米国 CISAのディレクターが最初の一歩として選んだ4つのセキュリティ対策
こんにちは、丸山満彦です。
CISAもブログをしていますが、ディレクターのEric Goldsteinさんが、「4つの目標でサイバーセキュリティ向上への第一歩を踏み出そう」という記事を書いていますね。。。
なるほど、この4つを選んだか...と
- デフォルトパスワードの変更
- 多要素認証
- ユーザーアカウントと特権アカウントの分離
- インシデント対応計画
1995年くらいにコンピュータ全般内部統制の評価をすることになったのですが、その際にならったことは今でも役立ちます。
1. Scott といえば Tiger。オラクルのデフォルトユーザのデフォルトパスワードの変更が必要という話です。もちろん、アカウントを使えないようにしてから、パスワードも変えるということをするのですが、Soctt といえば Tigerで、書庫パスワード変更の必要性を覚えることができました。。。
3. UNIXのSUコマンド。一般のユーザーとしてシステムを利用するときと、システム管理者としてシステムにアクセスするときは、アカウントを使い分けろとならいましたね。。。システム管理者としてログイン、ログアウトの管理を確かにするのと、システム管理者の操作ログの取得と検査の重要性を学びました。。。
● CISA - Blog
・2023.07.21 Take the First Steps Towards Better Cybersecurity With these Four Goals
Take the First Steps Towards Better Cybersecurity With these Four Goals | 4つの目標でサイバーセキュリティ向上への第一歩を踏み出そう |
Every day, organizations across our country are impacted by cyber intrusions, many of which affect the delivery of essential services. Security professionals and business leaders alike recognize the need to protect their customers, employees, and enterprises against this threat, which raises a simple but challenging question: where to start? | 毎日、わが国中の組織がサイバー侵入の影響を受けており、その多くは重要なサービスの提供に影響を及ぼしている。セキュリティの専門家もビジネスリーダーも同様に、顧客、従業員、エンタープライズをこの脅威から守る必要性を認識している。 |
We know that no organization can adopt every possible cybersecurity measure or solution, but every organization can do something. We also know that some cybersecurity measures are more effective than others in addressing the types of attacks that occur with the greatest frequency and impact. There’s no shortage of guidance, best practices, and standards, but we’ve heard from countless partners about a challenge in prioritization. | 私たちは、どの組織も可能な限りのサイバーセキュリティ対策やソリューションを採用できないことを知っているが、どの組織も何かしらできるはずだ。また、サイバーセキュリティ対策の中には、最も高い頻度で発生し、大きな影響を及ぼす攻撃の種類に対処する上で、他のものよりも効果的なものがあることも分かっている。ガイダンス、ベスト・プラクティス、標準には事欠かないが、優先順位付けの難しさについては、数え切れないほどのパートナーから聞かされている。 |
To address this gap, President Biden’s National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems required Cybersecurity and Infrastructure Security Agency (CISA) to work with industry and interagency partners to develop a set of voluntary Cross-Sector Cybersecurity Performance Goals (CPGs). We first introduced the CPGs in December 2022 and updated them this March based on initial stakeholder feedback. The CPGs were developed for entities of all sizes and across all sectors and meant to enable rigorous prioritization because being secure shouldn’t mean breaking the budget. In addition, the CPGs can help organizations evaluate their current cyber posture while guiding them on how to achieve a strong cybersecurity foundation for their organization | このギャップに対処するため、バイデン大統領の「重要インフラ制御システムのサイバーセキュリティ改善に関する国家安全保障覚書」は、サイバーセキュリティ・インフラセキュリティ庁(CISA)に対し、産業界および省庁間のパートナーと協力して、自主的なセクター横断的サイバーセキュリティ・パフォーマンス目標(CPGs)を策定するよう求めた。CISAは2022年12月にCPGを初めて導入し、利害関係者からの初期的なフィードバックに基づいて今年3月に更新した。CPGは、あらゆる規模、あらゆるセクターの事業体向けに開発され、厳格な優先順位付けを可能にすることを意図している。さらに、CPGは、組織が現在のサイバー態勢を評価するのに役立つと同時に、組織の強固なサイバーセキュリティ基盤を実現する方法を導くものでもある。 |
