詳細なエンタープライズ資産インベントリの確立と維持:

エンドユーザーデバイス(ポータブルおよびモバイルを含む)、ネットワークデバイス、非コンピューティング/IoTデバイス、サーバーなど、データを保存または処理する可能性のあるすべてのエンタープライズ資産の正確で詳細かつ最新のインベントリを確立して維持します。在庫に、ネットワークアドレス (静的な場合)、ハードウェアアドレス、マシン名、データ資産所有者、各資産の部門、および資産がネットワークへの接続が承認されているかどうかが記録されていることを確認します。モバイルエンドユーザーデバイスの場合、MDMタイプのツールは、必要に応じてこのプロセスをサポートできます。このインベントリには、インフラストラクチャに物理的、仮想的、リモート的に接続された資産、およびクラウド環境内の資産が含まれます。さらに、企業の管理下にない場合でも、企業のネットワークインフラストラクチャに定期的に接続されている資産も含まれます。すべてのエンタープライズ資産の在庫を半年ごと、またはそれ以上の頻度で確認および更新します。

許可されていない資産への対処:

承認されていない資産に毎週対処するプロセスが存在することを確認します。企業は、ネットワークから資産を削除するか、資産によるネットワークへのリモート接続を拒否するか、資産を隔離するかを選択できます。

アクティブな検出ツールを使用：

アクティブな検出ツールを使用して、企業のネットワークに接続されている資産を特定します。アクティブな検出ツールを毎日、またはそれ以上の頻度で実行するように構成します。

動的ホスト構成プロトコル (DHCP) ログを使用してエンタープライズ資産インベントリを更新します。

すべての DHCP サーバーまたはインターネット プロトコル (IP) アドレス管理ツールで DHCP ログを使用して、企業の資産インベントリを更新します。ログを確認して使用し、企業の資産在庫を毎週またはそれ以上の頻度で更新します。

受動的資産検出ツールを使用：

パッシブ検出ツールを使用して、企業のネットワークに接続されている資産を特定します。スキャンを確認して使用し、企業の資産在庫を少なくとも毎週、またはそれ以上の頻度で更新します。

ソフトウェア・インベントリーの確立と保守:

エンタープライズ資産にインストールされているすべてのライセンス済みソフトウェアの詳細なインベントリを確立して維持します。ソフトウェア インベントリには、各エントリのタイトル、発行元、最初のインストール/使用日、およびビジネス目的を文書化する必要があります。必要に応じて、ユニフォーム リソース ロケーター (URL)、アプリ ストア、バージョン、デプロイ メカニズム、および使用停止の日付を含めます。ソフトウェア インベントリを半年に 1 回、またはそれ以上の頻度で確認および更新します。

認可済みソフトウェアが現在サポートされていることを確認する

現在サポートされているソフトウェアのみが、エンタープライズ資産のソフトウェア在庫で認可済みとして指定されていることを確認します。ソフトウェアがサポートされていないが、企業の使命を果たすために必要な場合は、制御の軽減と残存リスクの受容を詳述した例外を文書化します。例外のないサポート対象外のソフトウェアドキュメントについては、未許可として指定します。ソフトウェアリストを確認して、少なくとも毎月、またはそれ以上の頻度でソフトウェアサポートを確認します。

許可されていないソフトウェアへの対処:

許可されていないソフトウェアがエンタープライズ資産での使用から削除されるか、文書化された例外を受け取ることを確認します。毎月、またはそれ以上の頻度でレビューします。

自動ソフトウェア在庫ツールを使用:

可能な場合は、企業全体でソフトウェア在庫ツールを使用して、インストールされているソフトウェアの検出と文書化を自動化します。

許可されたソフトウェアを許可リストに登録:

アプリケーションの許可リストなどの技術的なコントロールを使用して、許可されたソフトウェアのみが実行またはアクセスできるようにします。半年ごと、またはそれ以上の頻度で再評価します。

許可リスト認証ライブラリ:

テクニカルコントロールを使用して、特定の .dll、.ocx、.so などのファイルなど、許可されたソフトウェアライブラリーのみをシステムプロセスにロードできるようにします。許可されていないライブラリがシステム プロセスに読み込まれるのをブロックします。半年ごと、またはそれ以上の頻度で再評価します。

許可リスト承認スクリプト:

デジタル署名やバージョン管理などの技術的な制御を使用して、特定の .ps1、.py などのファイルなどの承認されたスクリプトのみが実行できるようにします。許可されていないスクリプトの実行をブロックします。半年ごと、またはそれ以上の頻度で再評価します。

データ管理プロセスの確立と維持:

データ管理プロセスを確立し、維持します。このプロセスでは、企業の機密性と保持度の基準に基づいて、データの機密性、データ所有者、データの処理、データ保持の制限、および廃棄の要件に対処します。ドキュメントを年に 1 回確認して更新するか、またはこの Safeguard に影響を与える可能性のある企業における重大な変更が発生したときに更新します。

転送中の機密データを暗号化:

転送中の機密データを暗号化します。実装例としては、Transport Layer Security (TLS) や Open Secure Shell (OpenSSH) などがあります。

保存中の機密データを暗号化:

機密データを含むサーバー、アプリケーション、およびデータベースに保存されている機密データを暗号化します。ストレージレイヤー暗号化は、サーバー側暗号化とも呼ばれ、このセーフガードの最小要件を満たしています。追加の暗号化方法には、クライアント側暗号化とも呼ばれるアプリケーション層の暗号化が含まれる場合がありますが、データストレージデバイスへのアクセスではプレーンテキストデータへのアクセスが許可されません。

感度に基づくセグメントデータ処理とストレージ:

データの機密性に基づいてデータ処理とストレージをセグメント化します。機密性の低いデータを対象としたエンタープライズ資産の機密データを処理しないでください。

データ損失防止ソリューションを展開します。

ホストベースのデータ損失防止 (DLP) ツールなどの自動化ツールを実装して、オンサイトまたはリモートサービスプロバイダーにあるものを含め、エンタープライズ資産を通じて保存、処理、または送信されるすべての機密データを特定し、企業の機密データインベントリを更新します。

機密データアクセスをログ記録:

変更や破棄を含む機密データへのアクセスをログに記録します。

データインベントリの確立と管理:

企業のデータ管理プロセスに基づいて、データインベントリを確立して維持します。少なくとも機密データをインベントリします。少なくとも年に 1 回、機密データを優先して在庫を確認および更新します。

データアクセス制御リストを設定します。

ユーザーの知る必要性に基づいて、データアクセス制御リストを設定します。データ アクセス制御リスト (アクセス許可とも呼ばれます) を、ローカルおよびリモートのファイル システム、データベース、およびアプリケーションに適用します。

データ保持を強制:

企業のデータ管理プロセスに従ってデータを保持します。データ保持には、最小タイムラインと最大タイムラインの両方を含める必要があります。

データの安全な廃棄:

企業のデータ管理プロセスで概説されているように、データを安全に廃棄します。廃棄のプロセスと方法がデータの機密性に見合ったものであることを確認してください。

エンドユーザーデバイスのデータを暗号化:

機密データを含むエンドユーザーデバイスのデータを暗号化します。実装例としては、Windows BitLocker™、Apple FileVault™ 、Linux dm-crypt™ などがあります。

データ分類スキームを確立して管理します。

企業の全体的なデータ分類スキームを確立し、維持します。企業は、「機密」、「機密」、「公開」などのラベルを使用し、それらのラベルに従ってデータを分類できます。分類スキームを年に 1 回確認して更新するか、またはこの Safeguard に影響を与える可能性のある企業の重大な変更が発生したときに更新します。

ドキュメントデータフロー:

