1.2. 脆弱性のアセスメント

時間、リソースおよびやる気のある攻撃者は、ほとんどすべてのシステムに侵入することができます。現在利用できるすべてのセキュリティ手順と技術を駆使しても、すべてのシステムを侵入から完全に保護できる訳ではありません。ルーターはインターネットへのセキュアなゲートウェイの提供に役立ちます。ファイアウォールはネットワークの境界を保護します。仮想プライベートネットワーク (VPN) は、暗号化されたストリームにおいてデータを安全に通過させます。侵入検知システムは悪意のある活動について警告します。しかし、これらの技術が成功するかどうかは、以下を含む数多くの要因によって決まります。
  • 技術の設定、監視および保守を行うスタッフの専門知識
  • サービスとカーネルのパッチおよび更新を迅速かつ効率的に行う能力
  • ネットワーク上での警戒を常に怠らない担当者の能力
データシステムと各種技術の動的な組み合わせを考慮すると、企業リソースの確保は極めて複雑なタスクになり得ます。この複雑さゆえに、使用するすべてのシステムについての専門家リソースを見つけることは多くの場合、困難になります。高レベルの情報セキュリティの多くの分野をよく知っている人員を確保することはできても、複数分野における専門家スタッフを確保することは容易ではありません。これは主に、情報セキュリティの各専門分野では継続的な注意とフォーカスが必要とされるためです。情報セキュリティは常に変化しています。

1.2.1. 敵の視点で考える

例えば、企業ネットワークの管理者であることを想定してください。通常、企業ネットワークはオペレーティングシステム、アプリケーション、サーバー、ネットワークモニターおよび侵入検知システムなどから構成されます。これらを常に最新の状態に保たなければならないことを想像してみてください。現在のソフトウェアとネットワーク環境の複雑さを考えると、不正使用やバグが必然的に発生すると言えます。ネットワーク全体をパッチと更新によって最新の状態に維持することは、複数の異種システムを持つ大企業においては困難な作業であることが分かります。
専門知識を有し、最新の状態を維持するタスクを実施していたとしても、有害なインシデントが発生したり、システムの侵害やデータ破壊およびサービス中断の発生を避けることはできません。
セキュリティ技術を強化し、システム、ネットワークおよびデータの保護を支援するには、攻撃者の視点で弱点のチェックして、システムのセキュリティを判断する必要があります。システムとネットワークリソースに対する予防的な脆弱性アセスメントにより、事前に対処できる問題が明らかになり、攻撃者による悪用を防ぐことができます。
脆弱性アセスメントは、ネットワークとシステムのセキュリティについての内部監査です。このアセスメントの結果で、ネットワークの機密性、保全性および可用性の状態が明らかになります (「セキュリティの標準化」に詳述)。通常、脆弱性アセスメントは、対象システムとリソースに関する重要なデータを収集する調査フェーズから開始されます。この後にはシステム準備フェーズが続きます。基本的にこのフェーズでは、対象を絞り、それが持つすべての既知の脆弱性を検査します。準備フェーズの後には報告フェーズが続きます。ここでは、調査結果が高中低のカテゴリに分類され、対象のセキュリティを向上させる (または脆弱性のリスクを軽減する) 方法が検討されます。
自宅の脆弱性アセスメントを実施することを想定してみましょう。まずは自宅のドアが閉じられており、かつ施錠されているのを確認するために各ドアの点検を行うことでしょう。また、すべての窓が完全に閉じられていて掛け金が締められていることもチェックするでしょう。これと同じ概念がシステムやネットワーク、および電子データにも適用されます。悪意のあるユーザーはデータを盗み、これを破壊します。悪意のあるユーザーが使用するツールや考え方および動機に注目すると、彼らの行動にすばやく反応することが可能になります。