Please enable JavaScript.
Coggle requires JavaScript to display documents.
Risk Reduction Requests for FY18 企業が攻撃を防御し、警戒し、対処する能力を得るための手順 (G17…
Risk Reduction Requests for FY18
企業が攻撃を防御し、警戒し、対処する能力を得るための手順
G1 ハードウェア資産管理
ネットワーク上の全てのHWデバイスを能動的に管理(インベントリ作成、追跡、修正)し、アクセス権限を許可されたデバイスだけに付与する。
無許可のデバイスや管理されていないデバイスを検出し、これらのデバイスがアクセス権限を取得することを防止する
G2 ソフトウェア資産管理
ネットワーク上の全てのソフトウェアを能動的に管理(インベントリ作成、追跡、修正)し、許可されたソフトウェアだけをインストールし、実行可能とする。
無許可のソフトウェアや管理されていないソフトウェアを検出し、不正なソフトウェアのインストールと実行を防止する
G3 安全な設定(ハード)
攻撃者が脆弱なサービスや設定を悪用できないようにするため、厳格な設定管理及び変更管理プロセスを使用して、ラップトップ、サーバ、及びワークステーションのセキュリティ設定を確立、実装し、能動的に管理(追跡、報告、修正)する
G4 脆弱性マネジメント
継続的に新たな情報を取得、評価し、この情報に基づいて措置を講じることで、脆弱性を特定して修復し、攻撃チャンスを最小限に抑える
G5 管理権限の制御
コンピュータ、ネットワーク、アプリケーションの管理権限の使用、割り当て、設定を追跡/管理/防止/修正するためのプロセスとツール
G6 ログ監視・分析
イベント監査ログを収集、管理、分析する。これは、攻撃を検知、理解し、攻撃からの被害を復旧する上で役立つ。
G7 email/ブラウザの保護
攻撃者がWebブラウザや電子メールシステム利用者の行動を操作して行う攻撃の対象範囲や機会を最小限に抑える
G8 マルウェア対策
企業内の複数ポイントで悪意のあるコードのインストール、感染拡大、実行をコントロールし、自動化機能を活用して迅速な防御対策の更新、データ収集、修正を可能にする
G9 ネットワーク、プロトコル、サービスの制御
攻撃者に対して脆弱性が利用可能である期間を最小限に抑えるため、ネットワーク接続デバイスのポート、プロトコル及びサービスの継続的な運用を管理(追跡/コントロール/修正)する
G10 データ復旧能力
本プロセスとツールは、重要情報を適切にバックアップするとともに、実証済みの手法でタイムリーに情報を復旧する
G11 安全な設定(ネットワーク機器)
攻撃者が脆弱なサービスや設定を悪用できないようにするため、厳格な設定管理および変更管理プロセスを適用してネットワークインフラの機器設定を確立、実装し、能動的に管理(追跡、報告、修正)する
G12 境界防御
異なる信頼レベルのネットワーク間を流れる情報の中から、セキュリティ上問題となるデータを検出/防止/修正する
G13 データ保護
データの不正持ち出しを防止し、不正に持ち出されたデータの影響を低減し、機密情報の機密性と完全性を確保するためのプロセスとツール
G14 アクセスコントロール(割愛)
許可された分類に基づき、どのユーザ、コンピュータ、アプリケーションが重要な資産(情報、リソース、システムなど)へのアクセスを必要とし、アクセス権限を持つべきであるかに関する正式な決定内容に従い、これら資産への保護されたアクセスを追跡/制御/防止/修正するためのプロセスとツール
G15 無線アクセスコントロール
本プロセスとツールは、無線ローカルエリアネットワーク(LAN)、アクセスポイント、無線クライアントシステムのセキュリティの使用状況を追跡/管理/防止/修正するために利用される
G16 アカウント監視及びコントロール
システムアカウント及びアプリケーションアカウントのライフサイクル(アカウントの作成、使用、休止、削除)を能動的に管理し、攻撃者に悪用される機会を最小限に抑える
G17 セキュリティトレーニング
組織内の全ての職務について、事業とそのセキュリティに不可欠な職務を優先しながら、企業防衛に必要とされる具体的知識、スキル、能力を洗い出す。
その上で、現状との差を評価し不足を特定するための全体計画を作成し、実施する。
セキュリティポリシー、組織計画、トレーニングおよびセキュリティリテラシープログラムを通じて、改善を進める。
G19 インシデント対応(割愛)
組織の情報と信頼を保護するため、攻撃を迅速に検知し、損害を効果的に食い止め、攻撃者の存在を根絶し、ネットワークとシステムの完全性を復元するためのインシデントレスポンス基盤(計画、明確な役割、トレーニング、コミュニケーション、管理/監督)を策定、実装する