ドキュメント データ フロー。データ フローのドキュメントには、サービス プロバイダーのデータ フローが含まれており、企業のデータ管理プロセスに基づいている必要があります。ドキュメントを年に 1 回確認して更新するか、またはこの Safeguard に影響を与える可能性のある企業における重大な変更が発生したときに更新します。

リムーバブルメディア上のデータを暗号化:

リムーバブル メディア上のデータを暗号化します。

安全な構成プロセスを確立して維持します。

エンタープライズ資産 (ポータブルおよびモバイルを含むエンドユーザーデバイス、非コンピューティング/IoT デバイス、およびサーバー) とソフトウェア (オペレーティングシステムとアプリケーション) の安全な構成プロセスを確立し、維持します。ドキュメントを年に 1 回確認して更新するか、またはこの Safeguard に影響を与える可能性のある企業における重大な変更が発生したときに更新します。

ポータブルエンドユーザーデバイスに自動デバイスロックアウトを適用します。

サポートされている場合は、ポータブルエンドユーザーデバイスでのローカル認証試行失敗の事前定義されたしきい値に従って自動デバイスロックアウトを強制します。ラップトップの場合、認証試行の失敗は 20 回を超えないようにしてください。タブレットとスマートフォンの場合、認証試行の失敗は10回以下です。実装の例には、InTune デバイス ロックとApple構成プロファイル maxFailedAttempts が含まれますMicrosoft。

ポータブルエンドユーザーデバイスにリモートワイプ機能を適用する:

デバイスの紛失や盗難など、適切と思われる場合、または個人が企業をサポートしなくなった場合に、企業所有のポータブルエンドユーザーデバイスから企業データをリモートでワイプします。

モバイルエンドユーザーデバイス上の個別のエンタープライズワークスペース:

サポートされている場合は、モバイルエンドユーザーデバイスで個別のエンタープライズワークスペースが使用されていることを確認します。実装例としては、構成プロファイルまたはAndroid仕事用プロファイルを使用して、Appleエンタープライズ アプリケーションとデータを個人用アプリケーションとデータから分離することが含まれます。

ネットワーク インフラストラクチャの安全な構成プロセスを確立して維持します。

ネットワークデバイスの安全な設定プロセスを確立し、維持します。ドキュメントを年に 1 回確認して更新するか、またはこの Safeguard に影響を与える可能性のある企業における重大な変更が発生したときに更新します。

エンタープライズ資産の自動セッションロックの設定:

定義された非アクティブ期間の経過後にエンタープライズ資産に自動セッションロックを構成します。汎用オペレーティング システムの場合、期間は 15 分を超えてはなりません。モバイルエンドユーザーデバイスの場合、期間は2分を超えてはなりません。

サーバーにファイアウォールを実装および管理します。

サポートされている場合は、サーバーにファイアウォールを実装および管理します。実装例としては、仮想ファイアウォール、オペレーティングシステムのファイアウォール、サードパーティのファイアウォールエージェントなどがあります。

エンドユーザーデバイスへのファイアウォールの実装と管理:

明示的に許可されているサービスとポートを除くすべてのトラフィックをドロップするデフォルトの拒否ルールを使用して、エンドユーザーデバイスにホストベースのファイアウォールまたはポートフィルタリングツールを実装および管理します。

エンタープライズ資産とソフトウェアを安全に管理:

エンタープライズ資産とソフトウェアを安全に管理します。実装例としては、バージョン管理されたコードとしてのインフラストラクチャを使用した構成の管理や、Secure Shell (SSH) やハイパーテキスト転送プロトコル セキュア (HTTPS) などのセキュアなネットワークプロトコルを介した管理インターフェイスへのアクセスなどがあります。Telnet (テレタイプ ネットワーク) や HTTP などの安全でない管理プロトコルは、運用上必要でない限り使用しないでください。

エンタープライズ資産およびソフトウェアのデフォルトアカウントの管理:

ルート、管理者、その他の事前設定されたベンダーアカウントなど、エンタープライズ資産およびソフトウェアのデフォルトアカウントを管理します。実装例としては、既定のアカウントを無効にしたり、使用できないようにしたりすることなどがあります。

エンタープライズ資産とソフトウェア上の不要なサービスをアンインストールまたは無効にします。

未使用のファイル共有サービス、Web アプリケーションモジュール、サービス機能など、エンタープライズ資産およびソフトウェア上の不要なサービスをアンインストールするか、無効にします。

エンタープライズ資産で信頼できる DNS サーバーを構成します。

エンタープライズ資産で信頼できる DNS サーバーを構成します。実装例には、エンタープライズ制御のDNSサーバーや信頼できる外部からアクセス可能なDNSサーバーを使用するように資産を構成することが含まれます。

アカウントのインベントリを確立して管理します。

企業で管理されているすべてのアカウントのインベントリを確立して維持します。インベントリには、ユーザー アカウントと管理者アカウントの両方が含まれている必要があります。インベントリには、少なくとも、個人の名前、ユーザー名、開始日/終了日、および部門が含まれている必要があります。すべてのアクティブなアカウントが、少なくとも四半期ごと、またはそれ以上の頻度で繰り返されるスケジュールで承認されていることを確認します。

一意のパスワードを使用:

すべてのエンタープライズ資産に対して一意のパスワードを使用します。ベスト プラクティスの実装には、MFA を使用するアカウントの場合は少なくとも 8 文字のパスワードと、MFA を使用していないアカウントの場合は 14 文字のパスワードが含まれます。

休眠アカウントの無効化:

サポートされている場合は、非アクティブ状態が 45 日間続いた後に休眠アカウントを削除または無効にします。

管理者権限を専用の管理者アカウントに制限します。

エンタープライズ資産の専用管理者アカウントに管理者権限を制限します。ユーザーのプライマリ特権のないアカウントから、インターネット閲覧、電子メール、生産性スイートの使用などの一般的なコンピューティング アクティビティを実行します。

サービスアカウントのインベントリを確立して管理します。

サービスアカウントのインベントリを確立して管理します。インベントリには、少なくとも部門オーナー、レビュー日、および目的が含まれている必要があります。サービスアカウントレビューを実行して、すべてのアクティブなアカウントが、少なくとも四半期ごと、またはそれ以上の頻度で繰り返しスケジュールで承認されていることを確認します。

アカウント管理の一元化:

ディレクトリまたは ID サービスを通じてアカウント管理を一元化します。

アクセスを許可するプロセスを確立します。

新規雇用、権限の付与、またはユーザーのロールの変更時にエンタープライズ資産へのアクセスを許可するためのプロセスを確立し、それに従います (できれば自動化)。

アクセス取り消しプロセスを確立します。

ユーザーの退職、権限の取り消し、またはロールの変更直後にアカウントを無効にするなど、エンタープライズ資産へのアクセスを取り消すプロセスを確立してそれに従います (できれば自動化)。監査証跡を保持するために、アカウントを削除する代わりにアカウントを無効にする必要がある場合があります。

外部に公開されたアプリケーションに MFA を要求:

サポートされている場合は、外部に公開されているすべてのエンタープライズまたはサードパーティ製アプリケーションに MFA の適用を要求します。ディレクトリ サービスまたは SSO プロバイダーを通じて MFA を適用することは、このセーフガードの十分な実装です。

リモートネットワークアクセスに MFA を要求します。

リモート ネットワーク アクセスに MFA を要求します。

管理アクセスに MFA を要求:

サポートされている場合は、オンサイトで管理されているか、サードパーティのプロバイダーを介して管理されているかに関係なく、すべてのエンタープライズ資産のすべての管理アクセスアカウントに対して MFA を要求します。

認証および承認システムのインベントリを確立して維持します。

オンサイトまたはリモートサービスプロバイダーでホストされているものを含む、企業の認証および承認システムのインベントリを確立して維持します。少なくとも、年に 1 回、またはそれ以上の頻度で、インベントリを確認および更新します。

