« 欧州検査院 特別報告書 EUにおける5Gの展開:セキュリティ問題が未解決のままネットワーク展開が遅れる at 2022.01.24 | Main | 米国 Rand研究所 「中国の防衛産業基盤のシステム的な強みと弱みの評価」 »

2022.02.15

ENISAとCERT-EU EUのすべての官民組織が最低限実施すべきサイバーセキュリティのベストプラクティス14項目

こんにちは、丸山満彦です。

ENISACERT-EUが、EUのすべての官民組織に対し、最低限実施すべきサイバーセキュリティのベストプラクティス14項目を公表していますね。。。

ENISA

・2022.02.14 Boosting your Organisation's Cyber Resilience - Joint Publication

・[PDF]

20220215-161501

 

Boosting your Organisation’s Cyber Resilience  組織のサイバー・レジリエンスを高めるために 
Executive summary  要旨 
Based on the continuously increasing threat level ENISA, The EU Agency for Cybersecurity, and CERT-EU, the CERT of all the EU institutions, bodies and agencies, strongly encourage all public and private sector organisations in the EU to apply, at a minimum, the cybersecurity best practices hereunder.  継続的に増大する脅威レベルに基づき、EUのサイバーセキュリティ機関であるENISAと、EUの全機関・団体・機関のCERTであるCERT-EUは、EUのすべての官民組織に対し、最低限、以下のサイバーセキュリティのベストプラクティスを適用することを強く推奨する。
ENISA and CERT-EU remain confident that, by applying this set of recommendations in a consistent, systematic manner, organisations in the EU will be able to substantially improve their cybersecurity posture and enhance their overall attack resilience.  ENISAとCERT-EUは、この一連の推奨事項を一貫性のある体系的な方法で適用することにより、EU内の組織はサイバーセキュリティの態勢を大幅に改善し、全体的な攻撃の回復力を高めることができると確信しています。
Best practices  ベストプラクティス 
The following best practices may complement but do not replace guidance issued by your national or governmental cybersecurity authority. They are provided in no particular order.  以下のベストプラクティスは、国または政府のサイバーセキュリティ当局が発行したガイダンスを補完するものであり、これに代わるものではありません。これらは順不同で記載されています。
Organisations should prioritise their actions according to their specific business needs.  組織は、具体的なビジネスニーズに応じて行動に優先順位をつける必要があります。
1.     Ensure remotely accessible services require multi-factor authentication (MFA).   1. リモートアクセス可能なサービスに多要素認証(MFA)が必要であることを確認する。 
These include, but are not limited to, VPN services, external facing corporate portals (extranets) and email access (e.g. OWA or Exchange Online). If possible, avoid using SMS and voice calls to provide one-time codes and consider deploying phishing resistant tokens such as smart cards and FIDO2 (Fast IDentity Online) security keys.   これには、VPN サービス、外部向け企業ポータル(エクストラネット)、電子メールアクセス(OWA または Exchange Online など)が含まれますが、これらに限定されません。可能であれば、SMSや音声通話によるワンタイムコードの提供を避け、スマートカードやFIDO2(Fast IDentity Online)セキュリティキーなどのフィッシング耐性のあるトークンの導入を検討する。 
2.     Ensure users do not re-use passwords, encourage users to use Multiple Factor Authentication (MFA) whenever supported by an application (on social media for instance)  2. ユーザーがパスワードを再利用しないようにし、アプリケーション(ソーシャルメディアなど)でサポートされている場合は常に多要素認証(MFA)を使用するように促す。
Threat actors often compromise organisations by performing credential stuffing attacks. These attacks use credentials obtained from previous data breaches, such as leaked user names and passwords, against another unrelated service. These attacks are made possible because users tend to re-use the same username/password combination. Users are therefore encouraged to never reuse a password. In addition, users are advised to use trusted leak checkers to see if their personal email addresses are present in any known data breach and to change immediately any compromised password on the relevant websites and/or applications. The use of a corporate password manager should be encouraged whenever possible.   脅威の担い手は、クレデンシャルスタッフィング攻撃を行うことで組織を危険にさらします。このような攻撃では、流出したユーザー名やパスワードなど、過去の情報漏えい事件で得られた認証情報を、関連性のない別のサービスに対して使用します。このような攻撃が可能になるのは、ユーザーが同じユーザー名とパスワードの組み合わせを再利用する傾向があるためです。したがって、ユーザーはパスワードを決して再利用しないようにしてください。さらに、信頼できる漏洩チェックツールを使用して、既知のデータ漏洩に自分の個人的な電子メールアドレスが含まれていないかどうかを確認し、関連するウェブサイトやアプリケーションで漏洩したパスワードを直ちに変更することをお勧めします。また、可能な限り企業内パスワードマネージャーの使用を推奨します。 
3.     Ensure all software is up-to-date  3. すべてのソフトウェアを最新の状態にする 
