ネット管理者

IT セキュリティ監査を実行する方法 – ステップバイステップのガイドとツール

IT セキュリティ監査を実行する方法



沢山あります IT システムに対する脅威 また、ハッカー攻撃だけが潜在的な問題の原因ではありません。また、内部関係者による脅威や、データの偶発的な損失や損傷に対して確実に対処する必要があります。強力なシステム セキュリティを確保するには、実行する必要がある作業が数多くあります。

実行する必要があります 定期的なITセキュリティ監査 セキュリティ戦略にギャップが存在しないことを確認します。 IT セキュリティ監査を実施する場合は、チェックリストに基づいて系統的に作業する必要があります。アドホック チェックでは、考えて対処したセキュリティ問題を確認するだけで済むためです。



見落としていたシステム セキュリティの部分こそが、ビジネスのアキレス腱となるのです。

以下に、最適な 4 つの自動 IT セキュリティ ツールのリストを示します。

  1. SolarWinds Access Rights Manager (無料トライアル) 組織全体で Active Directory の実装を制御し、ユーザーの認証情報を厳格化します。
  2. Papertrail (無料トライアル) 監査のためにアーカイブにアクセスできる包括的なログ マネージャー。
  3. ManageEngine EventLog Analyzer (無料トライアル) 標準への準拠を示すようにカスタマイズできるセキュリティ ツール。
  4. ロジックゲート クラウドベースのITリスク評価システム。

ITセキュリティ監査とは何ですか?

監査はシステムの評価です。がある さまざまなレベルのセキュリティ監査 そしてそれを実行するさまざまな理由。監査は自動ツールを使用して社内で実行できますが、セキュリティの弱点を生み出す作業慣行を特定して調整するために外部コンサルタントの協力が必要な場合もあります。



自動化された IT セキュリティ監査とも呼ばれます。 脆弱性評価 、手続き上の問題は次のように対処されます。 危機管理 。外部監査のコストと中断は不快な場合があるため、この種の IT セキュリティ監査は自動システム スキャンよりも頻度を低くスケジュールすることをお勧めします。標準に準拠した監視ソフトウェアをインストールすると、コンプライアンス監査タスクが自動的に実行されます。

適応可能な監視ツール 規格準拠テンプレート 人間の介入なしに一連の作業慣行を課し、コンプライアンス文書を作成します。 IT セキュリティ監査は、ソフトウェアを適用したベスト プラクティスを導入することで容易になります。

セキュリティ監査の種類

IT セキュリティ監査では、システムと作業慣行を調査し、データ侵害の発生を可能にする可能性のある弱点を探したり、データ侵害が発生した証拠を探します。監査人の役割は専門職であり、専門家向けに認定を発行する標準化団体があり、専門家が協会の会員となり、知識を証明する試験を受けることができます。そのため、IT セキュリティ監査を実施する資格を持つ認定情報システム監査人および認定インターネット監査人が存在します。

内部監査

名前が示すように、内部監査は組織のメンバーによって実行されます。内部監査は通常、 取締役会の指揮により IT 部門が実施する選択的な演習ではありません。監査の要求では、達成すべき基準も指定する必要があります。

内部監査は通常、頻繁に実施されるものではありません。これは、企業が外部監査に合格することを保証するシステム評価である場合があります。

ITセキュリティ監査の目的は、 問題を特定する IT 部門のマネージャーは気付かず、それらのマネージャーが考えてもいなかった潜在的な抜け穴を示唆するため、その同じマネージャーは監査の議題を設定するのに適した人物ではありません。

一部の大企業には内部監査部門があります。非常に大規模な企業だけが、事業を行うことを正当化できる量と事業範囲を持っています。 資格のあるIT専門監査人 スタッフで。中小企業の監査部門は、IT セキュリティ監査期間中の監査チームを強化するために、専門の IT セキュリティ コンサルタントを雇用する場合があります。

外部監査

外部監査にはさらに多くのことが含まれます 権限 内部監査よりも。外部監査人は被監査会社から報酬を得ているが、その監査業務は独立したものとなることが期待される。 IT システムを肯定的に見せるために監査結果をごまかすという圧力にさらされてはなりません。