アクセス制御の一元化:

サポートされている場合は、ディレクトリサービスまたは SSO プロバイダーを使用して、すべてのエンタープライズ資産のアクセス制御を一元化します。

ロールベースのアクセス制御を定義および管理します。

企業内の各ロールが割り当てられた職務を正常に遂行するために必要なアクセス権を決定および文書化することにより、ロールベースのアクセス制御を定義および維持します。エンタープライズ資産のアクセス制御レビューを実行して、すべての特権が、少なくとも年に 1 回、またはそれ以上の頻度で繰り返しスケジュールで承認されていることを確認します。

脆弱性管理プロセスを確立して維持します。

エンタープライズ資産の脆弱性管理プロセスを文書化して確立し、維持します。ドキュメントを年に 1 回確認して更新するか、またはこの Safeguard に影響を与える可能性のある企業における重大な変更が発生したときに更新します。

修復プロセスを確立して維持します。

リスクベースの修復戦略を確立して維持し、毎月またはそれ以上の頻度でレビューを行い、修復プロセスで文書化します。

オペレーティング システムの自動パッチ管理を実行します。

毎月またはそれ以上の頻度で、自動パッチ管理を通じてエンタープライズ資産のオペレーティングシステムの更新を実行します。

自動アプリケーションパッチ管理を実行:

毎月またはそれ以上の頻度で、自動パッチ管理を通じてエンタープライズ資産のアプリケーション更新を実行します。

社内のエンタープライズ資産の自動脆弱性スキャンを実行:

四半期ごとまたはそれ以上の頻度で、社内のエンタープライズ資産の自動脆弱性スキャンを実行する。SCAP 準拠の脆弱性スキャンツールを使用して、認証済みスキャンと非認証スキャンの両方を実行します。

外部に公開されたエンタープライズ資産の自動脆弱性スキャンを実行:

SCAP 準拠の脆弱性スキャンツールを使用して、外部に公開されたエンタープライズ資産の自動脆弱性スキャンを実行します。毎月、またはそれ以上の頻度でスキャンを実行します。

検出された脆弱性を修正:

修復プロセスに基づいて、プロセスとツールを通じてソフトウェアで検出された脆弱性を月次またはそれ以上の頻度で修復します。

監査ログ管理プロセスを確立して維持します。

企業のログ記録要件を定義する監査ログ管理プロセスを確立し、維持します。少なくとも、エンタープライズ資産の監査ログの収集、レビュー、および保持に対処します。ドキュメントを年に 1 回確認して更新するか、またはこの Safeguard に影響を与える可能性のある企業における重大な変更が発生したときに更新します。

監査ログの保持:

エンタープライズ資産全体の監査ログを最低 90 日間保持します。

監査ログレビューの実施:

監査ログのレビューを実施して、潜在的な脅威を示す可能性のある異常または異常なイベントを検出します。毎週、またはそれ以上の頻度でレビューを実施します。

サービスプロバイダーのログを収集:

サポートされている場合は、サービス プロバイダーのログを収集します。実装例には、認証イベントと承認イベント、データの作成と破棄イベント、ユーザー管理イベントの収集などがあります。

監査ログの収集:

監査ログを収集します。企業の監査ログ管理プロセスに従って、エンタープライズ資産全体でログ記録が有効になっていることを確認します。

適切な監査ログのストレージを確保する:

ロギングの宛先が、企業の監査ログ管理プロセスに準拠するのに十分なストレージを維持していることを確認します。

時刻同期の標準化:

時刻同期を標準化します。サポートされている場合は、エンタープライズ資産全体で少なくとも 2 つの同期されたタイム ソースを構成します。

詳細な監査ログを収集します。

機密データを含むエンタープライズ資産の詳細な監査ログを構成します。イベントソース、日付、ユーザー名、タイムスタンプ、ソースアドレス、宛先アドレス、およびフォレンジック調査に役立つその他の有用な要素を含めます。

DNS クエリ監査ログを収集します。

エンタープライズ資産の DNS クエリ監査ログを、適切でサポートされている場合に収集します。

URL 要求監査ログを収集:

エンタープライズ資産の URL 要求監査ログ (適切でサポートされている場合) を収集します。

コマンド ライン監査ログを収集します。

コマンド ライン監査ログを収集します。実装例としては、PowerShell™、BASH™、およびリモート管理端末からの監査ログの収集があります。

監査ログの一元化:

監査ログの収集と保持を企業資産全体で可能な限り一元化します。

完全にサポートされているブラウザーとメールクライアントのみの使用を確保：

完全にサポートされているブラウザーとメールクライアントのみを企業で実行できるようにし、ベンダーを通じて提供されている最新バージョンのブラウザーとメールクライアントのみを使用します。

DNS フィルタリング サービスを使用します。

すべてのエンタープライズ資産でDNSフィルタリングサービスを使用して、既知の悪意のあるドメインへのアクセスをブロックします。

ネットワークベースの URL フィルタを維持および適用します。

ネットワークベースの URL フィルターを適用および更新して、エンタープライズ資産が悪意のある可能性がある Web サイトや未承認の Web サイトに接続するのを制限します。実装例としては、カテゴリベースのフィルタリング、レピュテーションベースのフィルタリング、またはブロックリストの使用などがあります。すべてのエンタープライズ資産にフィルターを適用します。

不要または許可されていないブラウザおよび電子メールクライアントの拡張機能を制限します。

承認されていない、または不要なブラウザーまたはメールクライアントのプラグイン、拡張機能、およびアドオンアプリケーションをアンインストールまたは無効化することによって制限します。

DMARC の実装:

有効なドメインからのなりすましや改ざんされたメールの可能性を下げるには、送信者ポリシーフレームワーク(SPF)とドメインキー識別メール(DKIM)標準の実装から始めて、DMARCポリシーと検証を実装します。

不要なファイルタイプをブロックする:

企業の電子メールゲートウェイに入ろうとする不要なファイルタイプをブロックします。

メールサーバーのマルウェア対策保護の展開と維持:

添付ファイルのスキャンやサンドボックス化など、電子メール サーバーのマルウェア対策保護を展開して維持します。

マルウェア対策ソフトウェアの展開と保守:

マルウェア対策ソフトウェアをすべてのエンタープライズ資産に展開して維持します。

マルウェア対策署名の自動更新の構成:

すべてのエンタープライズ資産のマルウェア対策署名ファイルの自動更新を構成します。

リムーバブルメディアの自動実行と自動再生を無効にします。

リムーバブルメディアの自動実行と自動再生の自動実行機能を無効にします。

リムーバブルメディアの自動マルウェア対策スキャンの設定:

リムーバブル メディアを自動的にスキャンするようにマルウェア対策ソフトウェアを構成します。

エクスプロイト対策機能を有効にします。

可能な場合は、データ実行防止 (DEP)、 Windows Defender Exploit Guard (WDEG)、システム整合性保護 (SIP)、Appleゲートキーパー™などのMicrosoftエンタープライズ資産とソフトウェアのエクスプロイト対策機能を有効にします。

マルウェア対策ソフトウェアを一元管理:

マルウェア対策ソフトウェアを一元管理します。

挙動ベースのマルウェア対策ソフトウェアを使用する:

動作ベースのマルウェア対策ソフトウェアを使用します。

データ回復プロセスを確立して維持する:

データ回復プロセスを確立して維持します。このプロセスでは、データ回復アクティビティの範囲、回復の優先順位付け、およびバックアップ データのセキュリティに対処します。ドキュメントを年に 1 回確認して更新するか、またはこの Safeguard に影響を与える可能性のある企業における重大な変更が発生したときに更新します。

自動バックアップの実行:

スコープ内のエンタープライズ資産の自動バックアップを実行します。データの機密性に基づいて、毎週、またはそれ以上の頻度でバックアップを実行します。

リカバリデータの保護:

元のデータと同等の制御で回復データを保護します。要件に基づく参照暗号化またはデータ分離。

リカバリデータの分離されたインスタンスを確立して維持する:

回復データの分離されたインスタンスを確立して維持します。実装例には、オフライン、クラウド、またはオフサイトのシステムまたはサービスを介したバックアップ先のバージョン管理が含まれます。

テストデータ復旧:

バックアップの復旧を四半期ごとに、またはより頻繁にテストして、スコープ内のエンタープライズ資産のサンプリングを確認します。

ネットワーク インフラストラクチャが最新であることの確認:

ネットワーク インフラストラクチャが最新の状態に保たれていることを確認します。実装例としては、ソフトウェアの最新の安定版リリースの実行や、現在サポートされているサービスとしてのネットワーク (NaaS) オファリングの使用などがあります。毎月、またはそれ以上の頻度でソフトウェアのバージョンを確認し、ソフトウェアのサポートを検証します。

安全なネットワークアーキテクチャの確立と維持:

安全なネットワークアーキテクチャを確立し、維持します。セキュリティで保護されたネットワーク アーキテクチャは、少なくともセグメンテーション、最小特権、および可用性に対処する必要があります。

ネットワークインフラストラクチャを安全に管理:

ネットワーク インフラストラクチャを安全に管理します。実装の例には、バージョン管理されたコードとしてのインフラストラクチャ、SSH や HTTPS などのセキュリティで保護されたネットワーク プロトコルの使用などがあります。

アーキテクチャ図の確立と維持:

アーキテクチャ図やその他のネットワークシステムのドキュメントを確立し、維持します。ドキュメントを年に 1 回確認して更新するか、またはこの Safeguard に影響を与える可能性のある企業における重大な変更が発生したときに更新します。

ネットワーク認証、許可、および監査(AAA)を一元化します。

ネットワーク AAA を一元化します。

安全なネットワーク管理および通信プロトコルの使用:

安全なネットワーク管理および通信プロトコル (802.1X、Wi-Fi Protected Access 2 (WPA2) Enterprise 以降など) を使用します。

リモート デバイスが VPN を利用し、企業の AAA インフラストラクチャに接続していることを確認します。

エンドユーザーデバイスのエンタープライズリソースにアクセスする前に、エンタープライズ管理の VPN および認証サービスに対する認証をユーザーに要求します。

すべての管理作業のための専用のコンピューティングリソースを確立して維持します。

すべての管理タスクまたは管理アクセスを必要とするタスクのために、物理的または論理的に分離された専用のコンピューティングリソースを確立して維持します。コンピューティングリソースは、企業のプライマリネットワークからセグメント化する必要があり、インターネットアクセスを許可しないでください。

セキュリティイベントアラートの一元化:

ログの相関付けと分析のために、エンタープライズ資産全体のセキュリティイベントアラートを一元化します。ベストプラクティスの実装では、ベンダー定義のイベント相関アラートを含むSIEMを使用する必要があります。セキュリティ関連の相関アラートで構成されたログ分析プラットフォームも、このセーフガードを満たしています。

アプリケーション層のフィルタリングを実行します。

アプリケーション層のフィルタリングを実行します。実装例としては、フィルタリング プロキシ、アプリケーション層ファイアウォール、ゲートウェイなどがあります。

セキュリティイベントアラートしきい値の調整:

セキュリティイベントアラートしきい値を毎月、またはそれ以上の頻度で調整します。

ホストベースの侵入検知ソリューションを展開します。

ホストベースの侵入検知ソリューションをエンタープライズ資産に展開します (適切またはサポートされている場合)。

ネットワーク侵入検知ソリューションを展開します。

必要に応じて、ネットワーク侵入検知ソリューションをエンタープライズ資産に展開します。実装例としては、ネットワーク侵入検知システム (NIDS) または同等のクラウドサービスプロバイダー (CSP) サービスの使用などがあります。

ネットワーク セグメント間でトラフィック フィルタリングを実行します。

必要に応じて、ネットワーク セグメント間でトラフィックのフィルタリングを実行します。

リモート資産のアクセス制御の管理:

エンタープライズリソースにリモート接続する資産のアクセス制御を管理します。以下に基づいてエンタープライズリソースへのアクセスの量を決定します:インストールされている最新のマルウェア対策ソフトウェア。企業の安全な構成プロセスへの構成コンプライアンス。オペレーティングシステムとアプリケーションが最新であることを確認します。

ネットワーク トラフィック フロー ログを収集します。

ネットワーク トラフィック フロー ログやネットワーク トラフィックを収集して、ネットワーク デバイスから確認してアラートを生成します。

ホストベースの侵入防御ソリューションを展開します。

ホストベースの侵入防止ソリューションをエンタープライズ資産に展開します (適切またはサポートされている場合)。実装例には、Endpoint Detection and Response (EDR) クライアントまたはホストベースの IPS エージェントの使用が含まれます。

ネットワーク侵入防止ソリューションを展開します。

必要に応じて、ネットワーク侵入防止ソリューションを展開します。実装例としては、ネットワーク侵入防止システム (NIPS) または同等の CSP サービスの使用が含まれます。

ポートレベルのアクセス制御を展開します。

ポートレベルのアクセス制御を展開します。ポートレベルのアクセス制御は、802.1x、または証明書などの同様のネットワークアクセス制御プロトコルを利用し、ユーザーやデバイスの認証を組み込むことができます。

セキュリティ認識向上プログラムを確立して維持します。

セキュリティ認識向上プログラムを確立し、維持します。セキュリティ認識向上プログラムの目的は、企業の資産とデータを安全な方法で操作する方法について、企業の従業員を教育することです。雇用時、少なくとも毎年トレーニングを実施します。年に 1 回、またはこの Safeguard に影響を与える可能性のある企業における重大な変更が発生したときに、コンテンツを確認および更新します。

ソーシャルエンジニアリング攻撃を認識するように従業員メンバーをトレーニングします。

フィッシング、プレテキストメッセージ、テールゲートなどのソーシャルエンジニアリング攻撃を認識するように従業員メンバーをトレーニングします。 

認証のベストプラクティスについて従業員メンバーをトレーニングします。

認証のベストプラクティスについて従業員メンバーをトレーニングします。トピックの例には、MFA、パスワード構成、および資格情報管理が含まれます。

データ処理のベストプラクティスについて従業員をトレーニングします。

機密データを特定し、適切に保存、転送、アーカイブ、破棄する方法について、従業員メンバーをトレーニングします。これには、エンタープライズ資産から離れたときに画面をロックする、会議の最後に物理および仮想のホワイトボードを消去する、データと資産を安全に保存するなど、明確な画面とデスクのベストプラクティスに関する従業員のトレーニングも含まれます。

意図しないデータ漏えいの原因について従業員をトレーニングします。

意図しないデータ漏えいの原因を認識するように人員メンバーをトレーニングします。トピックの例としては、機密データの誤配信、ポータブルエンドユーザーデバイスの紛失、意図しない対象者へのデータの公開などがあります。

セキュリティインシデントの認識とレポートについて、人員メンバーをトレーニングします。

潜在的なインシデントを認識し、そのようなインシデントを報告できるように、人員メンバーをトレーニングします。 

エンタープライズ資産にセキュリティ更新プログラムがない場合に識別して報告する方法について、従業員をトレーニングします。

古いソフトウェアパッチや、自動化されたプロセスやツールの障害を検証してレポートする方法を理解するよう、従業員をトレーニングします。このトレーニングの一部には、自動化されたプロセスとツールの障害をIT担当者に通知することを含める必要があります。

