複雑化するITセキュリティ
組織は、何層ものファイアウォール、ウイルス対策、侵入防止システム、侵入検出システム、脆弱性スキャナー、セキュリティ ポリシー、ID 管理、物理的アクセス制御などを構築し、セキュリティ上の課題に取り組んでいます。これらの防御層は、基本的な防御を提供し、今日の脅威から保護するために必要ですが、同時に、セキュリティ・インフラストラクチャも複雑になり、セキュリティ リスクが発生する場所と、脅威が顕在化する速度を明確に把握することが困難になります。ITセキュリティチームにとっては、これらの防御層によって作成されたセキュリティ関連データの増加も課題となっています。また、それと同時にすでに圧倒的な量になっているビジネス データも保護しなければなりません。どのデータがビジネスにとって最も重要かをしっかりと理解していないため、IT セキュリティのチームは、最も関連性の高いセキュリティ イベントの特定に苦労しています。
クラウド移行によるセキュリティ要件の変化への対応
近年、企業を取り巻く環境と求められるセキュリティ要件は、テクノロジーの移行による影響をますます受けています。特に顕著なのは、クラウドおよび外部プロバイダーへの移行です。企業は、社内ネットワークの外へビジネスに不可欠なプロセスとIT サービスを移行したことで、セキュリティ制御についても外部のITプロバイダーやベンダーに大きく依存するようになりました。それにより、企業が対応すべきセキュリティとコンプライアンスの両方の要件と課題も増加しています。
企業の経営陣は、絶えず変化する今日の脅威とインシデントによるサイバーリスクの増加に、自社がどのように対処していくべきかという課題について高い関心を持つと同時に、セキュリティリスク(評判の損害、財務的影響、規制に関連する損害)と侵害またはその他のセキュリティイベントの調査と解決にかかるコスト面についても懸念しています。
Archer IT&セキュリティ リスク管理

IT & Security Risk Management の優位性
Archer IT & Security Risk Management を使用することで、可視性、分析、アクション、およびメトリックが強化され、セキュリティ機能が向上します。GRC のコンテキストでのサイバーセキュリティ リスクの結び付け今日のビジネス プロセスは相互に接続されているめ、組織には、急速に変化するサイバーセキュリティ リスクの複雑さと、広がっていく影響に効果的に対処する能力が必要です。Archer は、企業全体にわたって、セキュリティ プロセスとデータをリスクとコンプライアンスの機能に結び付けることができます。また、ビジネスのリスクとITのリスクの関係を、ビジネスの重要度を視点として考慮し、担当と責任を明確化し、IT およびセキュリティリスクをGRC(ガバナンス、リスク、コンプライアンス)のより広範な取り組みと結び付けることができます。複数の分野でIT とセキュリティのリスクを効果的に管理するには、あらゆる種類のIT セキュリティ リスクを管理できるようにセキュリティ プログラムを編成する必要があります。
企業のIT およびセキュリティリスク管理の取り組みは、ポリシー、標準、コンプライアンスから、脅威、脆弱性、攻撃に至るまで、様々な分野で取り組む必要があります。Archer のソリューションにより、企業は、IT チームとセキュリティ チームがプロセスを一元的に管理し、サイバー脅威に優先順位を付け、最新の脅威を完全に掌握できるような仕組みを構築します。
ビジネスを運営する上でITの力は不可欠であり、ITの問題で組織全体が深刻なリスクにさらされる可能性があるため、リスク管理の分野においてもビジネスの観点からITリスクを把握することが重要です。Archer IT & Security Risk Management を使用すれば、リスクを特定して効果的かつ効率的にエスカレーションするプロセスを確立することで、人とテクノロジーのギャップが埋めることが可能です。
機能紹介
ITリスク管理

