サイバーセキュリティコントロールアクセラレーター
サイバーセキュリティコントロールアクセラレーター ™ を使用すると、The Center for Internet Security™ の CIS Controls を簡単に導入して、全体的なセキュリティ準備とサイバー防御体制を強化できます。
主要なサイバーセキュリティ方法論の対象をユーザーの成熟度と準備レベルに合わせることで、CIS Control の採用がさらに強化されます。
サイバーセキュリティコントロールアクセラレーター には、CIS Controls バージョン 7.1 の各種法令・基準等、191 の関連付けられた CIS 各種法令・基準内項目、およびその各種法令・基準内項目に関連する 191 の CIS Controls 目標が含まれています。
サイバーセキュリティコントロールアクセラレーター を使用するためにダウンロードする必要がある テクノロジーコントロールモニタリングアクセラレーター アプリケーション (com.sn_grc_infosec) には、CIS Controls にマッピングされる 171 (基本 26) のインジケーターテンプレートが含まれています。これらのインジケーターテンプレートは、自動化されたコントロールの検証と継続的な監視を提供します。
CIS Controls ™ v8 のサポート
オーストラリア リリース以降、サイバーセキュリティコントロールアクセラレーター は引用に関連する CIS Controls ™ v8 の各種法令・基準等、引用、およびコントロール目標をサポートしています。
CSA CCM v4.0 の内容
オーストラリア リリース以降、サイバーセキュリティコントロールアクセラレーター は各種法令・基準等、引用、コントロール目標などの Cloud Security Alliance Cloud Controls Matrix (CSA CCM v4.0) コンテンツをサポートしています。
サイバーセキュリティコントロールアクセラレーター をダウンロードする
インスタンスで GRC:サイバーセキュリティコントロールアクセラレーター アプリケーションを実行する前に、ServiceNow Store からダウンロードする必要があります。
始める前に
- GRC: ポリシーとコンプライアンス管理
- GRC: Profiles
- GRC:テクノロジーコントロールモニタリングアクセラレーター
必要なロール:admin
手順
サイバーセキュリティコントロールを監視する
サイバーセキュリティコントロールアクセラレーター にアクセスすると、次のモジュールを使用してコントロールを監視できます。
| アプリケーション/モジュール | 説明 |
|---|---|
| CIS Controls | |
| 各種法令・基準等 | 各種法令・基準等モジュールは、CIS Controls v7.1 および v8 の各種法令・基準等を含む各種法令・基準等のリストを提供します。この各種法令・基準等には、各種法令・基準内項目およびコントロール目標への参照が含まれています。 各種法令・基準等は、各種法令・基準等テーブル [sn_compliance_authority_document] に保存されます。 |
| 信頼できるソースコンテンツ | 各種法令・基準内項目モジュールは、CIS Controls v7.1 および v8 の各種法令・基準等に含まれる各種法令・基準内項目のリストを提供します。各種法令・基準内項目のそれぞれには 1 つ以上のコントロール目標を含めることができ、以下を参照します。
各種法令・基準内項目は、各種法令・基準内項目テーブル [sn_compliance_citation] に保存されます。 |
| コントロール目標 | コントロール目標モジュールは、CIS Controls v7.1 および v8 の各種法令・基準等に含まれる各種法令・基準内項目に関連付けられたコントロール目標のリストを提供します。各コントロール目標には、次のアイテムを 1 つまたは複数含めることができます。
コントロール目標は、 コントロール目標テーブル [sn_compliance_policy_statement] に保存されます |
| インジケーターテンプレート | インジケーターテンプレートモジュールは、 CIS Controls にマッピングされる事前定義されたインジケータ テンプレートのリストを提供します。インジケーターテンプレートは、コントロールの検証を自動化し、継続的な監視を提供します。 インジケーターテンプレート参照先コンテンツ [sn_grc_m2m_ind_temp_cont] |
前述のとおり、テクノロジーコントロールモニタリングアクセラレーター アプリケーション (com.sn_grc_infosec) は、サイバーセキュリティコントロールアクセラレーター アプリケーションをダウンロードするときの依存アプリケーションです。テクノロジーコントロールモニタリングアクセラレーターアプリケーションは、CIS コントロールにマッピングされる事前定義済みインジケーターテンプレートを提供します。
インジケータテンプレートにマッピングされた UCF コントロール
UCF からインポートされた CIS または ISO 各種法令・基準等を使用する場合でも、285 (171 CIS および 114 ISO) の自動監視インジケーターテンプレートを使用してコンプライアンスアクティビティを管理できます。
| CIS Control | 説明 | ITx ソースアプリケーション |
|---|---|---|
| CIS Control 1.1 | アクティブディスカバリーツールを使用して、組織のネットワークに接続されているデバイスを特定し、ハードウェア資産のインベントリを更新します。 | ディスカバリー |
| CIS Control 1.2 | パッシブなディスカバリーツールを使用して、組織のネットワークに接続されているデバイスを特定し、組織のハードウェア資産のインベントリを自動的に更新します。 | ディスカバリー |
| CIS Controls 1.4 | 情報を保存または処理する可能性があるすべてのテクノロジー資産の正確かつ最新のインベントリを維持します。このインベントリには、組織のネットワークに接続されているかどうかにかかわらず、すべてのハードウェア資産が含まれます。 | ディスカバリー |