安全でないネットワークを介して企業データに接続して送信することの危険性について、従業員をトレーニングします。

企業活動のために安全でないネットワークに接続し、データを送信する危険性について、従業員メンバーをトレーニングします。企業にリモートワーカーがいる場合、トレーニングには、すべてのユーザーがホームネットワークインフラストラクチャを安全に構成するためのガイダンスを含める必要があります。

ロール固有のセキュリティ認識とスキルのトレーニングを実施します。

ロール固有のセキュリティ認識とスキルのトレーニングを実施する。実装例としては、ITプロフェッショナル向けの安全なシステム管理コース(Webアプリケーション開発者向けのOWASP ™ トップ10の脆弱性認識と防止トレーニング、および著名な役割向けの高度なソーシャルエンジニアリング認識トレーニング)が含まれます。

サービスプロバイダーのインベントリを確立して維持します。

サービスプロバイダーのインベントリを確立して維持します。インベントリは、すべての既知のサービスプロバイダーをリストし、分類を含めて、各サービスプロバイダーのエンタープライズ連絡先を指定するためのものです。在庫を年に 1 回確認して更新するか、この Safeguard に影響を与える可能性のある重要な企業変更が発生したときに更新します。

サービスプロバイダー管理ポリシーの確立と維持:

サービスプロバイダー管理ポリシーを確立して維持します。ポリシーがサービスプロバイダーの分類、インベントリ、アセスメント、監視、および廃止に対応していることを確認します。ポリシーを年に 1 回、またはこの Safeguard に影響を与える可能性のある企業の重大な変更が発生したときに、確認および更新します。

サービスプロバイダーの分類:

サービスプロバイダーを分類します。分類の考慮事項には、データの機密性、データ量、可用性要件、適用される規制、固有リスク、軽減されたリスクなど、1 つ以上の特性が含まれる場合があります。分類を年に 1 回更新して見直すか、またはこの Safeguard に影響を与える可能性のある企業における重大な変更が発生したときに更新およびレビューする。

サービスプロバイダー契約に次のセキュリティ要件が含まれていることを確認します。

サービスプロバイダーの契約にセキュリティ要件が含まれていることを確認します。要件の例には、最小セキュリティプログラム要件、セキュリティインシデントおよび/またはデータ侵害の通知と応答、データ暗号化要件、およびデータ廃棄コミットメントが含まれる場合があります。これらのセキュリティ要件は、企業のサービスプロバイダー管理ポリシーと一致する必要があります。サービスプロバイダーの契約を 1 年に 1 回レビューし、契約にセキュリティ要件が備わっていないことを確認します。

サービスプロバイダーの評価:

企業のサービスプロバイダー管理ポリシーに準拠したサービスプロバイダーを評価します。評価の範囲は分類によって異なる場合があり、サービス組織コントロール 2 (SOC 2) やペイメントカード業界 (PCI) コンプライアンス証明書 (AoC)、カスタマイズされたアンケート、またはその他の適切に厳格なプロセスなどの標準化された評価レポートのレビューが含まれる場合があります。サービスプロバイダーを年に 1 回、最低でも再評価するか、新規契約や更新契約で再評価します。

サービスプロバイダーの評価:

企業のサービスプロバイダー管理ポリシーに準拠したサービスプロバイダーを評価します。評価の範囲は分類によって異なる場合があり、サービス組織コントロール 2 (SOC 2) やペイメントカード業界 (PCI) コンプライアンス証明書 (AoC)、カスタマイズされたアンケート、またはその他の適切に厳格なプロセスなどの標準化された評価レポートのレビューが含まれる場合があります。サービスプロバイダーを年に 1 回、最低でも再評価するか、新規契約や更新契約で再評価します。

サービスプロバイダーの監視:

企業のサービスプロバイダー管理ポリシーに準拠したサービスプロバイダーを監視します。監視には、サービスプロバイダーのコンプライアンスの定期的な再評価、サービスプロバイダーのリリースノートの監視、ダークウェブの監視が含まれる場合があります。

サービスプロバイダーの安全なデコミッション:

サービスプロバイダーを安全にデコミッションします。考慮事項の例としては、ユーザー アカウントとサービス アカウントの非アクティブ化、データ フローの終了、サービス プロバイダー システム内のエンタープライズ データの安全な廃棄などがあります。

安全なアプリケーション開発プロセスを確立して維持します。

安全なアプリケーション開発プロセスを確立し、維持します。このプロセスでは、安全なアプリケーション設計標準、安全なコーディングプラクティス、開発者トレーニング、脆弱性管理、サードパーティコードのセキュリティ、アプリケーションセキュリティテスト手順などの項目に対処します。ドキュメントを年に 1 回確認して更新するか、またはこの Safeguard に影響を与える可能性のある企業における重大な変更が発生したときに更新します。

アプリケーションアーキテクチャに安全な設計原則を適用する:

安全な設計原則をアプリケーション アーキテクチャに適用します。セキュリティで保護された設計の原則には、最小特権の概念と、ユーザーが行うすべての操作を検証するためのメディエーションの適用が含まれ、"ユーザー入力を信頼しない" という概念が促進されます。たとえば、サイズ、データ型、許容範囲や形式など、すべての入力について明示的なエラー チェックが実行され、文書化されていることを確認します。セキュリティで保護された設計は、保護されていないポートとサービスのオフ、不要なプログラムとファイルの削除、既定のアカウントの名前変更や削除など、アプリケーション インフラストラクチャの攻撃対象領域を最小限に抑えることも意味します。

アプリケーションセキュリティコンポーネント用に検証済みのモジュールまたはサービスを活用します。

ID 管理、暗号化、監査、ログ記録などのアプリケーション セキュリティ コンポーネントに対して、検証済みのモジュールまたはサービスを活用します。重要なセキュリティ機能でプラットフォーム機能を使用すると、開発者の作業負荷が軽減され、設計エラーや実装エラーの可能性が最小限に抑えられます。最新のオペレーティング システムは、識別、認証、および承認のための効果的なメカニズムを提供し、それらのメカニズムをアプリケーションで使用できるようにします。標準化され、現在受け入れられ、広範囲にわたってレビューされている暗号化アルゴリズムのみを使用してください。オペレーティング システムには、セキュリティで保護された監査ログを作成および維持するためのメカニズムも用意されています。

コード レベルのセキュリティ チェックを実装します。

アプリケーションのライフサイクル内で静的および動的分析ツールを適用して、安全なコーディングプラクティスに従っていることを確認します。

アプリケーションのペネトレーションテストを実施します。

アプリケーションのペネトレーションテストを実施します。重要なアプリケーションの場合、認証された侵入テストは、コードスキャンや自動セキュリティテストよりもビジネスロジックの脆弱性の検出に適しています。ペネトレーションテストは、認証済みユーザーと非認証ユーザーとしてアプリケーションを手動で操作するテスターのスキルに依存しています。 

脅威モデルの実施:

脅威のモデル化を実行します。脅威モデリングは、コードを作成する前に、設計内のアプリケーション セキュリティ設計の欠陥を特定して対処するプロセスです。これは、アプリケーションの設計を評価し、各エントリポイントとアクセスレベルのセキュリティリスクを評価する特別な訓練を受けた個人を通じて実施されます。目標は、アプリケーション、アーキテクチャ、およびインフラストラクチャを構造化された方法でマッピングし、その弱点を理解することです。

ソフトウェアの脆弱性を受け入れて対処するプロセスを確立および維持します。

外部エンティティが報告する手段を提供するなど、ソフトウェアの脆弱性の報告を受け入れて対処するプロセスを確立および維持します。このプロセスには、レポートプロセスを特定する脆弱性処理ポリシー、脆弱性レポートを処理する責任者、取り込み、アサイン、修復、修復テストのプロセスなどのアイテムを含めます。プロセスの一部として、重大度評価と、脆弱性の特定、分析、修復のタイミングを測定するための測定基準を含む脆弱性追跡システムを使用します。ドキュメントを年に 1 回確認して更新するか、またはこの Safeguard に影響を与える可能性のある企業における重大な変更が発生したときに更新します。

