サイバーセキュリティを向上させるための4つのアクションとは？ CISAが解説：多要素認証の実装、インシデント対応計画の策定など

米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、組織がサイバーセキュリティ強化のために実践できる取り組みを4つ紹介した。

[＠IT]

　米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は2023年7月21日（米国時間）、組織がサイバーセキュリティパフォーマンス目標（CPG）を達成しサイバーセキュリティ強化のために実践できる取り組みを紹介した。

　CPGは米国の組織がサイバーセキュリティ体制を評価しサイバーセキュリティ基盤を実現することを目的として2022年12月に初めて策定された。

　CISAは「目標を完全に遂行することは、特に小規模な組織にとっては長く思えるかもしれないが、十分に達成可能」だとし、以下のような手法をまずは実践すべきだとした。

デフォルトのパスワードを変更する

　ハードウェア、ソフトウェア、またはファームウェアをネットワークに接続する前に、デフォルトの製造元のパスワードを変更することを要求する組織全体のポリシーを作成して強制することは、攻撃者による初期アクセスと水平展開の双方を防止するのに役立つ。

　スマートフォンなど多くのデバイスでは、デフォルトで新規ユーザーに新しいパスワードの設定を求める場合がある。しかしながら、多くのデバイスではまだユーザーにこのアクションを実行するよう求められていないため、新しいリソースまたはデバイスを展開する際の最初のステップのうちの一つとして、これを行う必要がある。

フィッシング耐性のある多要素認証（MFA）を実装する

　組織のアカウントを保護するために重要な追加のセキュリティ層を追加すると、攻撃者が大混乱を引き起こすための最初の足掛かりを阻止できる。

　CISAは、悪用を最大限に防ぐために、FIDO（Fast IDentity Online）や公開キー基盤などのハードウェアベースのトークンを使用することを推奨している。また、アプリベースのソフトトークンも良い選択肢だという。追加のセキュリティ層がないよりは良いが、ショートメッセージサービス（SMS）を利用した実装は、最後の手段とすべきだとした。

ユーザーアカウントと特権アカウントを分離する

　ユーザーアカウントが管理者レベルの権限を持っていないことを保証することで、ユーザーアカウントが侵害された場合でも、攻撃者がアクセス権を取得したり権限を昇格したりすることを困難にする。特定の権限の必要性を検証するために、定期的に権限を再評価すべきだという。

インシデント対応計画を策定する

　サイバーセキュリティ対応計画を作成、維持、実行する。CISAによると、組織が一般的な脅威シナリオに迅速に対処し、より迅速に復旧するために何を行う必要があるかを知るのに役立つという。大規模な組織は複雑な計画を持っている可能性があるが、小規模な組織は、サービスプロバイダーに支援を求めるなどの緊急時にすぐに実行できる手順を概説する簡単な計画から開始するのも効果的だとした。

　CISAは、組織が少なくとも年に一度、現実的なシナリオを作成して計画を実行することを推奨している。大規模な組織の場合、シナリオは慎重に計画された机上演習である可能性があるが、小規模なチームの場合は、単純なリハーサルや口頭でのウォークスルーなどのアプローチでも効果的だという。