米国政府はサイバーセキュリティを強化するために役立つ37個の目標を打ち出した。技術的なもの、戦略的なもの、費用がかかるもの、そうでないもの、さまざまだ。あなたの会社は目標を幾つ満たしているだろうか。
サイバー攻撃に対する防御を固めるために役立つ37個の目標を米政府が掲げた。容易に実行できるものから、そうではないものまで多岐にわたる。どのような目標があるのだろうか。
米国のCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)は、サイバーセキュリティの水準を引き上げるため(注1、注2)、2022年10月27日、37項目から成る「クロスセクターサイバーセキュリティのパフォーマンス目標」を発表した(注3)。難解なものではない。運用上のセキュリティを最低限確保するロードマップとして、広く活用できる内容だ。
技術的なものから戦術的なものまで、37個の目標はセキュリティ対策の「コスト」「複雑さ」「影響力」を考慮したものだ。これらの目標は企業が取り得る対策を網羅していない。それでは何の役に立つのか。
CISAは今回の目標について、「リスク低減の効果が知られている対策のうち、中核となるものを業界を越えて広く適用すること」が目的だと述べている。つまり一般企業が守っていなければならない最低限の目標という位置付けだ。
37個の目標のうち、CISAは低コストで影響力のある対策を重視する。記事末尾に掲げた表のうち、コストが「\」、影響が「高」となっている16個の目標だ(表の1番目や2番目など)。
例えば、最低限必要なパスワードの強度を設定することで、パスワードスプレー攻撃やクレデンシャルスタッフィング攻撃に対抗できるようになる(表の4番目)。多要素認証(MFA)を取り入れたり、ブルートフォース攻撃を防御する能力を持たない企業にとって、特に重要な目標だろう。
パスワード関連のポリシーも大きな影響を与えるとはいえ、対策としては初歩的だ。CISAはサイバーセキュリティリーダーを任命して、リーダーシップのギャップを埋める必要性を強調する(表の17番目と18番目)。他の項目を実施するためには、リーダーシップが必要だからだ。
影響力が大きいものの、コスト高で複雑なため、実行が難しい項目も3つある。「未承認デバイスの接続の禁止」(11番目)や「セキュリティ制御の有効性を第三者が検証」(27番目)、「ネットワークのセグメンテーション」(35番目)だ。
同庁は業界の意見を参考にして、今後1年間、目標を再評価しながら項目の内容を改善していく予定だ。
セキュリティ指標 | コスト | 複雑さ | 影響力 | |
---|---|---|---|---|
01 | 失敗した(自動)ログイン試行の検出 | \ | 低 | 高 |
02 | デフォルトパスワードの変更 | \ | 中 | 高 |
03 | 多要素認証(MFA)の導入 | \\ | 中 | 高 |
04 | 最低限必要なパスワードの強度設定 | \ | 低 | 高 |
05 | ユーザーアカウントと特権アカウントの分離 | \ | 低 | 高 |
06 | 一意の資格情報の設定 | \\ | 中 | 中 |
07 | 退職した従業員の認証情報の失効 | \ | 低 | 中 |
08 | ハードウェアとソフトウェアの承認プロセスの実施 | \\ | 中 | 高 |
09 | デフォルトでマクロを無効化 | \ | 低 | 中 |
10 | 資産目録の作成 | \\ | 中 | 高 |
11 | 未承認デバイスの接続禁止 | \\\ | 高 | 高 |
12 | デバイス設定の文書化 | \\ | 中 | 高 |
13 | ログの収集 | \\ | 中 | 高 |
14 | ログの安全な保存 | \\\ | 低 | 高 |
15 | 資産インベントリーの作成 | \\ | 中 | 高 |
16 | 機密データの保護 | \\ | 中 | 高 |
17 | 組織的なセキュリティリーダーシップの確立 | \ | 低 | 高 |
18 | OT(制御技術)のセキュリティリーダーシップの確立 | \ | 低 | 高 |
19 | 基本的なセキュリティトレーニングの実施 | \ | 低 | 高 |
20 | OTについてキュリティのトレーニングの実施 | \ | 低 | 高 |
21 | ITとOTのセキュリティの関係の改善 | \ | 低 | 中 |
22 | 既知の脆弱(ぜいじゃく)性の緩和 | \ | 中 | 高 |
23 | 脆弱性の開示と報告 | \\\ | 高 | 低 |
24 | IETF(Internet Engineering Task Force)が提唱する「security.txt」ファイルの配備 | \ | 低 | 高 |
25 | インターネット上に悪用されやすいサービスを置かないこと | \ | 低 | 高 |
26 | 公共インターネットへのOT接続の制限 | \\\ | 中 | 中 |
27 | セキュリティ制御の有効性を第三者が検証 | \\\ | 高 | 高 |
28 | ベンダーとサプライヤーのセキュリティ要件の確立 | \ | 低 | 高 |
29 | サプライチェーンのインシデント報告 | \ | 低 | 高 |
30 | サプライチェーンの脆弱性開示 | \ | 低 | 高 |
31 | インシデント報告の実行 | \ | 低 | 高 |
32 | インシデント対応計画の策定 | \ | 低 | 高 |
33 | システムのバックアップ作成 | \\ | 中 | 高 |
34 | ネットワークトポロジーの文書化 | \\ | 中 | 中 |
35 | ネットワークのセグメンテーション | \\\ | 高 | 高 |
36 | 関連する脅威と攻撃者の「戦術、技術、手順」(TTP)の検出 | \\\ | 高 | 中 |
37 | 電子メールセキュリティの確立 | \ | 低 | 中 |
出典:Explore CISA’s 37 steps to minimum cybersecurity(Cybersecurity Dive)
注1:How cybersecurity experts are reacting to CISA’s security goals(Cybersecurity Dive)
注2:CISA aims for target rich, resource poor sectors in rollout of security basics(Cybersecurity Dive)
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。