セキュリティ脆弱性の根本原因分析を実行:

セキュリティ脆弱性の根本原因分析を実行します。脆弱性を確認する場合、根本原因分析は、コードに脆弱性を作成する根本的な問題を評価するタスクであり、開発チームは、個々の脆弱性が発生したときに修正するだけではありません。

サードパーティ製ソフトウェアコンポーネントのインベントリを確立および管理します。

開発で使用されるサードパーティ製コンポーネント (「部品表」と呼ばれることが多い) と、将来使用する予定のコンポーネントの更新された在庫を確立して管理します。このインベントリには、各サードパーティコンポーネントがもたらす可能性のあるリスクを含めます。少なくとも月に 1 回はリストを評価して、これらのコンポーネントに対する変更や更新を特定し、コンポーネントがまだサポートされていることを検証します。 

最新の信頼できるサードパーティ製ソフトウェアコンポーネントを使用する:

最新の信頼できるサードパーティ製ソフトウェアコンポーネントを使用します。可能であれば、適切なセキュリティを提供する確立され実績のあるフレームワークとライブラリを選択してください。使用前に、信頼できるソースからこれらのコンポーネントを入手するか、ソフトウェアの脆弱性を評価してください。

アプリケーションの脆弱性に対する深刻度評価システムとプロセスを確立し、維持します。

検出された脆弱性を修正する順序の優先順位付けを容易にする、アプリケーションの脆弱性の重大度評価システムとプロセスを確立して維持します。このプロセスには、コードまたはアプリケーションをリリースするためのセキュリティ受容性の最小レベルの設定が含まれます。深刻度評価は、脆弱性をトリアージする体系的な方法をもたらし、リスク管理を改善し、最も重大なバグが最初に修正されるようにするのに役立ちます。システムとプロセスを毎年確認および更新します。

アプリケーションインフラストラクチャの標準ハードニング構成テンプレートを使用します。

アプリケーションインフラストラクチャコンポーネントには、業界で推奨される標準のハードニング構成テンプレートを使用します。これには、基盤となるサーバー、データベース、および Web サーバーが含まれ、クラウド コンテナー、サービスとしてのプラットフォーム (PaaS) コンポーネント、および SaaS コンポーネントに適用されます。自社開発のソフトウェアで構成の強化を弱めないようにしてください。

本番システムと非本番システムを分離：

本番システムと非本番システムで別々の環境を維持します。

アプリケーション・セキュリティの概念とセキュア・コーディングについて開発者をトレーニングします。

すべてのソフトウェア開発担当者が、特定の開発環境と責任に合わせて安全なコードを記述するためのトレーニングを受けられるようにします。トレーニングには、一般的なセキュリティ原則とアプリケーションセキュリティの標準プラクティスが含まれます。少なくとも年に 1 回トレーニングを実施し、開発チーム内のセキュリティを促進する方法で設計し、開発者の間でセキュリティの文化を構築します。

インシデント処理を管理する担当者を指定します。

企業のインシデント処理プロセスを管理する 1 人のキーパーソンと少なくとも 1 人のバックアップを指定します。管理担当者は、インシデント応答と復旧作業の調整と文書化を担当し、企業内部の従業員、サードパーティベンダー、またはハイブリッドアプローチで構成できます。サードパーティベンダーを使用している場合は、サードパーティの作業を監督する社内の担当者を少なくとも 1 人指名します。年に 1 回、またはこのセーフガードに影響を与える可能性のある企業の重大な変更が発生した場合にレビューします。

セキュリティインシデントを報告するための連絡先情報を確立して管理します。

セキュリティインシデントを通知する必要がある関係者の連絡先情報を確立して管理します。連絡先には、社内スタッフ、サードパーティベンダー、法執行機関、サイバー保険会社、関連する政府機関、情報共有および分析センター (ISAC) パートナー、またはその他の利害関係者が含まれる場合があります。連絡先を毎年検証して、情報が最新であることを確認します。

インシデントを報告するためのエンタープライズプロセスを確立し、維持します。

人員がセキュリティインシデントを報告するためのエンタープライズプロセスを確立し、維持します。このプロセスには、報告の時間枠、報告する担当者、報告のメカニズム、および報告する最小限の情報が含まれます。プロセスがすべての人員に公開されるように確保します。年に 1 回、またはこのセーフガードに影響を与える可能性のある企業の重大な変更が発生した場合にレビューします。

インシデント応答プロセスを確立して維持します。

役割と責任、コンプライアンス要件、およびコミュニケーション計画に対応するインシデント応答プロセスを確立し、維持します。年に 1 回、またはこのセーフガードに影響を与える可能性のある企業の重大な変更が発生した場合にレビューします。

主なロールと責任の割り当て:

必要に応じて、法務、IT、情報セキュリティ、施設、広報、人事、インシデント対応者、アナリストのスタッフを含む、インシデント応答の主要なロールと責任をアサインします。年に 1 回、またはこのセーフガードに影響を与える可能性のある企業の重大な変更が発生した場合にレビューします。

インシデント応答時の通信メカニズムを定義します。

セキュリティインシデント中の通信とレポートに使用するプライマリおよびセカンダリメカニズムを決定します。メカニズムには、電話、電子メール、または手紙を含めることができます。セキュリティインシデントの発生中は、メールなどの特定のメカニズムが影響を受ける可能性があることに注意してください。年に 1 回、またはこのセーフガードに影響を与える可能性のある企業の重大な変更が発生した場合にレビューします。

日常的なインシデント対応訓練の実施:

インシデント応答プロセスに関与する主要な担当者を対象に、定期的なインシデント応答の訓練とシナリオを計画および実施し、実際のインシデントへの対応に備えます。演習では、コミュニケーションチャネル、意思決定、およびワークフローをテストする必要があります。少なくとも毎年テストを実施してください。

インシデント後のレビューの実施:

インシデント後のレビューを実施する。インシデントの事後レビューは、学んだ教訓とフォローアップアクションを特定することで、インシデントの再発防止に役立ちます。

セキュリティインシデントしきい値の確立と維持:

少なくともインシデントとイベントの区別を含む、セキュリティインシデントのしきい値を設定して維持する。例としては、異常なアクティビティ、セキュリティの脆弱性、セキュリティの脆弱性、データ侵害、プライバシーインシデントなどがあります。年に 1 回、またはこのセーフガードに影響を与える可能性のある企業の重大な変更が発生した場合にレビューします。

ペネトレーションテストプログラムを確立して維持します。

企業の規模、複雑さ、および成熟度に適したペネトレーションテストプログラムを確立し、維持します。侵入テストプログラムの特性には、ネットワーク、Webアプリケーション、アプリケーションプログラミングインターフェイス(API)、ホステッドサービス、物理的構内制御などのスコープが含まれます。周波数;許容時間や除外された攻撃の種類などの制限。連絡先調査結果を内部でルーティングする方法などの修復。遡及要件です

定期的な外部侵入テストを実行します。

プログラムの要件に基づいて、毎年以上の定期的な外部侵入テストを実行します。外部ペネトレーションテストには、悪用可能な情報を検出するために、エンタープライズおよび環境の偵察を含める必要があります。ペネトレーションテストには専門的なスキルと経験が必要であり、資格のある当事者を通じて実施する必要があります。テストは、クリアボックスまたは不透明なボックスである可能性があります。

ペネトレーションテスト結果の修正:

修復の範囲と優先順位付けに関する企業のポリシーに基づいて、ペネトレーションテスト結果を修復します。

セキュリティ対策の検証:

各ペネトレーションテスト後にセキュリティ対策を検証します。必要に応じて、ルール・セットと機能を変更して、テスト中に使用された手法を検出します。

アクティブな検出ツールを使用して、組織のネットワークに接続されているデバイスを特定し、ハードウェア資産の在庫を更新します。

パッシブな検出ツールを使用して、組織のネットワークに接続されているデバイスを特定し、組織のハードウェア資産の在庫を自動的に更新します。

情報を保存または処理する可能性があるすべてのテクノロジー資産の正確かつ最新の在庫を維持します。この在庫には、組織のネットワークに接続されているかどうかにかかわらず、すべてのハードウェア資産が含まれます。

ハードウェア資産在庫に、各資産のネットワークアドレス、ハードウェアアドレス、マシン名、データ資産オーナー、部門、およびハードウェア資産がネットワークへの接続が承認されているかどうかが記録されていることを確認します。

802.1x 標準に従って、ポートレベルのアクセス制御を使用して、ネットワークに対して認証できるデバイスを制御します。認証システムをハードウェア資産在庫データに関連付けて、認可済みデバイスのみがネットワークに接続できるようにする必要があります。

クライアント証明書を使用して、組織の信頼できるネットワークに接続するハードウェア資産を認証します。

任意のビジネスシステムで、企業内のビジネス目的で必要なすべての認可済みソフトウェアの最新リストを維持します。

現在ソフトウェアのベンダーによってサポートされているソフトウェアアプリケーションまたはオペレーティングシステムのみが、組織の認可済みソフトウェア在庫に追加されていることを確認します。サポートされていないソフトウェアは、在庫システムでサポート対象外としてタグ付けする必要があります。

組織全体でソフトウェア在庫ツールを使用して、ビジネスシステム上のすべてのソフトウェアのドキュメントを自動化します。

ソフトウェア在庫システムは、組織によって認可されたオペレーティングシステムを含む、すべてのソフトウェアの名前、バージョン、公開者、およびインストール日を追跡する必要があります。

ソフトウェア在庫システムは、すべてのデバイスと関連付けられたソフトウェアを 1 つの場所から追跡できるように、ハードウェア資産在庫に関連付ける必要があります。

最新の SCAP 準拠の脆弱性スキャンツールを使用して、ネットワーク上のすべてのシステムを毎週またはそれ以上の頻度で自動的にスキャンし、組織のシステムの潜在的な脆弱性をすべて特定します。

各システムでローカルに実行されているエージェント、またはテスト対象のシステムで昇格された権利で設定されたリモートスキャナーを使用して、認証済み脆弱性スキャンを実行します。

継続的な脆弱性スキャンの結果を定期的に比較して、脆弱性が適切なタイミングで修正されていることを確認します。

新しい資産を展開する前に、すべてのデフォルトパスワードを管理レベルのアカウントと一致する値に変更します。

マルチファクター認証がサポートされていない場合 (ローカル管理者、ルート、サービスアカウントなど)、アカウントはそのシステムに一意のパスワードを使用します。

管理権限がアサインされたグループに対してアカウントが追加または削除されたときに、ログエントリとアラートを発行するようにシステムを設定します。

管理アカウントへのログイン失敗時にログエントリーとアラートを発行するようにシステムを設定します。

すべてのシステムとネットワークデバイスでローカルログ記録が有効になっているように確保します。

イベントソース、日付、ユーザー、タイムスタンプ、ソースアドレス、宛先アドレス、その他の有用な要素などの詳細情報を含むシステムログ記録を有効にします。

完全にサポートされている Web ブラウザーとメールクライアントのみが組織内での実行が許可されるように確保します。理想的には、ベンダーが提供する最新バージョンのブラウザーとメールクライアントのみを使用します。

エンタープライズクラスのすべての AV ソフトウェアにこの機能があります。一元管理された AV を使用することで、個々の要件を簡単に有効にすることができます。

AV の品質はその署名によって決まります。純粋な署名ベースの検出はもはや実行不可能ですが、例外ベースのエンジンでも定期的に更新する必要があります。更新が自動的にロールアウトされていることを確認し、ツールを使用して署名が実際に最新であることを検証します。

DISA ハードニングガイドでは、これらの設定などを有効にする手順を詳しく説明しています。

ほとんどの AV では、この機能がデフォルトでオンになっていますが、実際に引き続き有効になっていることを検証することが重要です。USB スティックを介して侵入するマルウェアは、ほぼすべての組織にとって実行可能な攻撃ベクトルです。

スキャンを希望しないのと同じ理由で、マウントされている場合は実行しないようにします。これは簡単に有効にできる設定で、CIS と DISA の両方のハードニングガイドに、自動実行を無効にする詳細な手順が記載されています。一部の SCM ツールでは、環境内のすべてのエンドポイントをすばやくチェックして、この設定が無効になっていることを確認できます。

すべてのシステムに対して自動ポートスキャンを定期的に実行し、システムで許可されていないポートが検出された場合にアラートを発行します。

すべてのネットワークデバイス構成を、使用中の各ネットワークデバイスに対して定義された承認済みセキュリティ構成と比較し、逸脱が検出された場合にアラートを発行します。

すべてのネットワークデバイスに最新の安定したバージョンのセキュリティ関連の更新をインストールします。

ネットワークベースの侵入検知システム (IDS) センサーを展開して、異常な攻撃メカニズムを探し、組織の各ネットワーク境界でこれらのシステムの侵害を検出します。

機密データまたは組織が定期的にアクセスしないシステムをネットワークから削除します。これらのシステムは、時々システムを使用する必要がある事業部門により (ネットワークから切断されて) スタンドアロンシステムとしてのみ使用されるか、完全に仮想化されて、必要になるまではオフにされます。

従業員が USB ドライブ上のデータのリスクを認識できるように、トレーニングを提供します。次に、組織の重要なデータを保護するツールを提供します。

転送中のすべての機密情報を暗号化します。

有線ネットワークに接続されている認可済み無線アクセスポイントの在庫を管理します。

オンサイトまたはリモートサービスプロバイダーにあるものを含む、組織の各認証システムの在庫を管理します。

保存されるときに、すべての認証資格情報をソルトで暗号化またはハッシュします。

すべてのアカウントのユーザー名と認証資格情報が、暗号化されたチャネルを使用してネットワーク経由で送信されるように確保します。

標準的な非アクティビティ期間が経過すると、ワークステーションセッションを自動的にロックします。

時刻、ワークステーションの場所、期間など、ユーザーが通常のログイン動作から逸脱した場合にアラートを発行します。

標準化され、広範囲にわたってレビューされた暗号化アルゴリズムのみを使用します。

外部エンティティがセキュリティグループに連絡する手段を提供するなど、ソフトウェアの脆弱性のレポートを受け入れて対処するプロセスを確立します。

コンピューターとネットワークのインシデントを処理するための役職と職務を特定の個人にアサインし、解決までのインシデント全体の追跡と文書化を行います。

重要な意思決定のロールを担うことによってインシデント処理プロセスをサポートする管理担当者およびバックアップを指定します。

インシデント処理チームへのコンピューターの例外とインシデントのレポートに関する情報を、すべての従業員に公開します。このような情報は、定期的な従業員の認識向上アクティビティに含める必要があります。

幹部によって承認され、情報セキュリティ目標を管理するための組織のアプローチを規定する「情報セキュリティポリシー」を定義します。情報セキュリティポリシーはトピック固有のポリシーによってサポートされており、次を含む情報セキュリティコントロールの実装がさらに義務付けられています：アクセス制御、情報の分類 (および処理)、物理的および環境的なセキュリティ、バックアップ、情報の転送、マルウェアからの保護、技術的な脆弱性の管理、暗号化コントロール、通信セキュリティ、プライバシーと個人識別可能な情報の保護、サプライヤーとの関係およびエンドユーザー向けのトピック (1) 資産の許容可能な使用、2) クリアデスクとクリアスクリーン、3) 情報の転送、4) モバイルデバイスと在宅勤務、5) ソフトウェアのインストールと使用に関する制限など)。

