1.3.3 人、プロセスおよび技術

組織のITプラクティスには、人、プロセス、技術という3つの要素もあります。これらすべてがセキュリティに影響を与えます。

Chris Jacksonの著書、Network Security Auditing [Jackson、2010]によると、「侵入から顧客レコードの紛失に至るまでのすべてのセキュリティ問題は、通常、人、プロセス、または技術に起因する欠陥に起因している。」とされています。

人
人には、エンドユーザー、システム管理者、データ所有者、および組織の管理者を含めることができます。
それぞれ、さまざまなレベルのスキル、状態、および課題を持っています。これは、セキュリティが彼らに与える影響、およびセキュリティ管理の有効性に影響します。
セキュリティポリシー、手順、およびコントロールの存在に関係なく、人がそれらに従わない場合、それらは無効になります。
人がセキュリティポリシーに従わない場合、セキュリティ意識向上トレーニングの必要性や違反に対するペナルティなど、是正のための取り組みが必要になることがあります。
組織構造とセキュリティポリシーは、組織の内外を問わず、人によって推進されることがよくあります。

プロセス
プロセスは、セキュリティ関連サービスを含むITサービスの提供方法を定義します。セキュリティの観点では、プロセスには、貴重な資産を保護するために導入されている手順と標準が含まれています。
効果的であるためには、プロセスは、最新の状態で定義され、一貫性があり、セキュリティのための最善の方法に従う必要があります。
プロセスは、役割と責任、コントロール、ツール、およびタスクの実行に関連する特定のステップを定義します。

技術
技術には、ビジネスを自動化またはサポートする施設、機器、コンピュータハードウェア、およびソフトウェアが含まれます。技術は人が手動で実行するよりも速くそして少ないエラーで繰り返しの仕事を達成することを可能にします。実際、パスワードポリシーなどのいくつかのタスクは適切なツールなしでは不可能となります。
危険なのは、誤って使用されている技術が、間違い犯すことを早めるということです。

これら3つの領域は、完全にITソリューションを形成する「鉄の三角形」として考えることができます。
3つの領域のいずれかを無視すると、ITの提供とセキュリティの取り組み全体が損なわれることになります。

セキュリティ管理策を評価する場合、監査人は攻撃者の観点からシステムを見て、重要な資産への不正アクセスのために人、プロセス、または技術がどのように悪用される可能性があるかを予測する必要があります。
組織の管理者は、彼らが安全だと思ったセキュリティメカニズムがそうではないということにしばしば驚くことがあります。
特定のセキュリティ対策が機能し有効であるかどうかを確実に知る唯一の方法は、攻撃者の観点からシステムをテストすることです。
これは倫理的ハッキングまたはペネトレーション（ペン）テストとして知られています。
これが、監査とテストの関係が最も直接的になるところです。監査は、テストすることの欠陥と重要な分野を特定します。セキュリティテストは、セキュリティ管理策が実際に整っていて効果的に機能していることを証明または反証する手段となります。

シナリオ例：
国の税務機関は、セキュリティ監査の対象となっています。

監査の結果の1つで、犯罪者が詐欺の納税申告書を提出し、詐欺の納税者による税金の払い戻しを受けることが可能であるということがわかりました。
この監査結果はセキュリティテストで確認され、リスクは「重大」と評価されています。
税務当局は上記のような不正のリスクの可能性を認識していましたが、翌年までリスクに対して行動しないことを決定していました。

規定されたすべてのセキュリティ手順に従った詐欺の納税者は、納税申告プロセスの欠陥を認識していた場合、不正に税務当局に払い戻しを請求することができます。

この場合、税務機関は不正に対して責任を負うことになります。

JSTQB AL セキュリティテスターの目次

1 セキュリティテストの基礎