英国 Cyber Essentials 2025.04.28以降の要求事項等について...
こんにちは、丸山満彦です。
いろいろな政策の検討をしている中で、英国が中小企業(英国の場合は従業員数250名未満)のCyber Security向上政策の一つとして考えたCyber Essentials制度は2014年に始まった制度で、委託先管理(ある意味サプライチェーンリスク管理)の一つの方法として参考になる面もあるので、最近話題となっていますね...
ISO/IEC 27001の認証では費用負担等が大きいということで、中小企業のサイバーセキュリティ認証として利用されているもので、Cyber Essentialsの宣言をしている組織が3.4万組織、うち認証を取得しているのが1.1万組織(2024.10-2024.09)となっています...
● NCSC
・[ODS] Cyber Essentials management information (July 2024 to September 2024)
認証のための規準 Criteria については2024.04にV3.1に変わったのですが、この9月に2024.04.28以降に利用される要求事項、Plus用の検証の例示が公表されています...
| 2025.4.28 | 以降 | 以前 | |
| 評価規準 | Cyber Essentials: Requirements for IT infrastructure | V3.2 | V3.1 |
| 認証基準 | Cyber Essentials Plus: Illustrative Test Specification | V3.2 | V3.1 |
要求事項(評価規準)
・[PDF] Cyber Essentials: Requirements for IT infrastructure V3.2
| What’s new in this version | 本バージョンの新機能 |
| A. Introducing the technical controls | A. 技術的管理の紹介 |
| B. Definitions | B. 定義 |
| C. Scope | C. 範囲 |
| Scope overview | 範囲の概要 |
| Asset management and Cyber Essentials | 資産管理とサイバーエッセンシャル |
| i. Bring your own device (BYOD) | i. BYOD(Bring Your Own Device) |
| ii. Home and remote working | ii. 在宅勤務とリモートワーク |
| iii. Wireless devices | iii. ワイヤレスデバイス |
| iv. Cloud services | iv. クラウドサービス |
| v. Accounts used by third parties and managed infrastructure | v. サードパーティが使用するアカウントおよび管理対象インフラ |
| vi. Devices used by third parties | vi. サードパーティが使用するデバイス |
| vii. Web applications | vii. ウェブアプリケーション |
| D. Requirements by technical control theme | D. 技術的管理テーマ別要件 |
| 1. Firewalls | 1. ファイアウォール |
| Aim | 目的 |
| Introduction | 序文 |
| Requirements | 要件 |
| 2. Secure configuration | 2. セキュアな構成 |
| Aim | 目的 |
| Introduction | 序文 |
| Requirements | 要件 |
| 3. Security update management | 3. セキュリティ更新管理 |
| Aim | 目的 |
| Introduction | 序文 |
| Requirements | 要件 |
| 4. User access control | 4. ユーザーアクセス管理 |
| Aim | 目的 |
| Introduction | 序文 |
| Requirements | 要件 |
| Password-based authentication | パスワードベース認証 |
| Multi-factor authentication (MFA) | 多要素認証(MFA) |
| Passwordless authentication | パスワードレス認証 |
| 5. Malware protection | 5. マルウェア保護 |
| Aim | 目的 |
| Introduction | 序文 |
| Requirements | 要件 |
| Application allow listing (option for all in scope devices) | アプリケーションの許可リスト(対象範囲内のすべてのデバイスのオプション) |
| E. Further guidance | E. さらなるガイダンス |
| Backing up your data | データのバックアップ |
| Zero trust and Cyber Essentials | ゼロトラストおよびサイバーエッセンシャル |
認証基準
・[PDF] Cyber Essentials Plus: Illustrative Test Specification V3.2
目次..