| CIS Control 1.5 | ハードウェア資産在庫に、各資産のネットワークアドレス、ハードウェアアドレス、マシン名、データ資産オーナー、部門、およびハードウェア資産がネットワークへの接続が承認されているかどうかが記録されていることを確認します。 | ディスカバリー |
| CIS Control 1.6 | 許可されていない資産がネットワークから削除されるか、隔離されるか、またはインベントリが適切なタイミング適宜更新されるように確保します。 | ディスカバリー |
| CIS Control 1.7 | 802.1x 標準に従って、ポートレベルのアクセス制御を使用して、ネットワークに対して認証できるデバイスを制御します。認証システムをハードウェア資産インベントリデータに関連付けて、認可済みデバイスのみがネットワークに接続できるようにする必要があります。 | ディスカバリー |
| CIS Control 1.8 | クライアント証明書を使用して、組織の信頼できるネットワークに接続するハードウェア資産を認証します。 | ディスカバリー |
| CIS Control 2.1 | 任意のビジネスシステムで、企業内のビジネス目的で必要なすべての認可済みソフトウェアの最新リストを維持します。 | ソフトウェア資産管理 |
| CIS Control 2.2 | 現在ソフトウェアのベンダーによってサポートされているソフトウェアアプリケーションまたはオペレーティングシステムのみが、組織の認可済みソフトウェアインベントリに追加されていることを確認します。サポートされていないソフトウェアは、インベントリシステムでサポート対象外としてタグ付けする必要があります。 | ソフトウェア資産管理 |
| CIS Control 2.3 | 組織全体でソフトウェアインベントリツールを使用して、ビジネスシステム上のすべてのソフトウェアのドキュメントを自動化します。 | ソフトウェア資産管理 |
| CIS Control 2.4 | ソフトウェアインベントリシステムは、組織によって認可されたオペレーティングシステムを含む、すべてのソフトウェアの名前、バージョン、公開者、およびインストール日を追跡する必要があります。 | ソフトウェア資産管理 |
| CIS Control 2.5 | ソフトウェアインベントリシステムは、すべてのデバイスと関連付けられたソフトウェアを 1 つの場所から追跡できるように、ハードウェア資産インベントリに関連付ける必要があります。 | CMDB |
| CIS Control 3.1 | 最新の SCAP 準拠の脆弱性スキャンツールを使用して、ネットワーク上のすべてのシステムを毎週またはそれ以上の頻度で自動的にスキャンし、組織のシステムの潜在的な脆弱性をすべて特定します。 | 脆弱性対応 |
| CIS Control 3.2 | 各システムでローカルに実行されているエージェント、またはテスト対象のシステムで昇格された権利で設定されたリモートスキャナーを使用して、認証済み脆弱性スキャンを実行します。 | 脆弱性対応 |
| CIS Control 3.6 | 継続的な脆弱性スキャンの結果を定期的に比較して、脆弱性が適切なタイミングで修正されていることを確認します。 | 脆弱性対応 |
| CIS Control 3.7 | リスク評価プロセスを使用して、検出された脆弱性の修正を優先します。 | 脆弱性対応 |
| CIS Control 15.1 | 有線ネットワークに接続されている認可済み無線アクセスポイントのインベントリを管理します。 | CMDB |
| CIS Control 16.1 | オンサイトまたはリモートサービスプロバイダーにあるものを含む、組織の各認証システムのインベントリを管理します。 | CMDB |
| CIS Control 18.5 | 標準化され、広範囲にわたってレビューされた暗号化アルゴリズムのみを使用します。 | ディスカバリー |
| CIS Control 18.8 | 外部エンティティがセキュリティグループに連絡する手段を提供するなど、ソフトウェアの脆弱性のレポートを受け入れて対処するプロセスを確立します。 | 脆弱性対応 |
| CIS Control 19.1 | 担当者のロールとインシデントの処理/管理のフェーズを定義する、書面によるインシデント応答計画があることを確認します。 | セキュリティインシデントレスポンス |
| CIS Control 19.2 | コンピューターとネットワークのインシデントを処理するための役職と職務を特定の個人にアサインし、解決までのインシデント全体の追跡と文書化を行います。 | セキュリティインシデントレスポンス |
| CIS Control 19.3 | 重要な意思決定のロールを担うことによってインシデント処理プロセスをサポートする管理担当者およびバックアップを指定します。 | セキュリティインシデントレスポンス |
| CIS Control 19.4 | システムアドミニストレーターおよび他の人員メンバーがインシデント処理チームに例外イベントをレポートするために必要な時間、そのようなレポートのメカニズム、およびインシデント通知に含める必要がある情報の種類について、組織全体の標準を策定します。 | セキュリティインシデントレスポンス |
| CIS Control 19.6 | インシデント処理チームへのコンピューターの例外とインシデントのレポートに関する情報を、すべての従業員に公開します。このような情報は、定期的な従業員の認識向上アクティビティに含める必要があります。 | セキュリティインシデントレスポンス |
| CIS Control 19.8 | 組織への既知の影響または潜在的な影響に基づいて、インシデントのスコアリングと優先順位付けのスキーマを作成します。スコアを使用して、ステータスの更新頻度とエスカレーション手順を定義します。 | セキュリティインシデントレスポンス |
これらの各種法令・基準内項目により、サイバーセキュリティコントロールアクセラレーター アプリケーションに含まれる CIS Controls の代わりに、UCF からダウンロードした CIS コントロールを使用し、コントロールを提供されたインジケーターテンプレートに関連付けることができます。