セキュリティ・リスク評価では、アプリケーションの主要なセキュリティ管理策を特定、評価、実装します。また、アプリケーションのセキュリティ上の欠陥や脆弱性の防止にも重点を置きます。
リスク評価を実施することで、攻撃者の視点からアプリケーション・ポートフォリオの全体像を可視化できます。これにより、情報に基づいたリソースの割り当て、ツールの選定、セキュリティ管理策の実装の決定を行うマネージャーを支援します。そのため、評価の実施は組織のリスク管理プロセスに不可欠です。
規模、成長率、リソース、資産ポートフォリオなどの要素はリスク評価モデルの深度に影響します。組織は、予算や時間の制約がある場合には、一般化された評価を実行することも考えられます。ただし、一般化された評価では、資産、関連する脅威、特定されたリスク、影響、コントロールの軽減との間の詳細なマッピングが必ずしも得られるとは限りません。
一般化された評価結果でこれらの領域間の十分な相関が得られない場合は、より詳細な評価が必要です。
包括的なセキュリティ評価により、組織は以下のことができます。
セキュリティ・リスク評価は1回限りのセキュリティ・プロジェクトではないことを理解することが重要です。むしろ、少なくとも1年に1回は行うべき継続的な活動です。継続的な評価により、組織は晒されている脅威とリスクの現状と最新のスナップショットを得ることができます。
Synopsysは、リスクの影響が高い、重要な資産を毎年評価することをお勧めします。評価プロセスでは、さまざまな貴重な情報を作成および収集します。いくつかの例を以下に示します。
ほとんどの組織では、業務運営のために一定の個人識別情報(PII)または個人の医療情報(PHI)が必要とされます。これらの情報はパートナー、取引先、顧客から入手します。社会保障番号、納税者番号、生年月日、運転免許証番号、パスポートの詳細、病歴などの情報は、すべて秘密情報とみなされます。
そのため、重要データを作成、保存、送信する組織はリスク評価を受ける必要があります。リスク評価は、さまざまな法律、規制、基準によって義務付けられています。セキュリティ・リスク評価を要求する監督機関には、HIPAA、PCI-DSS、マサチューセッツ州一般法律第93H 201条CMR 17.00規制、サーベンス・オクスリー監査基準5、連邦情報セキュリティ管理法(FISMA)などがあります。
組織は、これらの規制の法令遵守の必要性をしばしば疑問視します。Synopsysでは、組織はセキュリティ・リスク評価を受けて、統一された一連のセキュリティ管理策への準拠を維持する必要があると考えています。それは、こうした監督機関によって実装および合意された管理策です。
実際、これらの管理策はさまざまな業界で受け入れられて実装され、組織の全体的なセキュリティ体制を比較検討するためのプラットフォームを提供しています。また、監督機関は、秘密データを含む資産を評価することを推奨しています。評価は、年2回、年1回、あるいは重要なリリースまたは更新時に行うことをお勧めします。