外部監査の背後にある原動力は、通常、IT システムにセキュリティ上の問題がないことを証明するという契約上の要件または企業の法的義務です。現在、IT セキュリティ監査の主な目的は、次のようなデータ セキュリティ標準への準拠を証明することです。 ヒパアPCI-DSS 、 または ソックス

ITセキュリティ監査手法

IT セキュリティ監査の 2 つのフレームワークは次のとおりです。 手動監査 そして 自動監査 。実際には、監査人はシステムからデータを抽出するツールに依存しているため、IT 監査が完全に手動になることはありません。同様に、人間が自動化ツールのパラメータを設定し、その出力の正確性をチェックする必要があるため、監査を完全に自動化することはできません。ただし、手動監査では自動監査よりも人間の関与が多くなります。

手動監査

手動監査は時間もコストもかかります。価値があり権威あるものとなるためには、監査を実行する人々は次のような必要があります。 資格のあるIT監査専門家 、高い給料を要求する人。

プロの監査人は、注意すべき重要な要素に監査を指示する経験と、監査が系統的かつ徹底的に実行されることを保証するトレーニングを受けています。

手動監査には、以下を含めることができるという利点があります。 主要スタッフへのインタビュー 。 IT システムを運用している人の能力を評価できます。手動監査では、主要な IT 機器の場所や企業が講じている物理的なセキュリティ対策など、地理的な問題もカバーできます。

手動監査の有効性は、調査員を率いる上級監査人の能力と評判、および監査を実行するチームに注がれる信頼に依存します。

自動監査

コンピュータ支援監査技術 (CAAT)は完全に自動化されているわけではありません。監査の実施とその結果をチェックし検証する人が必要です。ただし、CAAT は従来の手動監査よりもはるかに簡単に実行できます。

自動監査は、 さらに効果的な それらが恒久的に設置されるとき。 IT セキュリティ監査の文書ベースは、時間の経過とともに構築され、各トランザクションとイベントが発生するたびにチェックされます。したがって、自動監査を段階的に実行できます。監査レポートを提出する必要がある場合、すぐに抽出できます。

継続的な監査を実施 自動処理 また、IT 部門の業務を厳しく制限し続けます。 IT システムに組み込まれた標準テンプレートにより、ずさんな業務慣行が防止され、外部当局が要求する監査に企業が失敗する可能性が低くなります。

以下も参照してください。 最高のネットワーク セキュリティ監査ツール

ITセキュリティ標準

財務監査は税務当局によって要求されますが、IT セキュリティ監査は通常、契約上の義務や業界の慣例に基づいて、データ保護標準に準拠するという要件によって推進されます。コンプライアンス証明のために監査を必要とする主な規格は次のとおりです。

  • PCI-DSS – PCI-DSS は支払いカード処理要件です。 PCI-DSS 認定がなければ、企業は顧客から支払いを受けることはできません。 PCI-DSS 標準は、企業の IT システム全体のセキュリティには関心がなく、支払いカードの詳細と顧客の個人情報のみに関心があります。
  • ヒパア – この基準は、医療業界およびそれを提供する企業に適用されます。患者様の個人情報に関わるものです。
  • ソックス – SOX はサーベンス・オクスリー法の略です。これは、企業が収益性と財務的存続可能性に関する報告書を改ざんすることを防止することを目的とした米国の国家法基準です。この基準は米国企業にのみ適用されますが、米国企業のすべての海外子会社にも同様に導入する必要があります。
  • GDPR – このデータ保護基準は EU 諸国に適用されます。ただし、EU 内でのビジネスを希望する非 EU 企業は対象です。特に、デジタル形式で保持される個人を特定できる情報 (PII) のセキュリティに関連します。
  • ISO/IEC 27000 – 国際標準化機構 (ISO) によって作成された一連の標準。これらの基準は直接的なものではありません。ただし、これらは多くの場合、サプライヤーなどの関連会社と契約を作成する際に企業によって設定される要件です。

