1.3 セキュリティ監査とセキュリティテストにおけるその役割

セキュリティ監査は、組織のセキュリティプロセスとインフラの弱点を特定する手動の検査と評価です。手続きレベルでのセキュリティ監査（例えば、内部統制の見直し）は手動で行うことができます。
アーキテクチャレベルでのセキュリティ監査は、セキュリティ監査ツールを使用して実行されることが多く、ネットワーク、サーバーアーキテクチャ、およびワークステーション用の特定のベンダソリューションと整合性があります。

セキュリティテストと同様に、セキュリティ監査はすべての脆弱性が発見されることを保証するものではありません。ただし、監査は問題のある領域を特定し、修復が必要な場所を示すためのセキュリティプロセスのもう1つの活動となります。

一部のセキュリティ監査アプローチでは、監査プロセスの一部としてテストが実行されます。ただし、セキュリティ監査の範囲はセキュリティテストよりはるかに広いものとなります。
また、セキュリティ監査では、手順、ポリシー、統制など、直接的な方法でテストすることが困難な分野を調査することがよくあります。

セキュリティテストは、ファイアウォールの設定、認証と暗号化の正しい適用、ユーザー権限の適用など、セキュリティをサポートするためのテクノロジにより深く関わっています。

セキュリティ監査には以下の5つの柱があります。[Jackson、2010]

アセスメント
アセスメントは、潜在的な脅威、重要な資産、ポリシーと手順、およびリスクに対する経営陣の許容度を文書化し、識別します。

また、アセスメントは一度限りの活動ではありません。
環境とビジネスは常に流動的であるため、アセスメントは定期的に実施されなければなりません。
これはまた、セキュリティポリシーが依然として関連性があり効果的であるかどうかを知る機会を提供することにつながります。

予防
これは技術だけでなく、管理上、運用上、および技術上の管理も含みます。
予防はポリシー、手順、そして意識を通じても達成されます。

ありとあらゆる攻撃の予防は現実的ではありませんが、予防の組み合わせは攻撃者が成功するのをはるかに困難にするのに役立ちます。

検出
検出とは、セキュリティ侵害または侵入がどのように識別されたかを示します。
適切な検出メカニズムがないと、ネットワークが危険にさらされているかどうかわからないというリスクがあります。
探査コントロールは、セキュリティインシデントを識別し、ネットワーク上のアクティビティを可視化するのに役立ちます。
早期のインシデント検出により、サービスを迅速に回復するための適切な対応が可能になります。

対応
優れたセキュリティ予防と検出メカニズムにより、対応時間は大幅に短縮されます。
セキュリティ侵害は悪い知らせですが、セキュリティ侵害が発生したかどうかを知ることは重要です。
素早い対応時間は、インシデントの被害を最小限に抑えるために重要です。
迅速な対応には、対応に必要なデータと状況を提供するための優れた予防的防御と検出メカニズムが必要です。
インシデント対応のスピードと効率は、組織のセキュリティ対策の有効性を示す重要な指標となります。

回復
最初の段階でインシデントの原因となったのと同じ脆弱性または状態を再現することなくシステムを回復できるように、回復は何が起こったのかを判断することから始まります。
回復フェーズは、システムの復元だけでは終わりません。また、将来同じ種類の脆弱性が発生する可能性を減らすために、プロセス、手順、およびテクノロジにどのような変更を加える必要があるかを判断する根本原因分析もあります。
監査人は、組織が将来の同様の事件を予防する方法を含む回復計画を立てていることを確認する必要があります。

JSTQB AL セキュリティテスターの目次

1 セキュリティテストの基礎