ITリスクを効果的に管理するためには、確立された分類法が必要であり、これがないと組織は資産とリスクの正確なカタログを維持し、所有権と説明責任を確立することが難しくなります。一貫性のないアプローチによるITリスク評価は、リスクの特定と管理を妨げる可能性があります。手作業によるリスク評価プロセスは負担が大きく、ビジネスに深刻な影響を与える可能性があります。ITリスクを包括的に把握し、説明責任を確立しないと、ITサービスの中断や風評被害、財務損失、セキュリティインシデントなどの重大な問題に直面する可能性があります。一貫性のない取り組みは報告の遅延や無関係な報告につながり、ITリスクアセスメントの実施にかかる時間の増加により、ビジネスのペースを維持することが難しくなります。特にサードパーティへの依存度の高まりやビジネスクリティカルなプロセスやサービスのクラウドへの移行により、これらの課題はさらに顕著になっています。
Archer® IT Risk Management は、組織階層とIT資産を包括的にカタログ化し、ビジネスクリティカルな接続を文書化してITリスクを管理します。リスクレジスターにITリスクを登録することで、可視性と分析力が向上し、組み込まれた評価や脅威評価手法、IT統制リポジトリによってIT統制を文書化・評価することができます。また、評価中に発見されたギャップや事項を追跡し、改善プロセスを通じて管理することができます。Archer IT Risk Management により、ITリスクの全体像を明確に把握でき、合理化された評価によってリスクの特定までのスピードが短縮され、リスクと内部統制の連携によってコンプライアンス・ギャップが減少し、リスク軽減戦略はよりパワーアップします。こうした柔軟なリスク管理フレームワークにより、ビジネス要件の変化に柔軟に対応し、最も影響の大きいITリスクにリソースを集中することができます。
- 組織とIT資産の集中カタログ
- ITリスクとコントロールのリポジトリと分類法
- リスク評価プロセスを管理するための、あらかじめ構築されたリスクと脅威の評価
- 統合された問題管理プロセス
- コンプライアンス問題のギャップと改善活動の一元的追跡
- 適切なリスク受容とサインオフによる例外管理とガバナンス
IT統制保証

IT統制テストは組織内で一貫性のない形で実施され、ワークフローが不明確なため、ITコンプライアンスの統合的な把握が困難です。重複した規制要件やビジネス要件に基づくテストが行われ、手作業によるサイクルが貴重なリソースを奪い、結果としてコンプライアンスとのギャップに関するリスクが高まります。一貫性がない統制テストと説明責任の不足は、コストの増加や罰金、監査での指摘の増加といった問題につながる可能性があります。こうした課題は、 IT部門が変化する要件に対応しようとする中、組織に大きな負担となっています。
Archer® IT Controls Assurance は、プロジェクト・ベースのアプローチを採用し、IT統制テストを実施して統制のパフォーマンスを評価・レポートし、自動化された機能で評価と監視を提供します。このシステムを使用することで、IT資産を一元的にカタログ化し、統制を文書化することができ、標準的な評価プロセスを導入し、自動化されたシステムからの統合されたテスト結果を手に入れることが可能です。コンプライアンス評価中に特定された問題は一元管理され、コンプライアンスとのギャップについてトラッキングやレポートが容易になります。改善努力を文書化・監視することで、コンプライアンスのギャップに迅速に対処することができます。
- プロジェクトベースのコントロールテストでは、担当者はITコントロールのスコープを設定し、必要に応じて適切なコントロールテストを計画・生成
- コントロール・ジェネレータは、IT資産、コントロール、タクソノミの統合されたリポジトリであり、異なるビジネス・エンティティやインフラストラクチャのマスター・コントロール・プロシージャ階層からコントロール・インスタンスを自動作成
- エビデンスリポジトリアプリケーションは、ITコンプライアンステストプロセスで収集されたエビデンスのための単一のリポジトリを提供
- 法規制や企業の義務に関連する変更に対する統合された問題管理
- 主要なテストおよび統合テクノロジーとの統合
ITセキュリティ脆弱性プログラム

セキュリティ脆弱性の特定と修復は、データ漏洩やシステム侵害から組織を守るために不可欠です。しかし、脆弱性スキャナーの導入により生成される膨大な情報は、セキュリティリスクの管理において実効性を損なう可能性があります。特に、収集された膨大なデータによってシステムの運用部門への引き継ぎが十分に行われないことで、改善への取り組みを正しく把握できなくなる可能性があります。コンプライアンス目的のためだけに脆弱性スキャンを導入している企業にとって、こうした膨大なデータを適切に管理するためのプロセスがなければ、リスクマネジメントの有効性が大幅に低下します。
Archer® IT Security Vulnerabilities Program は、セキュリティチームがビジネスリスクに基づいて脅威と脆弱性を特定し、優先順位をつけるのを支援します。IT資産はビジネスコンテキストでカタログ化され、脆弱性管理の統合プラットフォームは関連する問題の一元化と修復を実現します。アラート、調査、問題解決のプロセスを通じて、脆弱性スキャンの結果に対処し、重要なギャップの解決率を向上させることができます。
強力で柔軟なルールエンジンは、新しい脅威や変化するビジネスニーズを明らかにし、統合管理モジュールは分析、レポート、ワークフロー、リスク管理を統合し、データに基づくセキュリティ上の意思決定をサポートします。
Archer IT Security Vulnerabilities Program を使用することで、脆弱性の検出から報告、修復、検証まで、効果的に脆弱性のライフサイクル全体を管理できます。
- IT資産の一元的なカタログ、脆弱性データのリポジトリと分類法
- 大規模なエンタープライズ環境をサポートするための脆弱性検出の取り込み
- 脆弱性チケットにより、スキャナによる修復アクションの追跡が可能
- 国家脆弱性データベースへの統合による脆弱性管理、セキュリティ測定、コンプライアンスの自動化
- ルールベースの問題管理
- QualysやTenableを含む主要なスキャン技術への組み込み統合
サイバーインシデントおよび侵害対応