Updates addressing known vulnerabilities should be prioritised. Reengineering vulnerability management processes is also needed and recommended in order to deploy high and critical severity patches as quickly as possible.   既知の脆弱性に対応したアップデートを優先的に実施する。また、深刻度の高いパッチや重要度の高いパッチを可能な限り迅速に導入するために、脆弱性管理プロセスを再構築することも必要であり、推奨します。 
Ensure all actions related to patching of endpoints and servers have been completed (e.g. system reboots).   エンドポイントやサーバへのパッチ適用に関連するすべての作業が完了していることを確認してください(システムの再起動など)。 
Remember to strongly encourage your users to patch their personal systems at home and as regularly as possible (e.g. computers, smartphones, tablets, connected devices like TV sets, videogame consoles, home routers, etc.).   ユーザーが自宅の個人用システムにパッチを適用することを、可能な限り定期的に強く奨励することを忘れないでください(コンピュータ、スマートフォン、タブレット、テレビ、ビデオゲーム機、ホームルーターなどの接続機器などが該当します)。 
4.     Tightly control third party access to your internal networks and systems.   4. 社内ネットワークやシステムへの第三者のアクセスを厳重に管理する。 
This will improve your ability to prevent and detect potential attacks should a third party be compromised and used as a beachhead to breach your organisation.  これにより、万が一、第三者が侵入して組織への侵入の橋頭堡となった場合に、潜在的な攻撃を防止・検知する能力が向上します。
5.     Pay special attention to hardening your cloud environments before moving critical loads to the Cloud.   5. 重要な負荷をクラウドに移行する前に、クラウド環境の堅牢化に特別な注意を払う。 
Use the strong security controls available on cloud platforms and separate cloud system management from on-premise system management to ensure threat actors cannot jump from one environment to the other because of discrepancies in security controls.   クラウド・プラットフォームで利用可能な強力なセキュリティ・コントロールを利用し、クラウド・システムの管理とオンプレミス・システムの管理を分離することで、セキュリティ・コントロールの不一致を理由に、脅威の主体がある環境から別の環境に飛び移ることができないようにします。 
6.     Review your data backup strategy and use the so-called 3-2-1 rule approach   6. データのバックアップ戦略を見直し、「3-2-1ルール」と呼ばれるアプローチを採用する 。 
Addressed to organisations, the rule consists in keeping three complete copies of their data, with two of them locally stored but on different types of media, and at least one copy stored off-site. Your organisation’s backup strategy should be fully aligned with your business needs by setting explicit recovery time (RTOs) and recovery point objectives (RPOs).   組織を対象としたこのルールでは、データの完全なコピーを3つ保持することになっています。そのうちの2つはローカルに保存されていますが、異なる種類のメディアに保存されており、少なくとも1つのコピーはオフサイトに保存されています。組織のバックアップ戦略は、リカバリータイム(RTO)とリカバリーポイント(RPO)を明確に設定することで、ビジネスニーズに完全に一致させる必要があります。 
Ensure access to backups is controlled, limited and logged.   バックアップへのアクセスは制御され、制限され、記録されます。 
Confirm your restore procedures are well documented and tested regularly.   復元手順が十分に文書化され、定期的にテストされていることを確認する。 
Given the proliferation of ransomware attacks, it is strongly recommended to increase the frequency of backups for critical data. The latest storage technologies facilitate rapid backups of almost any data set in a matter of minutes.   ランサムウェアの攻撃が急増していることを考えると、重要なデータのバックアップの頻度を増やすことが強く推奨されます。最新のストレージ技術では、ほとんどのデータセットを数分で迅速にバックアップすることができます。 
Users should be trained to save data only on storage devices allowed by your cybersecurity policy or, if applicable, on the corporate cloud storage and not on their workstations. In addition, you should ensure that your backup software itself is up to date.   ユーザーは、データをワークステーションではなく、サイバーセキュリティポリシーで許可されたストレージデバイスや、該当する場合は企業のクラウドストレージにのみ保存するように教育する必要があります。さらに、バックアップソフトウェア自体を最新の状態にしておくことも必要です。 
7.     Change all default credentials and disable protocols that do not support multi-factor authentication or use weak authentication (e.g. cleartext passwords, or outdated and vulnerable authentication or encryption protocols).   7. デフォルトの認証情報をすべて変更し、多要素認証に対応していないプロトコルや脆弱な認証を使用しているプロトコル(例:平文のパスワード、時代遅れで脆弱な認証や暗号化プロトコル)を無効にする。 
8.     Employ appropriate network segmentation and restrictions to limit access and utilise additional attributes (such as device information, environment and access paths) when making access decisions.   8. アクセスを制限するために適切なネットワークセグメンテーションと制限を採用し、アクセスを決定する際には追加の属性(デバイス情報、環境、アクセス経路など)を利用する。 