ITセキュリティ監査の頻度

財務監査とは異なり、IT セキュリティ監査の頻度について政府が強制する包括的な要件はありません。 IT セキュリティ標準の多くには次のものがあります。 認定の更新 、監査が必要です。これらの規格のいずれかに対する認定を求める場合は、その特定の規格の監査要件に従う必要があります。

財務監査と IT セキュリティ標準の認定は毎年実施するのが慣例であり、それが IT セキュリティ監査のベスト プラクティスです。

プロアクティブな自動監査が行われる 継続的に 。継続的な監査により、標準監査に必要なすべての文書が提供されます。外部監査が命じられた場合、監査を受ける企業の要件は、次のことを行う必要があります。 すべての記録が利用可能 警告なしに検査を受けるため。

IT セキュリティ監査の一般的なトリガーは、以下の発見です。 データ侵害 または重大なサイバーセキュリティ攻撃。攻撃から回復した後、企業幹部は、新たなセキュリティインシデントが起こらないようにするため、IT セキュリティ監査を要求する可能性があります。

ITセキュリティ監査のヒント

IT セキュリティ監査は非常に混乱を招く可能性があります。特に手動監査では、監査人の情報要件をサポートするために、IT スタッフが通常の活動から時間を割く必要があります。監査の準備には、関連するすべての記録を見つけて適切な形式で利用できるようにする必要があるため、非常に時間がかかる場合もあります。

監査をスムーズに実行し、進行中の IT 部門の活動への中断を最小限に抑えるために実行できる手順があります。

  • 機密データを特定する – 標準に基づく IT セキュリティ監査は、ペイメント カード データ (PCI-DSS の場合) や個人情報 (HIPAA の場合) など、1 つの特定のデータ プールに焦点を当てます。このタイプのデータのすべてのデータ ストアの場所を特定します。可能であれば、すべての重要なデータ タイプを一元管理し、そこにセキュリティの取り組みを集中させます。一元化が不可能な場合は、データが保存されているすべての場所に高度なセキュリティ対策が適用されていることを確認してください。
  • ログファイルを管理する – データ標準では、外部監査人による検査のために、すべてのログ ファイルが通知なしにオンデマンドで利用可能であることが求められています。この要件の保存期間は規格によって異なります。アーカイブは問題ありませんが、アーカイブは検査のためにライブで利用できる状態に簡単に復元できる必要があります。
  • リソースアクセスの制御 – データ層へのアクセスとアプリケーションの機密性を調整するアクセス権管理ポリシーを制定します。データ侵害を適切に調査できるように、すべてのアクセス イベントを記録します。
  • 安全な作業慣行を徹底する – パスワード ロッカーと認証情報配布システムを使用し、ログイン認証情報を電子メールまたは紙に書いて送信する必要を排除します。すべてのアクティビティが IT システムのフレームワーク内で実行されていることを確認し、自動的にログを記録して追跡できるようにします。

どちらであるかを正確に把握してください データ標準 準拠することが期待されている規格と、その規格がどのようなデータまたはトランザクションに関連しているか。可能な限り手動プロセスを削除し、IT システム内のすべてのアクティビティを記録します。

ITセキュリティ監査チェックリスト

IT 部門があらゆる監査要求に即座に対応できるようにすることで、監査プロセスを容易にします。

  • 準拠する必要がある監査基準を指定します。
  • 監査の対象となるリソースを特定します。
  • システムセキュリティの責任を、さまざまなシステム属性の主要担当者に割り当てます。
  • データ セキュリティ マネージャーをトレーニングして、責任を十分に認識できるようにします。
  • 現在のシステム セキュリティ ソフトウェアをリストします: ファイアウォール、AV、SIEM ツールなど。
  • すべてのソフトウェアとオペレーティング システムに完全にパッチが適用され、最新バージョンに更新されていることを確認します。
  • ログ アーカイブを検索できることを確認します。
  • 一連のセキュリティ ポリシーを作成し、デジタルまたは紙で特定のフォルダーに保管して文書化します。
  • 定期的にシステムの脆弱性スイープを実行します。
  • サーバーへの物理的なアクセスを強化し、担当者のセキュリティ アクセス レベルを文書化します。
  • 一元的な認証制御を実装します。
  • すべてのユーザー アカウントにパスワードの強度、2FA、およびパスワードのローテーションを適用します。
  • 非アクティブなアカウントを削除します。
  • データ損失を防ぐために、周辺機器制御とリバース ファイアウォールを実装します。
  • すべてのデータ送信に暗号化を適用します。
  • 自動セキュリティ スキャンとアクティビティ ログを実装します。

