セキュリティ監査
セキュリティ監査は、アプリケーション、システム、またはデータベースの体系的な分析で構成され、それがどれほど堅固で安全であるかを評価します。ブロックチェーンのコンテキストでは、セキュリティ監査は、潜在的なバグや欠陥を特定するためのスマートコントラクトまたはブロックチェーンコードのピアレビューで構成されます。
従来の定義を考慮して、セキュリティ監査は、事前に決定されたガイドラインに従って、またはITセキュリティ評価のコモンクライテリアなどの標準に関連してプロセスを調査します。多くの企業は、システムが潜在的なリーク、侵入、またはサイバー攻撃に対して十分に強力であることを確認する方法として、セキュリティ監査を実行しています。
それ以外に、セキュリティ監査は、企業または機関が機密データをどのように処理および保護しているかを明らかにするため、規制コンプライアンスを決定する上で非常に重要です。監査では、会社の施設や情報システムへの物理的なアクセス、および潜在的な攻撃に対する予防戦略についても調査する場合があります。
セキュリティ監査は、脆弱性評価や侵入テスト(別名ペンテスト)とともに、セキュリティ診断方法の3つの主要なタイプの1つと見なすことができます。ただし、完全なセキュリティ監査には多くの場合、侵入テストと脆弱性評価が含まれるため、コンテキストによって用語の定義が変わる場合があります。
前述のように、セキュリティ監査は通常、基準のリストに関連して情報システムの安全性を評価します。対照的に、脆弱性評価は、システム全体の広範な分析に依存して、最終的にセキュリティの抜け穴を特定します。言い換えれば、セキュリティ監査はより具体的で、特定のニッチに焦点を合わせており、脆弱性評価はより一般的です。最後に、侵入テストがあります。これは、システムの弱点と強みの両方をテストする方法として、シミュレートされた攻撃で構成されています。場合によっては、これらの許可されたサイバー攻撃を実行するためだけにホワイトハットハッカーが雇われます。一部の企業は、バグバウンティプログラムを通じて報酬を提供しています。
理想的には、セキュリティ監査を少なくとも年に1回実行して、防御メカニズムが最新の脅威に対して最新であることを確認する必要があります。