セクション: インシデント管理と対応

特権を持つ従業員による本番サーバーへのアクセス要求が承認されているにもかかわらずログに記録されない状況で最大の懸念となるのは、説明責任の欠如です。つまり、特権ユーザーの行動や決定を追跡または検証できないということです。説明責任の欠如は、不正な変更、データ侵害、詐欺、権限の悪用などのセキュリティ リスクにつながる可能性があります。ユーザー アクションのログ記録は、特権アクセス管理 (PAM) の重要なコンポーネントであり、重要なリソースへの不正な特権アクセスを監視、検出、防止するのに役立ちます。可用性の欠如、不適切な承認、不十分な認証などのその他のオプションは、ユーザー アクションがログに記録されない状況とは直接関係ありません。参考:
https://www.microsoft.com/en-us/security/business/security-101/what-is-privileged-access-management-pam
https://www.ekransystem.com/en/blog/privileged-user-monitoring-best-practices
https://www.beyondtrust.com/resources/glossary/privileged-access-management-pam

説明
開始フェーズでセキュリティ要件を導入すると、設計やコーディングを行う前に、セキュリティの目標とコントロールを定義し、ビジネス ニーズやリスク許容度に合わせて調整できるため、アプリケーション開発中にセキュリティが統合されることが最善です。また、設計によるセキュリティ アプローチも促進されます。これは、アプリケーションとアプリケーション開発活動のセキュリティを強化する最も効果的な方法です1。セキュリティ要件を早期に導入すると、セキュリティ専門家と開発者のコ​​ラボレーション、セキュリティ アーキテクチャの識別と仕様、開発ライフサイクル全体にわたるセキュリティ コントロールの統合とテストも可能になります2。開発プロセス中にグローバル セキュリティ標準を採用すると (A)、セキュリティ プラクティスの一貫性と品質を確保するのに役立ちますが、アプリケーション開発中にセキュリティが統合されることが必ずしも保証されるわけではありません。プログラマーに安全な開発プラクティスに関するトレーニングを提供すると (B)、開発者の意識とスキルが向上しますが、アプリケーション開発中にセキュリティが統合されることが保証されるわけではありません。受け入れテスト中にアプリケーション セキュリティ テストを実行すると、展開前にアプリケーションのセキュリティを検証するのに役立ちますが、アプリケーション開発中にセキュリティが統合されることが保証されるわけではありません。また、開発プロセスの早い段階で防止または軽減できたセキュリティ上の問題を特定して修正するには遅すぎます。参考資料 = 1: アプリケーション セキュリティ プログラムの 5 つの主要コンポーネント - ISACA1; 2: CISM ドメイン - 情報セキュリティ プログラム開発 | Infosec2

情報セキュリティ マネージャーは、リスク関連の行動計画に十分な資金が必要であるという認識を高める責任があります。最高情報責任者 (CIO)、最高財務責任者 (CFO)、および事業部門の管理者は資金支出の最終承認に関与しますが、認識を高める最終的な責任は情報セキュリティ マネージャーにあります。