個々の資産を保護する責任が資産在庫で特定されていることを確保します。情報セキュリティの開発と実装のためのロールと責任が明確に定義されていることを確認します。

承認済みのディスク全体の暗号化ソフトウェアを使用して、すべてのモバイルデバイスのハードドライブを暗号化します。

従業員と請負業者にリモートアクセスポリシーを適用します。

会社の資産へのアクセス権を付与する前に、すべての従業員と請負業者に対してバックグラウンド検証チェックが実行されるように確保します。

すべての新規雇用の従業員または請負業者が、情報セキュリティに対する責任を含む雇用条件に署名および同意するように確保します。

ハードウェア資産在庫に、各資産のネットワークアドレス、ハードウェアアドレス、マシン名、データ資産オーナー、部門、およびハードウェア資産がネットワークへの接続が承認されているかどうかが記録されていることを確認します。

ハードウェア資産在庫に、各資産のネットワークアドレス、ハードウェアアドレス、マシン名、データ資産オーナー、部門、およびハードウェア資産がネットワークへの接続が承認されているかどうかが記録されていることを確認します。

従業員と請負業者が、情報および情報処理施設およびリソースに関連付けられた組織資産の情報セキュリティ要件を認識するように確保します。従業員と請負業者は、情報処理リソースの使用およびその責任の配下で実行される該当する使用について責任を負う必要があります。

クライアント証明書を使用して、組織の信頼できるネットワークに接続するハードウェア資産を認証します。

組織のネットワークへのすべてのリモートログインアクセスで、転送中のデータの暗号化と、マルチファクター認証の使用を義務付けます。

マルチファクター認証がサポートされていない場合 (ローカル管理者、ルート、サービスアカウントなど)、アカウントはそのシステムに一意のパスワードを使用します。

暗号化に関するポリシーが存在し、データ分類要件に従って適用、実装、および強制されているように確保します。

暗号化キーの管理は、キーのライフサイクル全体にわたって正式なポリシーと手順に従って行われるように確保します。

従業員と請負業者がクリアデスクポリシーに適合するように確保します。

完全にサポートされている Web ブラウザーとメールクライアントのみが組織内での実行が許可されるように確保します。理想的には、ベンダーが提供する最新バージョンのブラウザーとメールクライアントのみを使用します。

完全にサポートされている Web ブラウザーとメールクライアントのみが組織内での実行が許可されるように確保します。理想的には、ベンダーが提供する最新バージョンのブラウザーとメールクライアントのみを使用します。

すべてのシステムとネットワークデバイスでローカルログ記録が有効になっているように確保します。

ログが不正アクセスから安全に保護されるように確保します。

機密データへのアクセスまたは機密データの変更について詳細な監査ログ記録を強制します (ファイルの完全性監視またはセキュリティ情報およびイベント監視などのツールを使用)。

あらゆる種類の通信設備を使用して情報の転送を保護するために、正式な転送ポリシー、手順、およびコントロールが設定されるように確保します。

情報セキュリティ関連の要件が、新しい情報システムの要件または既存の情報システムの拡張要件に含まれるように確保します。

運用プラットフォームが変更された場合でも、組織の運用やセキュリティに悪影響がないように確保するため、ビジネスクリティカルなアプリケーションを確実にレビューおよびテストします。

ソフトウェアパッケージへの変更が抑制、または必要な変更に制限されており、すべての変更が厳密に管理されるように確保します。

安全なコードレビューや脆弱性スキャンなどのセキュリティテストが開発ライフサイクル中に確実に実行されるように確保します。確実に、特定された脆弱性を文書化し、修復を実行します。

システム受け入れテストに、情報セキュリティ要件のテストと安全なシステム開発プラクティスの遵守が含まれるように確保します。

システム受け入れテストに、情報セキュリティ要件のテストと安全なシステム開発プラクティスの遵守が含まれるように確保します。

取引を行ったり、資産へのアクセス権をベンダーに付与したりする前に、サプライヤーが情報セキュリティコントロールに対処し、解決しているように確保します。

ビジネスを行い、サプライヤーとベンダーに資産へのアクセス権を付与する前にリスクアセスメントを実行し、セキュリティコントロールと要件に同意を得て、それらをサプライヤー/ベンダー契約に文書化するように確保します。

サプライヤーが定期的に監視およびレビューを実行し、確実に、契約の情報セキュリティ条件を遵守し、情報セキュリティのインシデントと問題を適切に管理していることを確保します。

サービスのプロビジョニングに変更がある場合でも、サードパーティのリスクアセスメントを確実に実行します。既存の情報セキュリティポリシー、手順、およびコントロールの維持と改善を含む、サプライヤーによるサービスのプロビジョニングに対する変更が管理されるように確保します。

正式なインシデント管理プログラムがあり、すべての担当者とサードパーティがセキュリティインシデントを認識してレポートする方法についてトレーニングを受けるように確保します。

レポートとエスカレーションのために、合意されたセキュリティイベントとインシデント分類スケールを含める正式な情報セキュリティイベント管理が存在するように確保します。確実に、脅威とリスクの分類スキームを文書化します。インシデント応答通知が維持されるように確保します。確実に、インシデントの分類に使用される影響度しきい値を文書化します。

情報セキュリティインシデントが文書化された手順に従って対応および管理されるように確保します。

インシデント監視手順が、インシデントを文書化するためのインシデント管理プログラムに含まれるように確保し、今後のインシデントを削減するためにセキュリティイベントを定期的に分析します。

情報セキュリティと情報セキュリティ管理の継続性が計画され、事業継続性計画または災害復旧計画に含まれるように確保します。

事業継続性または災害復旧計画が正式に文書化されるように確保します。

事業継続性または災害復旧計画を年に 1 回実施して、困難な状況下適切なセキュリティコントロールが有効で実効性があることを検証します。

フェイルオーバーおよび復旧コンポーネントが意図したとおりに機能するように確保します。

レコードやデータが、立法者、規制、契約、およびビジネスの要件に従って、損失、破棄、改ざん、不正アクセス、および不正なリリースから保護されるように確保します。

プライバシーと個人識別可能情報が保護され、該当する場合は法律や規制に従って処理されるように確保します。

確実に、コンプライアンスおよび規制要件に対するスコープ内システム構成のテストを定期的に実行します。システムのベースライン構成標準が文書化され、業界のベストプラクティスに基づくように確保確認します。

組織が所有していた、または組織に委託されたすべての発行済みの物理的および電子的な資産の返却を含む、正式な終了プロセスを確保します。

• HR プロファイル [sn_hr_core_profile]
• 資産 [alm_asset]

ソフトウェア資産を確実に管理し、定期的に更新します。

• Software Asset Management Core
• Software Asset Management Professional Core

• ソフトウェアインストール [cmdb_sam_sw_install]
• ソフトウェアモデル [cmdb_software_product_model]

リスク評価プロセスを使用して、検出された脆弱性の修正を優先します。

許可されていないブラウザーまたはメールクライアントのプラグインまたはアドオンアプリケーションをアンインストールするか、無効にします。

• Software Asset Management Core
• Software Asset Management Professional Core

• ソフトウェアインストール [cmdb_sam_sw_install]
• ソフトウェアモデル [cmdb_software_product_model]

使用しているプログラミング言語と開発環境に適した安全なコーディングプラクティスを確立します。

担当者のロールとインシデントの処理/管理のフェーズを定義する、書面によるインシデント応答計画があることを確認します。