外部監査チームが到着した場合、上記の手順により、IT スタッフが通常の業務を停止することなく、包括的なセキュリティ監査を実行できるようになります。

最高の自動化された IT セキュリティ監査ツール

アクティビティを制御するシステムを導入して安全でない労働慣行を阻止し、監査文書を段階的に編集します。これらのツールは、あなたが確実に 常に準拠している データセキュリティ標準に準拠しており、あらゆるフラッシュ監査に簡単に合格できます。

ITセキュリティ監視ツールの選択方法

私たちはセキュリティ監視システムの市場を調査し、次の基準に基づいてツールを分析しました。

  • アクセス権管理データの評価
  • ログの収集と関連付け
  • データプライバシー基準に合わせた評価
  • 自動評価ツール
  • フォーマットされたコンプライアンスレポートテンプレート
  • 無料の評価の機会を提供する無料トライアルまたはデモ パッケージ
  • 時間を節約し、手頃な価格で提供される監査ツールのコストパフォーマンス

これらの選択基準を念頭に置いて、IT システム監査要件をサポートするために検討すべきさまざまなツールを特定しました。

1. SolarWinds Access Rights Manager (無料トライアル)

SolarWinds アクセス権マネージャー ダッシュボード

SolarWinds アクセス権マネージャー標準準拠手順に従って作成されたため、次の基準に準拠するための検証済みのツールです。 GDPRPCI-DSSヒパア 、その他のデータ セキュリティ標準。監査レポートは Access Rights Manager に組み込まれているため、内部監査と外部監査の両方をより迅速かつ簡単に完了できます。

主な特徴:

  • ユーザーアカウント管理
  • アカウントのクリーンアップ
  • Active Directory上で動作
  • PCI-DSS、HIPAA、GDPRへの準拠
  • ユーザー向けのセルフサービス ポータル

このソフトウェアは次の場所にインストールされます Windowsサーバー そしてそれは注目する アクティブディレクトリ 実装、サイトおよびアプリケーション全体のアカウント管理を一元化します。これには、安全でないアカウントや非アクティブなアカウントを特定できるアカウント分析機能が含まれています。また、 セルフサービスポータル ユーザーが自分のアカウントを更新できるようにし、パスワードの強度と更新ポリシーを適用できます。 SolarWinds Access Rights Manager の 30 日間の無料試用版を入手できます。

長所:

  • 自動マッピングと視覚化により、権限とファイル構造を明確に把握できます。
  • 事前構成されたレポートにより、コンプライアンスを簡単に実証できます
  • スキャン後にコンプライアンス問題の概要が説明され、修復アクションと関連付けられます。
  • システム管理者は、Windows やその他のアプリケーションのアクセス権と制御をカスタマイズできます

短所:

  • SolarWinds Access Rights Manager は、システム管理者向けに設計された詳細なプラットフォームであり、完全に習得するには時間がかかる場合があります。

SolarWinds Access Rights Manager 30 日間の無料トライアルを開始する

二。 Papertrail (無料トライアル)

ペーパートレイル

ペーパートレイルクラウドベースのログ管理サービス 優れたデータ可用性管理機能を備えています。ログ メッセージは、サイトにインストールされたエージェントによって Papertrail サーバーにアップロードされます。ログ ファイル サーバーは、ログ メッセージを標準化された形式で分類、統合、保存するため、ログ メッセージによって生成されたものを含むあらゆる種類のログ メッセージを処理できます。 Windowsイベント そして シスログ 。ログ メッセージは、検索、並べ替え、分析のためにログ ファイル ビューアを介して利用できます。

主な特徴:

