セキュリティーは、配備されたシステムの全レベルが関わる複雑な事項です。セキュリティー要件の作成は、セキュリティー脅威の特定およびそれらに対抗する戦略の策定を中心に進めます。このセキュリティー分析には、次のステップがあります。
重大な資産の特定
それらの資産に対する脅威の特定
組織にリスクをもたらす脅威を顕在化する脆弱性の特定
組織に対するリスクを低減するセキュリティー計画の作成
セキュリティー要件の分析には、管理職、ビジネスアナリスト、情報技術担当者など、組織の幅広い利害関係者が関与する必要があります。多くの場合、セキュリティー設計者がセキュリティー対策の設計と実装におけるリーダーに指名されます。
次の節では、セキュリティー計画の対象となる領域の一部を説明します。
システムのセキュリティーを計画することは、配備設計の一部で、実装の成功に不可欠な部分です。セキュリティーを計画する際は、次の要素を考慮します。
物理的なセキュリティー: 物理的なセキュリティーは、ルーター、サーバー、サーバールーム、データセンター、またはインフラストラクチャーを構成するその他の部分に対する物理的なアクセスに対応します。権限のない人物がサーバールームに入ってルーターのプラグを抜くことができる場合、その他のセキュリティー対策の効力が脅かされます。
ネットワークセキュリティー: ネットワークセキュリティーは、ファイアウォール、セキュアアクセスゾーン、アクセス制御リスト、およびポートアクセスを使用した、ネットワークへのアクセスに対応します。ネットワークセキュリティー対策のために、不正なアクセス、改ざん、およびサービス拒否 (DoS) 攻撃に対する戦略を策定します。
アプリケーションおよびアプリケーションデータセキュリティー: アプリケーションおよびアプリケーションデータセキュリティーは、認証と承認の手順とポリシーを使用した、ユーザーアカウント、企業のデータ、および企業向けアプリケーションへのアクセスに対応しています。この領域には、次のポリシーの定義が含まれます。
パスワードポリシー
管理者アクセスではなく、ユーザーに委任された委任管理などのアクセス権限
アカウントの無効化
アクセス制御
セキュリティー保護されたデータ転送やデータに署名する際の証明書の使用などの暗号化ポリシー
個人のセキュリティー順守: 組織全体のセキュリティーポリシーでは、作業環境と対策が定められます。 これらは、その他のセキュリティー対策が確実に設計どおり実施されるために、すべてのユーザーが順守する必要があります。通常、セキュリティーについてのハンドブックやマニュアルを作成し、ユーザーにセキュリティー順守についてのトレーニングを提供します。セキュリティーポリシー全体が効果的であるためには、適切なセキュリティーの順守を組織文化の一部にする必要があります。