| What’s new | 新着情報 |
| Audience | 想定読者 |
| Purpose | 目的 |
| Before you begin | 始める前に |
| General prerequisites for testing | テストの一般的前提条件 |
| Success criteria | 成功規準 |
| Test results | テスト結果 |
| Pass: | 合格: |
| Fail: | 不合格 |
| Advisory notes | アドバイザリに関する注記 |
| Test case 1: Remote vulnerability assessment | テストケース 1: リモート脆弱性アセスメント |
| Test purpose | テスト目的 |
| Test description | テスト説明 |
| Prerequisites | 前提条件 |
| Sub-test 1.1 | サブテスト 1.1 |
| Interpreting the test case results | テストケース結果の解釈 |
| Sample testing | サンプルテスト |
| Test case 2: Check patching, by authenticated vulnerability scan of devices | テストケース 2: デバイスの認証脆弱性スキャンによるパッチ適用チェック |
| Test purpose | テスト目的 |
| Test description | テスト説明 |
| Prerequisites | 前提条件 |
| Sub-test 2.1 | サブテスト 2. 1 |
| Interpreting the test case results | テストケース結果の解釈 |
| Test case 3: Check malware protection | テストケース3:マルウェア防御の確認 |
| Test purpose | テスト目的 |
| Test description | テスト内容 |
| Prerequisites | 前提条件 |
| Selecting appropriate sub-tests | 適切なサブテストの選択 |
| Sub-test 3.1 (for devices that use anti-malware software) | サブテスト3.1(マルウェア対策ソフトウェアを使用する機器の場合) |
| Sub-test 3.1.1 (Check effectiveness of defences against malware delivered by email) | サブテスト3.1.1(電子メールで配信されるマルウェアに対する防御の有効性の確認) |
| Sub-test 3.1.2 (Check effectiveness of defences against malware delivered by browser) | サブテスト3. 1.2(ブラウザによって配信されるマルウェアに対する防御の有効性の確認) |
| Sub-test 3.1.3 (Manual Checks for devices that use anti-malware software) | サブテスト 3.1.3(マルウェア対策ソフトウェアを使用する機器に対する手動確認) |
| Sub-test 3.2 (for devices that use certificate-based application allow listing) | サブテスト 3.2(証明書ベースのアプリケーション許可リストを使用する機器に対する手動確認) |
| Interpreting the test case results | テストケース結果の解釈 |
| Test case 4: Check multi-factor authentication configuration | テストケース 4:多要素認証構成の確認 |
| Test purpose | テスト目的 |
| Test description | テスト記述 |
| Test case 4.1 | テストケース 4.1 |
| Interpreting the test case results | テストケース結果の解釈 |
| Test case 5: Check account separation | テストケース 5:アカウント分離の確認 |
| Test purpose | テスト目的 |
| Test description | テスト記述 |
| Test case 5.1 | テストケース 5.1 |
| Interpreting the test case results | テストケース結果の解釈 |
| Conclude the assessment | アセスメントの終了 |
| Appendix A: Vulnerability scanning | 附属書 A:脆弱性スキャン |
| Appendix B: Types of test file | 附属書 B:テストファイルの種類 |
ちなみに認証は、IASME という認証機関が行なっています。この認証機関は、Cyber Essentialsも含めて合計10のスキームを提供していますね...
参考1:最近のCyber Essentialsの取得状況
● NCSC
・Cyber Essentials management information
・[ODS] Cyber Essentials management information (July 2024 to September 2024)
そこからグラフにしてみました...
取得数...
CEの数...
CE Plusの数
参考2:IASMEの認証業務
● IASME
NCSCスキーム
- Cyber Essentials
- Cyber Advisor
- Cyber Incident Response (CIR) Level 2
- Cyber Incident Exercising (CIE)
IASMEスキーム
- IASME Cyber Baseline
- IASME Cyber Assurance
- IASME IoT Cyber Baseline
- IASME IoT Cyber Assurance
- Maritime Cyber Baseline
- Civil Aviation Authority's ASSURE
海事、航空関係のサイバー認証をしているところが興味深いですね...
Cyber Essentials
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.08.20 英国 サイバーエッセンシャル発行数 (2023.07-2024.06)
・2023.08.17 英国 国家サイバー戦略 2022 の進捗報告 (2022-2023)
・2023.07.13 英国 小規模企業のサイバーセキュリティをサポート:サイバーアドバイザリー制度 (2023.04.17)
・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)
・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15
・2020.10.11 UK National Cyber Security Centreがスモールビジネス向けサイバーセキュリティガイド改訂版を公開していますね。。。(Cyber Essentials認定も意識して
Comments