  • クラウドベース
  • Windows イベントと Syslog を収集して統合します
  • ログのアーカイブと復活

Papertrail には非常に便利な機能があります アーカイブする 検査のためにファイルをライブ領域に戻すことができるメカニズム。これはデータ標準監査人が必要とする非常に重要な機能であり、自動化された IT セキュリティ監査ツールとして役立ちます。

長所:

  • クラウドホスト型サービスにより、新しいインフラストラクチャに投資せずにログ収集を拡張できます
  • 転送中と保存中のデータを暗号化します
  • バックアップとアーカイブは自動的に行われ、サービスの一部です。
  • シグネチャベースの検出と異常検出の両方を使用して、可能な限り徹底的な監視を実現します
  • 無料版も含まれています

短所:

  • すべての機能とオプションを十分に検討するには時間を費やす必要があります

Papertrail のデータ処理容量、有効期間、ストレージ容量は、6 つのプランのうちどれを選択するかによって異なります。がある 無料版 1 か月あたり 50 MB のデータを処理します。

Papertrail 無料版<50GB/month

3. ManageEngine EventLog Analyzer (無料トライアル)

ManageEngine イベントログアナライザー

ManageEngine イベントログアナライザー 包括的なログ管理ルーチンを提供します。ログ メッセージを収集して統合し、インデックスを作成してファイルに保存します。ログ ファイルは意味のあるディレクトリ構造で作成されるため、分析のために簡単にアクセスできます。また、イベントの評価を容易にする分析機能も備えています。

主な特徴:

  • ログコレクターと統合者
  • Windows イベント、Syslog、およびアプリケーション ログ
  • PCI-DSS、GDPR、SOX、HIPAA、および ISO 27001 への準拠
  • コンプライアンスレポートテンプレート

ManageEngine は、データ保護標準を念頭に置いて EventLog Analyzer を設計しました。システムを適応させるテンプレートがあり、コンプライアンスを強制およびサポートします。 PCI-DSSヒパアGDPRソックスISO27001、 およびその他の規格。

長所:

  • ネットワーク オペレーション センターに最適なカスタマイズ可能なダッシュボード
  • 複数のアラート チャネルにより、SMS、電子メール、アプリの統合を通じてチームに確実に通知が届きます
  • 異常検出を使用して技術者の日常業務を支援します
  • ランサムウェア、データ盗難、権限アクセスの問題に対する早期警告システムとして機能するファイル整合性監視をサポートします。
  • フォレンジック ログ監査機能を使用すると、管理者は法的事件や調査のためのレポートを作成できます。

短所:

  • 1 回限りの監査よりも継続的な監視に適しています

EventLog Analyzer のソフトウェアは次の場所にインストールされます。 Windowsサーバー そして Linux 。で入手できます。30日間の無料トライアル

ManageEngine EventLog Analyzer 30 日間の無料トライアルを開始する

四。 ロジックゲート

ロジックゲート

ロジックゲート は、クラウドベースのガバナンス、リスク管理、コンプライアンス (GRC) ツールです。 LogGate のサービスには、次のような特定のデータ標準に合わせて調整できる IT セキュリティ リスク評価システムがあります。 GDPRPCI-DSS 、 そして ソックス

主な特徴:

  • クラウドベース
  • GDPR、PCI-DSS、SOX への準拠
  • リスクアセスメント

このサービスは、お客様の業界と準拠する必要がある標準に合わせたリスク フレームワークを作成します。 LogicGate では、 ITセキュリティ監査ガイドライン 、これは、評価前のチェックに役立つだけでなく、監査自体を実行するためのツールとしても役立ちます。

長所:

  • GDPR およびその他の一般的なコンプライアンス標準をサポート
  • サードパーティが安全かつ監査可能な方法でデータ要求を行うことができる顧客ポータルを備えています
  • 自動アラートにより、チームはコンプライアンスの問題や違反について常に情報を得ることができます
  • システム管理者は独自の資産インベントリを構築し、ニーズに基づいてカスタム権限を適用できます。

短所:

  • 価格設定が不透明
  • デモを希望するには営業担当者に連絡する必要があります。無料ダウンロードはできません
^