We believe that if every organization incorporates fundamental cybersecurity practices that they can materially reduce the risk of intrusions, no matter what sector or what size. As the nation’s Cyber Defense Agency, our goal at CISA is to make it easier for every organization to prioritize the most important cybersecurity practices. We also want to be sure they are clear, easy-to-understand, and when—implemented—lay out tangible steps organizations can take to reduce the risk of cyberattacks and the damage they can wreak. | すべての組織が基本的なサイバーセキュリティの実践を取り入れれば、業種や規模を問わず、侵入のリスクを大幅に低減できると信じている。国のサイバー防衛機関として、CISAの目標は、すべての組織が最も重要なサイバーセキュリティの実践に優先順位をつけやすくすることである。また、サイバー攻撃のリスクとその被害を軽減するために組織が取るべき具体的なステップを示す、明確で理解しやすいものでありたいと考えている。 |
Organized according to the Cybersecurity Framework, the CPGs reflect some of the best thinking gleaned from across the cybersecurity community and draw from extensive input from experts across sectors, public and private, domestic and international. | サイバーセキュリティフレームワークに従って整理されたCPGは、サイバーセキュリティ・コミュニティ全体から得られた最良の考え方の一部を反映しており、官民、国内外を問わず、セクターを超えた専門家からの広範なインプットから作成されている。 |
While the full list of goals may seem long, particularly for small organizations, they are quite achievable. For example, some straightforward and essential practices you can start implementing today are: | 目標の全リストは、特に小規模な組織にとっては長く感じられるかもしれないが、かなり達成可能なものである。例えば、今日から実施できる簡単で不可欠なプラクティスをいくつか紹介しよう: |
・Change default passwords (CPG Goal 2.A): Creating and enforcing an organization-wide policy that requires changing default manufacturer’s passwords prior to putting hardware, software, or firmware on the network can help organizations both prevent initial access by threat actors and hinder lateral movement in the event of a compromise. Many devices, such as smartphones, may prompt new users to set up a new password by default. However, many devices still do not prompt users to take this action, and it should be one of the first steps when deploying any new asset or device. Importantly, no technology product should come with a default password that isn’t reset on first use. When purchasing a product, ask your vendor about their use of default passwords! | ・デフォルトのパスワードを変更する(CPG目標2.A): ハードウェア、ソフトウェア、ファームウェアをネットワークに導入する前に、製造元のデフォルトのパスワー ドを変更することを義務付ける組織全体のポリシーを策定し、実施することは、脅威行為者による初期アクセスの防止と、侵害が発生した場合の横の動きの抑制の両方に役立つ。スマートフォンのような多くのデバイスは、デフォルトで新しいパスワードを設定するよう新規ユーザーを促すかもしれない。しかし、多くのデバイスはまだこのアクションをユーザーに促しておらず、新しい資産やデバイスを導入する際の最初のステップの一つであるべきだ。重要なことは、どのようなテクノロジー製品も、初回使用時にリセットされないデフォルトのパスワードが付属すべきではないということである。製品を購入する際には、デフォルト・パスワードの使用についてベンダーに尋ねること! |
・Implement phishing-resistant multifactor authentication (MFA) (CPG Goal 2.H): Adding a critical, additional layer of security to protect your organizations’ accounts can deny threat actors an initial foothold used to wreak havoc. CISA recommends using hardware-based tokens, such as FIDO or Public Key Infrastructure, for the greatest resistance to exploitation. App-based soft tokens are a good option as well. While better than having no additional security layer, Short Message Service (SMS) should be an organization’s last resort for implementing multifactor authentication. For more information see CISA’s fact sheet on Implementing Phishing Resistant MFA along with other information available on CISA’s More than a Password page. Similarly, to the action above, technology products should come out of the box with MFA enabled as a default, without additional cost. When selecting a technology product, remind your vendor that you expect MFA to be automatically enabled for all users. | ・フィッシングに強い多要素認証(MFA)を導入する(CPGゴール2.H): 組織のアカウントを保護するために、重要な追加のセキュリティ・レイヤーを追加することで、脅威行為者が大惨事を引き起こすための最初の足がかりを奪うことができる。CISAは、悪用に対する最大の抵抗力として、FIDOや公開鍵基盤などのハードウェアベースのトークンの使用を推奨している。アプリベースのソフトトークンも良い選択肢だ。セキュリティ・レイヤーを追加しないよりはましだが、ショート・メッセージ・サービス(SMS)は、多要素認証を実装するための組織の最後の手段であるべきだ。詳細については、CISAのファクト・シート「フィッシングに強いMFAの実装」を参照のこと。上記のアクションと同様に、テクノロジー製品は、追加コストなしで、デフォルトで MFA を有効にした状態で出荷されるべきである。テクノロジー製品を選択する際には、MFAがすべてのユーザーに対して自動的に有効になることを期待していることをベンダーに思い出させる。 |