9.     Conduct regular training to ensure that IT and system administrators have a solid understanding of your organisation’s security policy and associated procedures.  9. 定期的なトレーニングを実施し、IT 管理者およびシステム管理者が組織のセキュ リティポリシーおよび関連する手順を確実に理解できるようにする。
Vigilantly monitoring the misuse of sysadmin tools can help you prevent attackers from breaching your network and moving laterally.   システム管理者用ツールの悪用を注意深く監視することで、攻撃者がネットワークに侵入して横方向に移動するのを防ぐことができます。 
10.  Create a resilient email security environment by enabling antispam filtering, adding a secure email gateway configured to automatically follow field-tested policies and playbooks designed to prevent malicious emails from reaching mailboxes.  10.  アンチスパムフィルタリングを有効にし、悪意のある電子メールがメールボックスに到達するのを防ぐためにフィールドテストされたポリシーとプレイブックに自動的に従うように構成されたセキュアな電子メールゲートウェイを追加することで、回復力のある電子メールセキュリティ環境を構築する
11.  Organise regular cyber awareness events to train your users on common phishing techniques (e.g. identifying spoofed/suspicious messages) and the effects of phishing attacks.    11. 定期的にサイバー・アウェアネス・イベントを開催し、一般的なフィッシング技術(例:偽装されたメッセージや悪意のあるメッセージの識別)やフィッシング攻撃の影響についてユーザーを教育する。 
12.  Protect your web assets from denial-of-service attacks.  12.  Web資産をサービス妨害攻撃から守る。
Using a CDN (Content Delivery Network) will expand your web assets’ footprint across multiple servers or use the native high-availability features of cloud platforms.   CDN(Content Delivery Network)を利用することで、ウェブ資産のフットプリントを複数のサーバーに拡大したり、クラウド・プラットフォームのネイティブな高可用性機能を利用したりすることができます。 
Automate the disaster recovery runbooks for on-premise systems and ensure that you can move workloads to the disaster recovery site with a single click if possible.   オンプレミスシステムの災害復旧ランブックを自動化し、可能であればワンクリックで災害復旧サイトにワークロードを移動できるようにしてください。 
13.  Block or severely limit internet access for servers or other devices that are seldom rebooted, as they are coveted by threat actors for establishing backdoors and creating persistent beacons to Command and Control (C2) infrastructure.  13.  滅多に再起動しないサーバやその他のデバイスのインターネットアクセスをブロックまたは大幅に制限する。これらのデバイスは、バックドアの設置やコマンド&コントロール(C2)インフラへの持続的なビーコンの作成のために、脅威アクターが欲しがるからです。
14.  Make sure you have the procedures to reach out and swiftly communicate with your CSIRT. Contact details can be found on the matching websites available via https://csirtsnetwork.eu/.  14.  CSIRT に連絡を取り、迅速にコミュニケーションを取るための手順を確認する。連絡先の詳細は、https://csirtsnetwork.eu/ から入手できるマッチングサイトで確認できます。
Publications  出版物 
CSIRT publications  CSIRTの出版物 
For best practices issued by your relevant CSIRT, please refer to their local websites 各CSIRTが発行するベストプラクティスについては、各CSIRTのウェブサイトを参照してください。
CERT-EU Security Advisories  CERT-EUセキュリティ・アドバイザリ 
You may also refer to CERT-EU’s Security Advisories for information about critical vulnerabilities.  重要な脆弱性に関する情報は、CERT-EUのSecurity Advisoriesを参照することもできます。
ENISA publications  ENISAの出版物 
You may also refer to the following ENISA publications for additional information:   追加情報として、以下のENISAの出版物も参照できます。 
• ENISA Threat Landscape 2021, issued in October 2021.  - ENISA Threat Landscape 2021(2021年10月発行)。
• Guidance on Secure Backups, including the 3-2-1 rule, issued on 1 September 2021.  - 3-2-1ルールを含む安全なバックアップに関するガイダンス(2021年9月1日発行)。
• Proactive Detection, section on monitoring, pp. 12 - 18, issued on 26 May 2020.  - Proactive Detection, section on monitoring, pp.12 - 18, issued on 26 May 2020. 
• Proactive detection – Measures and information sources, issued on 26 May 2020.   - プロアクティブディテクション - 対策と情報源、2020年5月26日発行。 
How to set up CSIRT and SOC, issued on 10 December 2020.   - How to set up CSIRT and SOC, issued on 10 December 2020.  
• Standards and tools for exchange and processing of actionable information, issued on 19 January 2015.   - 行動可能な情報の交換と処理のための標準とツール、2015年1月19日発行。 

 

|

« 欧州検査院 特別報告書 EUにおける5Gの展開:セキュリティ問題が未解決のままネットワーク展開が遅れる at 2022.01.24 | Main | 米国 Rand研究所 「中国の防衛産業基盤のシステム的な強みと弱みの評価」 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 欧州検査院 特別報告書 EUにおける5Gの展開:セキュリティ問題が未解決のままネットワーク展開が遅れる at 2022.01.24 | Main | 米国 Rand研究所 「中国の防衛産業基盤のシステム的な強みと弱みの評価」 »