セキュリティアセスメントパッケージ
監査に合格しても情報漏洩は止まらない?
有効な解決策は「Vanguardベストプラクティス」
セキュリティアセスメントパッケージはVanguard製品を活用し、ベストプラクティスや、より高い基準のDISA/STIG適用、セキュリティ脆弱性評価と改善支援および侵入テストなど幅広いサービスをご提供しております。
情報セキュリティで起こっている問題
企業の情報漏洩が止まらない
- 米国消費者信用情報企業A社の被害
米国の消費者信用情報企業A社は、大手監査法人によるISO 27001認定を受けていた。だが政府の取締官によって、ごく基本的な制御が行われていないことが発見された結果、4億5,000万ドルの和解金を支払うことになる見通し。 - グローバルホテルチェーンB社の被害
2014年から2018年の間にパスポート番号を含む5億件の情報漏洩。2020年3月にも520万人分の顧客情報漏洩が発覚。 - 欧州航空会社C社の被害
2018年8月21日から9月5日の間に500,000件近い情報が流出。GDPRによる罰金は推定2億8,000万ドル。
更なる規制強化
- GDPRの次にCCPAがやってきた
カリフォルニア州消費者プライバシー法(CCPA)は、カリフォルニア州の住民のためのプライバシー権と消費者保護を促進する法律で、2020年1月1日に施行。海外と取引のある日本企業にも影響の懸念。 - 考えうる政府機関による罰金
カリフォルニア州消費者プライバシー法に故意に違反した場合、1件当たり7,500ドル未満の制裁金を課されることになる。
内部犯罪の脅威 ー ヒツジの皮をかぶった狼
- 企業のハッキングのうち平均35%が、社内の既知ユーザによるものだった。
- 情報を1度引き出せばよいだけ。
最近のセキュリティ監査からの話題
-
過去の権限設定が有効のままに
RACF導入当初に設定した高権限が今でも有効に機能しており、必要以上の権限付与を見直すよう監査から求められる。導入当初の高権限が時間の経過と共に忘れられ、環境の変化に追従せず現在でも有効のまま残っていた。
-
サロゲート機能利用が問題に
本来行ってはいけないRACF設定業務を、権限管轄外のユーザーによって実施されていたことが外部監査で発覚し、定期的な監査情報提供が要求された。管理者権限を利用できるサロゲート機能は運用管理で良く利用されている落とし穴。
セキュリティアセスメントパッケージが解決します!
提供サービス
セキュリティ監査とコンプライアンス
- Vanguardコンサルタントが実施
- 貴社向けベストプラクティスの実装と評価
- アウトソース先の運用管理評価
具体的な問題箇所と改善方法を提示
- 改善のための作業量も提示
- レメディエーションサービスによる対応も可
コンプライアンス進捗管理
- 定期的なレビューによる進捗評価(前回との比較)
・3ヶ月、半年、一年周期 - 課題の達成・非達成をレポート
-
Vanguardベストプラクティスについて
Vanguard社が提供するセキュリティガイドライン
・DISA STIGから必要な項目を抽出
(DISA:国防情報システム局、STIG:セキュリティ技術導入ガイド)
企業のベースラインとして提供
z/OS、RACF、WebShpere MQなど7つのカテゴリーをカバーする事前定義済みチェック(107項目)
アセスメントとしても利用可
-
なぜVanguardベストプラクティスなのか?
選択するだけで一定のセキュリティ基準を満たす
・セキュリティ基準からの具体化が不要
・漏れや抜けが無い
・検討時間を大幅に縮小
発見された脆弱性のトップ10に対応できる
Vanguardベストプラクティス:Vanguard社が過去20年以上に亘る経験、数百社に及ぶアセスメント実績から得た業界標準に匹敵するスタンダード
Vanguardベストプラクティスによるセキュリティ実装
Vanguard社のノウハウを提供
1986年に設立されたVanguard社は全世界に600社の顧客を持ち、サイバーセキュリティ・ソリューション、ソフトウェアおよびサービスを業務とするセキュリティに特化した企業で、過去数十年間に亘り培ってきたノウハウをベストプラクティスとして集約し、お客様のセキュリティガイドラインとして提供します。
選択するだけで堅牢なセキュリティを実装
企業で制定したセキュリティ基準を本番システムに適用するためには実現方法の具体化が必要であり、基準とのギャップを埋めるかなり難しい作業になります。保護対象毎に適用するための検討が必要なため実現に時間を要すること、万一漏れや抜けが発生するとセキュリティ基準が満たせなく恐れがあり、慎重に進めなければなりません。Vanguardベストプラクティスはz/OS、RACF、WebShpere MQなど7つのカテゴリーで合計107項目のセキュリティ基準が提供されており、選択するだけで簡単に堅牢なセキュリティが実装できます。
発見された脆弱性トップ10に対応
Vanguard社が過去数百社に及ぶアセスメント実績から、数多くの企業で頻繁に潜在している脆弱性をトップ10としてまとめており、Vanguardベストプラクティスはこのトップ10の脆弱性に対応します。
発見された脆弱性種類「トップ10」
| 侵害有無 | 割合 | 説明 | 深刻度 |
|---|---|---|---|
| あり | 82% | パスワード更新のないユーザID | 深刻 |
| 一部 | 75% | z/OS UNIXファイルシステムのデータセットへの過剰なアクセス権 | 高い |
| あり | 68% | APFライブラリへの過剰なアクセス権 | 深刻 |
| なし | 66% | 無許可の開始タスクのIDがTRUSTEDとして定義 | 高い |
| あり | 66% | z/OS UNIXのスーパーユーザ特権の過剰な使用。UID=0 | 深刻 |
| あり | 66% | UNIXPRIVプロファイルの不正な使用または欠如 | 高い |
| あり | 65% | SMFデータセットへの過剰なアクセス権 | 高い |
| あり | 62% | SPOOLデータセットへの過剰なアクセス権 | 高い |
| あり | 61% | READより権限の高いUACCを持つ一般リソースプロファイル | 高い |
| あり | 58% | MVS OPERCMDSクラスプロファイルへの過剰なアクセス権 | 高い |
Vanguard Compliance Managerを使用したサービスの進め方
Collect
お客様の環境を評価するためのデータ収集とインタビューフェースです。
Process
すべての関連データが確実に収集されるようにコンサルタントがデータを処理するフェーズです。
Assess
コンサルタントがz/OSセキュリティのVanguardベストプラクティスに基づいてお客様の環境を評価するフェーズです。
Report
コンサルタントが調査結果レポートを作成し、調査結果と推奨事項をお客様と話し合うフェーズです。
使用製品
Vanguard Compliance Manager
セキュリティ・コンプライアンスツール
DISA / STIGを基準に企業コンプライアンスに対応
DB2、ベストプラクティスを新設
Vanguard社コンサルタントがサービスの一環として提供
DISA:Defense Information Systems Agency
STIG:Security Technical Implementation Guides
Vanguard Compliance Manager
記載内容はVanguard Integrity Professionals社に帰属します。