侵入テストは、組織のサイバーセキュリティまたは物理セキュリティが効果的かどうかを判断するのに役立ちます。また、セキュリティプログラムの脆弱性を特定し、問題に対する解決策を決定するのに役立ちます。
データ侵害がますます増加し、サイバー攻撃がより巧妙化する中、すべての企業が侵入テストを実施することが不可欠です。侵入テストは、企業の脆弱性を発見し、問題の解決に役立つだけでなく、サイバーセキュリティへの投資を賢明に行い、政府の規制を遵守し続けることにも役立ちます。
中小企業、フォーチュン500企業など、規模を問わず、侵入テストは必要であり、様々な面で役立ちます。しかし、企業がどの程度の頻度でテストを実施すべきかは、いくつかの要因によって異なります。
- 新しいシステム、場所、またはインフラストラクチャの追加
- 規制コンプライアンス
- 会社の知名度や成長
- 組織の規模
侵入テストはいつ実施すればよいですか?
ペネトレーションテストの実施が重要であることはご存じのとおりですが、実施時期の判断は費用がかかる場合があり、複雑になることがあります。しかし、テストを実施しないことは、長期的にはビジネスに大きな損失をもたらす可能性があります。そこで、ペネトレーションテストの実施頻度を決定する際に考慮すべき要素を見ていきましょう。
新しいシステム、場所、またはインフラストラクチャの追加。
重要なインフラ、ソフトウェア、ネットワーク、またはポリシーに重大な変更を加える場合は、新しいペネトレーションテストを実施する必要があります。これにより、追加箇所に発生した可能性のある脆弱性を検出できます。これは特に、新しい物理的な拠点を追加する場合に当てはまります。物理的なペネトレーションテストとサイバーアセスメントテストの両方が必要になります。新しいテストは、資産を保護するだけでなく、新しい投資を確実に保護するのに役立ちます。さらに、新しいシステムやデバイスを保護するための最適なサイバーセキュリティ対策を決定するのにも役立ちます。
一方、クラウドベースのビジネスに移行し、物理サーバーやネットワークを廃止する場合は、クラウドプロバイダーにペネトレーションテストについて問い合わせる必要があります。プロバイダーの設備投資によって、貴社はメリットを得られる可能性があります。また、クラウドプロバイダーのインフラストラクチャにアクセスしてペネトレーションテストを独自に実施することはできない可能性が高いでしょう。
規制コンプライアンス。
多くのコンプライアンス基準では、企業にペネトレーションテストの実施が義務付けられています。政府の規制への準拠が求められる場合、ペネトレーションテストのスケジュールは規制によって決定される可能性があります。例えば、 PCI DSS(Payment Card Industry)規制では、年1回のペネトレーションテストと、組織にシステム変更があった場合のペネトレーションテストの実施が義務付けられています。 2002年サーベンス・オクスリー法(SOX法) 、国際標準化機構(ISO)27001、医療保険の携行性と責任に関する法律(HIPAA)でも、第三者機関による年1回のペネトレーションテストの実施が義務付けられています。
組織の規模。
企業の知名度が高いほど標的が大きくなるのと同様に、企業の規模についても同様のことが言えます。大企業は資産が大きく、オンラインでのプレゼンスも大きいため、サイバー犯罪者にとってより標的になりやすいのです。大企業は従業員数が多く、デバイス数も豊富でアクセスポイントも増えるため、脆弱性も高くなります。多額の予算と世界中に多くの従業員を抱える企業は、半年ごと、あるいは四半期ごとに侵入テストを実施すべきです。
あなたの会社の知名度または普及率。
企業の知名度が上がり、メディアで大きく取り上げられたり、業績が好調だったりする場合は、サイバー攻撃のリスクが高まります。一般大衆に知名度が高ければ高いほど、サイバー犯罪者にとっても知名度が高くなります。メディアでの露出が増え始めたら、侵入テストを実施するのが賢明です。
侵入テストの頻度に関するベスト プラクティスに必ず従ってください。
一般的に、侵入テストは毎年実施するのが良いでしょう。しかし、例外もあります。侵入テストを最大限に活用するには、テストを実施する第三者機関との関係構築が不可欠です。信頼できるプロバイダーが最初の侵入テストを完了すると、貴社のシステム、脆弱性、サイバーセキュリティプログラムなどを徹底的に理解し、貴社と協力して論理的かつ効果的な侵入テストスケジュールを決定します。スケジュールは、年1回、半年ごと、または四半期ごとなど、ご希望に応じて柔軟に対応できます。