1.2.2 セキュリティポリシーと手順の分析

一連のセキュリティポリシーと手順を評価する前に、評価の目的を決定し、ポリシーと手順の妥当性を判断するための一連の基準を定義することが重要です。
この基準は、COBIT [COBIT]、ISO 27001 [ISO 27001]、またはPCI [PCI]などの規格によって定義されることがあります。

さらに、以下を定義する必要があります。
* 評価されている特定の分野でのスキルと知識に関して必要なリソース
* ポリシーと手続きの妥当性をどのように測定するか
* 測定および評価する対象（例：有効性、効率性、ユーザビリティ、採択）
* ポリシーと手順が組織内のどこにあるか
* 評価を導き、一貫性を保つためのチェックリスト

チェックリストは、監査人にどこを見て何を期待するかを指示するガイドとして機能します。パスワード監査ツールなどのツールは、特定の統制をテストして目標を達成しているかどうかを判断し、後でリスク評価に使用できるデータを生成するのに役立ちます。
監査人は、ポリシー、統制および基準への「証拠」の遵守を見つけようとします。

以下のリストのタスクの中には、本質的に静的なものもあれば、実行中のプロセスを観察するなど、動的なものもあります。監査人は次のことを行います。
* システムのドキュメントを確認する
* ポリシーや手続きの有効性に対する認識について調査する
* 管理されているプロセスに関与している主要担当者へのインタビュー
* 目撃されたシステムとプロセス
* 以前の監査結果を分析して傾向を発見する
* ログとレポートの分析
* ファイアウォール設定や侵入検知システム設定などの技術的な制御設定を見直す
* 異常または疑わしいトランザクションのデータトランザクションをサンプリングする[Jackson、2010]

コントロール
セキュリティコントロールは、対応する脆弱性に作用する脅威、すなわちセキュリティリスクによる損失または利用不能を回避、相殺、または最小限に抑えるための技術的または管理上の保護手段または対策である。[Northcutt、2014]

たとえば、給与システムのセキュリティ管理では、2人が別々に従業員の賃金情報への変更を承認する必要がある。

セキュリティテスターは、組織内の特定のセキュリティコントロールを認識し、セキュリティテストにそれらのテストを含める必要がある。

主なセキュリティコントロールの種類は、管理、技術、および物理です。
各カテゴリの下で、実装できる具体的なコントロールは、予防的、探偵的、是正的、または回復的となります。

これらのコントロールの種類は連携して動作します。一般に、資産を効果的に保護するために、各カテゴリからコントロールを提供する必要があります。 [Jackson、2010]

トップ20の重要なセキュリティコントロールのリストは、www.sans.orgで見つけることができます。 [Web-1]

セキュリティテスト
セキュリティポリシーと手順の静的分析とセキュリティテストの主な違いは、セキュリティポリシーと手順の有効性を検証または検証するために特別に設計されたテストの結果を使用することです。

これらのテストでは、セキュリティポリシーが設定され、それに従う可能性があるというリスクに焦点が当てられていますが、資産の保護には効果がありません。

セキュリティポリシーと手順の評価を実行している間に、特定のタスクが実行されたことを通知することもできます。
これらのタスクのセキュリティテストは、セキュリティポリシーと手順が実際にどれほど効果的であるかを判断するのに役立ちます。

たとえば、パスワードポリシーと手順は紙上では合理的かつ効果的に思えるかもしれませんが、パスワード解読ツールを使用すると、その手順はその目的には及ばない場合があります。

セキュリティポリシーと手順は、セキュリティテストの元になります。
ただし、セキュリティテスターは攻撃が常に進化していることを覚えておく必要があります。新しい攻撃が発生し、他のソフトウェアアプリケーションと同様に、新しい欠陥が明らかになることがあります。これらすべてが、攻撃者の考え方からセキュリティテストを実行する理由となります。

JSTQB AL セキュリティテスターの目次

1 セキュリティテストの基礎