信、生成されるデータを理解する。
- 業務に関する資産の重要度を評価する。これには、収益、評判、企業のエクスプロイトの可能性に対する全体的な影響が含まれます。
- 資産のリスク・ランキングを測定し、優先順位を付けて評価する。
- 評価結果に基づいて、各資産に対する緩和策を適用する。
セキュリティ・リスク評価は1回限りのセキュリティ・プロジェクトではないことを理解することが重要です。むしろ、少なくとも1年に1回は行うべき継続的な活動です。継続的な評価により、組織は晒されている脅威とリスクの現状と最新のスナップショットを得ることができます。
Black Duckは、リスクの影響が高い、重要な資産を毎年評価することをお勧めします。評価プロセスでは、さまざまな貴重な情報を作成および収集します。いくつかの例を以下に示します。
- 現在のすべてのアプリケーション、ツール、ユーティリティのアプリケーション・ポートフォリオを作成する。
- セキュリティの要件、ポリシー、手順を文書化する。
- システム・アーキテクチャ、ネットワーク図、システムによって保存または送信されるデータ、外部サービスまたはベンダーとのやり取りを収集する。
- 物理的資産(ハードウェア、ネットワーク、通信コンポーネント、周辺機器など)の資産目録を作成する。
- オペレーティング・システム(PCおよびサーバーのオペレーティング・システムなど)に関する情報を維持する。
- 以下に関する情報:
- データ・リポジトリ(データベース管理システム、ファイルなど)
- 現在のセキュリティ管理策(認証システム、アクセス制御システム、ウイルス対策、スパム制御、ネットワーク監視、ファイアウォール、侵入検知、防止システムなど)
- 監督機関のコンプライアンスに関する、現在の基準となる運用およびセキュリティ要件
- 資産、脅威、脆弱性(影響と可能性を含む)
- アプリケーション、ポリシー、ネットワーク・システムなどの以前の技術・手続き面のレビュー
- 資産に対して特定された各リスクの緩和策のマッピング