潜在的なセキュリティの問題を特定し、サイバーインシデントに対応することは、重大なイベントの発生を防ぐための最初の防御ラインです。多くの組織がセキュリティ情報とイベント管理(SIEM)、ログ収集ツールをインフラストラクチャに導入することでイベントを追跡し、アラートを提供しています。しかし、これらのシステムはセキュリティチームがレビューするために膨大な量のデータを生成します。また、スプレッドシートとメールを介したセキュリティ対応プロセスは、企業が迅速に対応する能力に悪影響を与える可能性があります。
実行可能なセキュリティイベントの優先順位付けのための確立された手法の不足と、手動で一貫性のない運用手順と組み合わされると、組織が十分な時間内に適切に対応しないリスクが増加します。セキュリティチームとITチーム間の不十分な引継ぎ、連携は、宣言された(*1)サイバーインシデントをクローズするための是正の可視性を阻害します。これは、最も必要な時、つまりデータ侵害発生時の対応が最も必要な場面でプロセスがうまく機能しない可能性があります。
*1: サイバーインシデントの「宣言」は、組織がサイバーセキュリティの出来事や発生に正式に認識し、報告することを指します。同時に組織がサイバーインシデントを宣言するということは、データ侵害、マルウェア攻撃、またはその他のセキュリティ侵害など、重大なサイバーセキュリティの問題を認識し、そのインシデントの影響を緩和するための構造化された対応プロセスを開始していることを示します。「宣言」には関係者への通知、インシデント対応チームの活性化、およびサイバーインシデントの封じ込めや解決のための事前に定義された手順の実行が含まれることが一般的です。
Archer® Cyber Incident & Breach Response は、組織およびIT資産を中央カタログ化し、インシデントの優先順位付けのためのビジネスコンテキストを確立し、宣言されたインシデントを効果的にエスカレーション、調査、解決するプロセスを導入するためのプラットフォームを提供します。データ侵害への対応を準備するために設計されたユースケースでは、定義されたインシデント対応とトリアージ手順をチームが進めることができます。組み込まれたワークフローとレポートは、セキュリティマネージャが最も緊急な問題を把握し、プロセスを効率化するために設計されています。宣言されたインシデントの調査に関連する問題は、完全な可視性とレポートが提供される中央のポータルで追跡および管理できます。インシデントがデータ侵害にエスカレートした場合、事前に構築されたワークフローとアセスメントが、セキュリティチームと広範なビジネスチームが適切に対応するのに役立ちます。
Archer Cyber Incident & Breach Response を使用することで、宣言されたサイバーイベントやセキュリティインシデントを迅速かつ一貫してエスカレーションさせることができます。宣言されたサイバーやセキュリティインシデントに対する高度なワークフローや分析は、セキュリティチームのリソースの効率的な活用を可能にし、重要なセキュリティインシデントに対する迅速な対応、分析、解決率を向上させます。改善されたプロセスと機能により、セキュリティチームは既存のインフラ(SIEM、ログおよびパケットキャプチャツール、エンドポイントセキュリティテクノロジなど)を効果的に活用し、最も影響のあるインシデントに集中して対応することができます。これらの機能は、潜在的なデータ侵害を伴う深刻なインシデントの発生時にセキュリティチームの準備状態を向上させ、インフラ投資の収益性を高め、全体的なセキュリティリスクを低減します。
- プロジェクト関連のリスクを特定し評価する一貫したアプローチ
- 実施中のすべてのリスク評価の監督と管理
- 優先順位付けされたリスク処置と改善計画の統合リスト
- 事前定義されたレポートとリスクダッシュボードによる、アセスメントの進捗、リスク処置、改善活動の可視化
- アセスメントと改善計画に対するオーナーシップとアカウンタビリティの向上