オーストラリアは、Essential Eight Maturity Model(EEMM)を発表しました。シンプルで解釈しやすく、反応ではなくサイバー脅威の予防に焦点を当てています。
オーストラリアのサイバー脅威防止のためのガイド
オーストラリアのEEMMに含まれる8つの必須ステップを見てみましょう。
- アプリケーションのホワイトリスト化
- アプリケーションへのパッチ適用
- MS Officeマクロの設定
- アプリケーションの強化
- 管理者権限の制限
- 多要素認証
- オペレーティングシステムのパッチ適用
- 日々のバックアップ
ご覧のとおり、すべての項目は解釈しやすく、専門用語もなく、管理しやすいものとなっています。また、EEMMは、8つのセクションの各レベルのコンプライアンスについて、何を期待しているのかを明確に示しています。
サイバーセキュリティ、現代の脅威、サイバー犯罪に関連するリスクに新たな光が当てられていることを考えると、一般ユーザーから大企業まで誰もが従うことのできる明確な方向性が示されていることが、非常に新鮮です。公平を期すために、米国政府は何年も前からサイバー脅威対策の方法として、アプリケーションホワイトリストの使用などを奨励してきました。しかし、CMMCは長く、非常に煩雑であり、ITリソースを持たない多くの中小企業にとっては、正直なところ負担になる可能性があります。
米国の中小企業
米国中小企業庁によると、米国には3,000万以上の中小企業があります。これらの中小企業の多くは、CMMCやその他のIT規制を解釈する最高情報セキュリティ責任者(CISO)を持っていないと思われます。そのため、アメリカ政府は、これらの企業を最新のサイバー脅威から守るために必要な手順を簡略化することが重要です。
オーストラリアが提示した8つの要点を再現することで、アメリカの企業はセキュリティ態勢を強化することができます。もう一度、8つの要素を確認してみましょう。
- アプリケーションのホワイトリスト化 – アプリケーションのホワイトリスト化、許可リスト化、またはアプリケーション制御は、既知の信頼できるプログラムの実行のみを許可します。オーストラリアのサイバーセキュリティ企業であるAirlock Digital社がアプリケーション制御に力を入れているのと同様に、アメリカのサイバーセキュリティ企業であるPC Matic社がアプリケーション制御に力を入れています。
- アプリケーションへのパッチ適用 – クラウドのおかげで、パッチ管理はますます容易になりました。そのため、サードパーティ製のアプリケーションを、アップデートが公開されてから48時間以内に更新しないという言い訳はできないはずです。
- MS Officeのマクロ設定 – 企業は、Microsoft Officeの設定に入り、マクロを無効にすることでこれを行うことができます。
- アプリケーションの堅牢化 – 実行が許可されているアプリケーションの管理を強化することです。例えば、従業員がアクセスできるウェブページ、ソフトウェアのダウンロード、セキュリティ設定の変更などの機能を制限することができます。
- 管理者権限の制限 – 組織は、ネットワークの管理者権限を持つ人の監査を行うことが推奨される。監査を行うことで、誰がアクセスを必要としているのか、誰がアクセス権を持っているのかを判断し、それに応じて権限を削除することができます。
- 多要素認証 – パスワードとSMSメッセージを組み合わせた多要素認証を設定することで、権限のない人がネットワークにアクセスする脅威を減らすことができます。
- オペレーティングシステムへのパッチ適用 – アプリケーションへのパッチ適用と同様に、オペレーティングシステムにも自動更新機能があり、利用可能になってから48時間以内に導入する必要があります。
- 毎日のバックアップ – バックアップファイルを常に最新の状態にしておくことが最善の方法です。これを毎日行うことで、サイバー攻撃やハードドライブ/サーバーのクラッシュの際に失われるデータを減らすことができます。
サイバーセキュリティ対策を強化するために、誰もが簡単にできる8つのステップをご紹介しました。