NIST 800-171 セキュリティおよびコントロールフレームワークの目的は、重要なインフラを扱う企業におけるサイバーセキュリティを標準化することです。あらゆる業界の企業が、より信頼性が高く組織化されたサイバーセキュリティを実現する手段として、このフレームワークを採用しています。
サイバーセキュリティの分野では、コンプライアンスと適切なガバナンスは不可欠です。サイバーセキュリティへの警戒を可能な限り強化するために、NIST 800-171に準拠した監査を実施することをお勧めします。NIST 800監査・評価チェックリストは、この監査とその結果を最大限に活用するのに役立ちます。
それでは、NIST 800-171 監査の準備に必要な手順を見てみましょう。
NIST 監査とは何ですか?
「NIST監査」という言葉をご存知かもしれません。これは通常、2段階の手順を指します。まず、包括的な調査を実施し、次に監査人の結論のリスクを評価します。
「NIST監査」は、貴社で実施されている基準と管理策がNIST基準を満たすのに十分かどうかを評価します。規制遵守がこれまで以上に重要になっている現代において、ガバナンスへの構造化されたアプローチの一環として、管理策と手順を監査することは極めて理にかなっています。
他の手順や監査と同様に、チェックリストは準備を整え、すべてを網羅していることを確認するのに役立ちます。では、NIST 800-171の監査と評価のためのチェックリストには、どのような項目を含めるべきでしょうか?
推測する必要はありません。NIST 800-171 準拠のために以下に示す手順に従ってください。
1. アクセス制御
ネットワークの各コンポーネントへのアクセスを制限し、データへのアクセス権限を持つユーザーを管理しましょう。ユーザーが不適切な領域にアクセスした場合、即座にセッションを終了して強制退出させるオプションがあります。ハッカーによるサーバーへのブルートフォース攻撃を阻止するために、各ユーザーのログイン失敗回数を制限することも重要です。
2. トレーニングと意識向上
組織は、人的側面への対応に関する意識向上とトレーニングの提供に注力する必要があります。サイバーセキュリティにおいて、ユーザーは重要な役割を担っています。従業員がネットワークに接続されたデバイスを使用する際には、サイバーセキュリティの危険性とその軽減方法について理解していることを確認してください。
3. 説明責任と監査
インシデント発生後には調査が行われる場合があります。時間と労力を節約するために、社内に定期的な監査および説明責任部門を設置する必要があります。システムレベルのログと記録の作成、調査、保管はすべてこの一部です。ログ記録プロセスが失敗した場合は、アラートを作成してください。
4. 構成の管理
NIST 800-171コンプライアンスチェックリストのこのセクションでは、社内のすべてのシステムに対して複数の設定を作成し、維持する必要があります。セキュリティ設定が適切であれば、会社の安全性は向上します。ホワイトリスト、ブラックリスト、不要なプログラムやサービスの制限などの規制を活用しましょう。
とはいえ、新たな脅威に対抗するためには、これらの設定を定期的に見直し、更新する必要があります。さらに、変更を加える場合は、変更管理プロセスに従うことをお勧めします。これにより、リスクへの露出が効果的に低減され、システムが誤って設定される可能性が減り、組織のセキュリティが向上します。
5. 認識と検証
アクセスを許可する前に、システムは各ユーザーの身元を確認する必要があります。これはサイバーセキュリティの分野では認証とアイデンティティと呼ばれ、すべてのユーザー、機器、手順の使用状況を確認することを意味します。より確実な結果を得るには、多要素認証を使用してください。
6. インシデント対応
問題管理の手順を確立することが最初のステップです。準備、分析、検知、復旧、封じ込め、そしてユーザーの対応など、あらゆる要素が含まれます。その後は、自社の能力を監視・評価することが重要です。
7. メンテナンス
ネットワークを定期的にメンテナンスすることで、可能な限り安全に保つことができます。機器を更新または交換する際は、古い機器を消去し、すべてのCUIを削除してください。電源が不正に利用されることを防ぐため、メンテナンス担当者(通常はシステム管理者)は、複数の身元確認を受ける必要があります。
8. メディアの安全性
多くの企業にとって、個人所有のメディアは大きな脆弱性となります。USBフラッシュドライブを介してウイルスをアップロードしたり、ファイルを盗んだり、ネットワーク全体にアクセスしたりすることが可能です。そのため、システムをこのようなメディアから保護する必要があります。また、メディアを介したCUIアクセスも制限する必要があります。
あらゆる内部メディアの使用は、適切な CUI で規制および識別される必要があります。
9. 従業員のセキュリティ
人事セキュリティの第一段階として、新規採用者はスクリーニングを受け、経歴を確認します。従業員が異動または解雇された場合、最後のステップとして権限を削除します。CUIへのアクセスは、現在CUIを必要とする役職に就いている場合にのみ許可する必要があります。
10. 物理防御
サーバー、書類、メディアに物理的に触れることは非常に危険です。犯罪者がネットワーク上のデバイスのいずれかに物理的にアクセスできれば、ネットワークに侵入できる可能性は十分にあります。
物理メディアを保管する部屋に誰かが入室するたびに、ログに署名する必要があります。すべての物理アクセスデバイスは適切に管理され、制御されている必要があります。
11. リスクの評価
定期的にリスク評価を実施し、継続してください。これにより、どの脆弱性をすぐに修正する必要があるかを判断するのに役立ちます。
12. セキュリティ評価
企業のセキュリティも同様です。脆弱性を特定し、除去し、最小限に抑えるための確固たる戦略を策定する必要があります。システムセキュリティプランを最新の状態に保つには、頻繁に更新する必要があります。
13. 通信とシステムセキュリティ
従業員が意図せず、権限のない人に情報を提供してしまうことは比較的容易です。これを防ぐ一つの方法は、受信と送信の両方の通信を保護することです。
暗号化された通信で提供される情報のプライバシーを必ず維持してください。
結びの言葉
NIST 800-171 監査の準備は、強力なサイバーセキュリティと規制コンプライアンスを確保するために不可欠です。
この包括的なチェックリストに従うことで、組織の防御力を強化し、リスクを最小限に抑え、セキュリティ意識の高い文化を築くことができます。アクセス制御や従業員のトレーニングからリスク評価、インシデント対応まで、あらゆるステップが監査への準備を強化します。
これらのベスト プラクティスを活用して機密データを保護し、信頼を構築し、ますますつながりが深まる世界におけるサイバー セキュリティの卓越性への取り組みを実証しましょう。
