カテゴリー

Uncategorized

基本的なサイバー衛生を把握する

  1. HOME >
  2. Uncategorized >

基本的なサイバー衛生を把握する

私たちは、良い「衛生」が健康と清潔さを助長することを知っています。また、このブログを読んでいる場合は、コンピューターと情報技術(IT)に関連する「サイバー」という用語に精通していると言っても過言ではありません。2つを組み合わせて、「基本」という言葉を入れて、出来上がり!あなたは基本的なサイバー衛生を持っています。しかし、それは正確にはどういう意味ですか?

「通常の」衛生と同様に、専門家(CDCなど)が出すことを期待する一連の最低基準であり、手を洗う、口を覆う、フェイスマスクを着用するなどのように従います。基本的なサイバー衛生は、専門家のグループ(CIS、インターネットセキュリティセンターによって形成されたコミュニティ)は、誰もが従うことができる/従うべきであるという期待を持って、サイバーセキュリティ標準の最小セットを設定しました。

簡単そうに聞こえますよね?そうです、そうではありません。

不十分なサイバー衛生はリスクを招きます

サイバー防御に関しては、基本的なサイバー衛生またはその欠如は、組織に対するサイバー攻撃の阻止または成功の違いを意味する可能性があります。後者の場合、結果は壊滅的なものになる可能性があります。

成功するほとんどすべてのサイバー攻撃は、「不十分なサイバー衛生」と合理的に説明できる条件を利用します。パッチ適用、不十分な構成管理、古いソリューションの維持などです。必然的に、不十分なサイバー衛生はリスクを招き、全体的な回復力を高める可能性があります。組織の危険にさらされます。

当然のことながら、今日のセキュリティの焦点はリスク管理にあります。リスクと脆弱性を特定し、可能な場合はそれらのリスクを排除および軽減して、組織が適切に保護されていることを確認します。ここでの課題は、サイバーセキュリティがしばしば後から付け加えられることです。サイバーセキュリティプログラムを改善するには、ユーザー、サプライヤー、当局(政府、規制当局、法制度など)のサイバーエコシステム全体が理解して実行できる特定の行動計画が必要です。その計画は、基本的なサイバー衛生に重点を置き、実装ガイダンス、ツールとサービス、および成功策によって裏付けられる必要があります。

CISコントロールはまさにそれを行います!

CISコントロール:優先パス

CISコントロールは、組織のサイバー防御プログラムを改善するための明確な道筋を提供する、独立した信頼できる規範的で優先順位が付けられた簡素化されたサイバーセキュリティのベストプラクティスです。ほとんどのフレームワークは、組織がセキュリティを向上させるためにすべきことをすべてリストしていますが、CISコントロールは、何をすることが重要であり、さらに重要なことは、それをどのように行うかを示します。サイバー脅威情報を行動に移し、最も一般的で重要な攻撃から身を守るための実行可能な計画を企業に提供します。

しかし、これは基本的なサイバー衛生と何の関係があるのでしょうか。実はたくさん!CISコントロールが徐々に組織のサイバーセキュリティの姿勢を改善するための優先順位のパスを提供セーフガードを含む、3つのインプリメンテーショングループ(IGS)に分解されます。組織は、保護する必要のあるデータの機密性と、ITおよびサイバーセキュリティに割り当てることができるリソースを調べることで、所属するIGを判別できます。

これがキッカーです– IG1は基本的なサイバー衛生の定義です!

基本的なサイバー衛生のための行動計画

IG1は、すべての企業(特にリソースや専門知識が限られている企業)が最も一般的な攻撃から保護するために適用する必要のあるサイバー防御セーフガードの基本セットであり、すべての企業の情報セキュリティの新たな最低基準を表しています。

基本的なサイバー衛生のための行動計画には、IG1のセーフガードとそれに伴うキャンペーンが含まれ、次の属性があります。

  • 組織的行動と個人的行動の両方をカバーします
  • アクションは具体的で簡単にスケーラブルです
  • 攻撃の防止、検出、または対応への影響を述べることができます
  • 開始するために、詳細なドメイン知識や複雑なリスク管理プロセスの実行は必要ありません。
  • セーフガードは、実装と測定のためのツールの市場でサポートできます
  • アクションは、より包括的なセキュリティ改善プログラムへの「オンランプ」を提供します

IG1(基本的なサイバー衛生)は、コントロールへのオンランプです。IG2は、処理するサービスと情報に応じて、組織のより機密性の高いコンポーネントに対して何を行う必要があるかを規定し、IG1に基づいて構築されています。IG3は最高レベルのサイバー衛生であり、完全に成熟した組織がミッションの最も機密性の高い部分を保護するために講じる措置です。

CISControlsバージョン8は2021年春に登場します

CISでは、コミュニティのフィードバック、進化するテクノロジー、絶えず変化する脅威の状況に基づいてCISコントロールを更新することにより、CISコントロールの関連性を維持するよう努めています。より多くの組織がクラウドサービスとリモートワークに移行するのを見て、私たちの推奨事項が依然として効果的なサイバー防御を提供することを確認するために、CISコントロールとサポートセーフガード(以前のバージョンではサブコントロールとして知っていた)を再検討する時が来たと感じました。その結果が、2021年5月18日にリリースされるCISControlsバージョン8です。

CIS Controls v8では、次の推奨事項が更新されています。

  • クラウドベースのコンピューティング
  • モバイル環境
  • 攻撃者の戦術を変える

CIS Controls v8は、デバイスの管理者ではなく、アクティビティごとにコントロールを組み合わせて統合します。物理デバイス、固定境界、およびセキュリティ実装の個別のアイランドはそれほど重要ではありません。これは、改訂された用語とセーフガードのグループ化を通じてv8に反映されています。その結果、コントロールとセーフガードが153のセーフガード(171から)で構成される18のコントロール(20から)に減少します。

各セーフガードは、可能な限り、明確で最小限の解釈しか必要としない方法で「1つのこと」を求めます。さらに、各セーフガードは測定可能なアクションに焦点を合わせており、プロセスの一部として測定を定義します。企業がCISコントロールの実装を追跡することが重要であることを私たちは知っています。

-Uncategorized