・Separate user and privileged accounts (CPG Goal 2.E): Make it harder for threat actors to gain access or escalate privileges, even if user accounts get compromised, by ensuring no user accounts have administrator-level privileges. Be sure to frequently re-evaluate privileges on a recurring basis to validate need for certain permissions. For example, an employee on the marketing team should likely not have access to company human resources data, as it is not necessary for their daily work. | ・ユーザアカウントと特権アカウントを分離する(CPGゴール2.E): ユーザ・アカウントに管理者レベルの特権を持たせないようにすることで、たとえユーザ・アカウントが侵害されたとしても、脅威行為者がアクセスしたり特権を拡大したりすることを困難にする。定期的に権限を再評価し、特定の権限の必要性を確認する。例えば、マーケティングチームの従業員は、日常業務に必要でないため、会社の人事データにアクセスすべきではないだろう。 |
・Incident response plans (CPG Goal 2.S): Create, maintain, and exercise cybersecurity response plans, which can help an organization know what needs to be done to quickly address common threat scenarios and recover more quickly. While large organizations may have complex plans, smaller entities may start with a simple plan outlining immediate steps to take in an emergency (such as contacting a service provider for assistance) and improve on the plan over time. CISA recommends organizations practice exercising the plan by drilling realistic scenarios at least annually. Again, for large organizations these may be carefully planned tabletop exercises, but for small teams, approaches such as simple rehearsals or spoken walkthroughs can still provide value. | ・インシデント対応計画(CPG 目標 2.S): これは、一般的な脅威シナリオに迅速に対処し、より迅速に復旧するために何が必要かを組織が把握するのに役立つ。大規模な事業体であれば複雑な計画を策定しているかもしれないが、小規模な事業体であれば、緊急時に取るべき緊急措置(プロバイダへの連絡など)をまとめたシンプルな計画から着手し、時間をかけて計画を改善していくこともできる。CISAは、少なくとも年1回、現実的なシナリオを想定し、計画を実践することを推奨している。この場合も、大規模な組織の場合は、入念に計画された机上演習になるかもしれないが、小規模なチームの場合は、簡単なリハーサルや口頭によるウォークスルーなどのアプローチでも価値を提供することができる。 |
We offer a free CPG assessment to help organizations identify areas for maturation and develop a targeted roadmap. Consider a self-assessment or get in touch with our regional team members in your area to learn more! To learn more about the CPGs, take a look at our brief video and visit www.cisa.gov/cpg. | 当庁は、組織が成熟すべき領域を特定し、目標とするロードマップを作成するのに役立つ無料のCPGアセスメントを提供している。セルフ・アセスメントをご検討いただくか、お近くの当社地域チーム・メンバーにお問い合わせいただきたい!CPGの詳細については、簡単なビデオを確認のこと。www.cisa.gov/cpg。 |
・Cross-Sector Cybersecurity Performance Goals
ビデオ...
CISA CPG Checklist
・[PDF] CISA CPG Checklist
CPG Report
・[PDF] CPG Report
Complete CPGs Matrix/Spreadsheet
・[XLSX] Complete CPGs Matrix/Spreadsheet
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.03.30 米国 CISA サイバーセキュリティ・パフォーマンス目標 (CPGs) の更新版を発表 (2023.03.21)
・2022.11.03 米国 国土安全保障省 (DHS) 重要インフラのための新たなサイバーセキュリティ・パフォーマンス目標 (2022.10.27)
« CSA クラウドとセキュリティ侵害 (C&C): クラウド・セキュリティのゲーム (2023.07.10) | Main | 米国 公正取引委員会 保健社会福祉省 病院システムと遠隔医療プロバイダに対し、オンライン追跡技術によるプライバシーとセキュリティのリスクについて警告 »
Comments