データセキュリティ運用体制の構築

セキュリティ運用は複数の独立した作業サブセットによって形成され、全体的な (普遍的な) 作業メカニズムを確立することで、独立した個人が効果的に直列に接続され、全体的で継続的で監視可能な作業プロセスが形成されます。安全な操業は、安全な環境で安定的に事業を運営するための基本です。組織の全体的なセキュリティ運用の一部として、データ セキュリティは総合的かつ独立しています。統合性では、イベント前の脆弱性検出、イベント中のセキュリティ廃棄、イベント後のレビュー分析など、運用作業全体との組み合わせが重視されます。独立性では、データ資産の分類 (データ フローの方向、データの分類と分類など)、データ セキュリティ保護戦略、データ セキュリティの継続的評価、データ セキュリティ管理のプロセスにおける運用および保守の目標の適切性が強調されます。セキュリティ運用監視インジケーター。お待ちください。

1. インデックスシステム構築

       セキュリティ運用では、適用範囲、精度 (誤検知)、再現率 (欠落陰性)、再発率、適時性が重視されます。（「企業情報セキュリティ構築の心得」より引用）, この記事はデータセキュリティ運用体制の構築についての記事なので、これをベースにデータセキュリティ運用において注意すべき指標が形成されています。

1.1. 適用範囲

レベル 1 (一般): 資産メタデータ管理の範囲、セキュリティ保護技術の範囲、ビジネス範囲のデータセキュリティ継続的検出と評価の範囲、脆弱性管理の範囲など。

第2レベル（改善）：データフローシナリオの網羅、ルールポリシー保護次元の網羅、データ差分制御の網羅、データセキュリティ評価検出項目の網羅など。

1.2 正解率（誤検知）

第1レベル（一般）：資産管理（管理すべきではない管理）の正解率、データセキュリティ保護技術戦略の正解率、脆弱性検出の正解率など。

第 2 レベル (改善): データの静的資産の精度率、データの動的管理の精度率、データ セキュリティ監査、アクセス制御、非感作、暗号化ポリシーの精度率など。

1.3 再現率（欠損マイナス）

第1レベル（一般）：資産管理の再現率（管理がされていない）、データセキュリティ保護技術戦略の再現率、脆弱性検出の再現率など。

第2レベル（改善）：データ静的資産再現率、データ動的管理再現率、データセキュリティ監査、アクセス制御、非感作、暗号化の基本ポリシー再現率、データ差別化管理戦略の再現率など。

1.4 再発率

レベル 1 (一般): 資産管理の再発率 (同じ問題、継続的な再発)、データ セキュリティ保護ポリシーの再発率、脆弱性管理の再発率など。

第2レベル（改善）：データ静的資産エラー再発率、データ動的管理エラー再発率、データセキュリティ監査、アクセス制御、非感作、暗号化基本戦略エラー再発率、データ差別化管理戦略エラー再発率など。

1.5 適時性

第 1 レベル (一般): 資産の監視と管理の適時性、データ セキュリティ保護戦略の改善の適時性、脆弱性への対応の適時性など。

第2レベル（改善）：データ静的資産の適時性、データ動的管理の適時性、データセキュリティ監査、アクセス制御、非感作、暗号化基本ポリシーの適時性、データ差別化管理戦略の適時性など。

2. 日常の動作メカニズム

      データセキュリティ運用の仕組みは、継続的な監視と分析を中核として、予測、防御、検出、調査/フォレンジックの 4 つの側面から構成され、ITIL ワークフローに依存し、確立されたインデックス システムを効果的に組み合わせて収束型のシステムを形成します。これにより、業務運営が安全になり、安全性と業務目標が一致します。詳細については、以下の図を参照してください。

予測には、リスクエクスポージャの事前分析、攻撃の予測、システムの再ベースライン化などの手段が含まれます。

防御には、システムの強化と隔離、攻撃の誘発、傍受の制御などの方法が含まれます。

検出には、インシデントの監視、特定および定性的なリスクの検出、インシデントの分離などが含まれます。

調査/フォレンジックには、修復/変更ポリシー、ポリシー変更の設計とモデリング、調査とフォレンジックなどが含まれます。

ITIL プロセスには、インシデント管理、問題管理、変更管理、リリース管理、構成管理が含まれます。

指標システムには、網羅率、正確率、再現率、再発率、適時性が含まれます。

3. 緊急時の対応

緊急時対応構築とは、PDCERF（準備フェーズ、検知フェーズ、抑制フェーズ、撲滅フェーズ、復旧フェーズ、要約フェーズを含む）手法を指します。PDCERF が緊急対応の唯一の方法ではなく、実際の緊急プロセスでは 6 つの段階の順序が厳密に守られるとは限りません。しかし、これは現在でも応用性の高い一般的な緊急対応方法です。

準備段階: 予防に重点を置き、主な作業には機関や企業のリスクの特定、セキュリティ ポリシーの確立、協力システムと緊急システムの確立が含まれます。セキュリティ ポリシーに従ってセキュリティ デバイスとソフトウェアを構成し、ホストの緊急対応と復旧に備えます。

検出フェーズ: メインの検出時間が発生したか、進行中であること、およびイベントの原因。インシデントの性質と範囲、およびそれを修復するためにどのようなリソースが展開されることが予想されるかを判断します。

阻止段階: 攻撃/破壊の範囲を制限し、潜在的な損失も軽減します。すべての抑制アクティビティは、検出時間を正確に特定する能力に基づいており、正しい抑制戦略を策定して実装するには、抑制アクティビティを、検出フェーズで発見されたセキュリティ インシデントの現象、性質、範囲などの属性と組み合わせる必要があります。

根絶段階: イベント分析を通じて根本原因を特定し、攻撃者が同じ手段を使用して再度システムを攻撃し、セキュリティ インシデントを引き起こすことを防ぐために、それを完全に根絶します。

回復フェーズ: 損傷した情報を通常の動作状態に完全に復元します。システムを通常の状態に戻し、信頼できるバックアップ メディアからデータを復元するために必要なこととスケジュールを決定します。

概要段階: 緊急対応プロセスの関連情報を確認および統合し、事後分析を実施し、セキュリティ計画、ポリシー、手順を統合および修正し、侵入の再発を防止するためのトレーニングを実施します。