CISAより 無料のサイバーセキュリティサービスとツール集が発表されました。
FREE CYBERSECURITY SERVICES AND TOOLS
CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY
基本的な対策
まずはサイバーセキュリティプログラム(CISA 無料のサイバーセキュリティサービスとツール集)を実施するために、基本的な対策を講じる必要があります。
■ソフトウェアの既知のセキュリティ不具合を修正する。
組織で使用しているソフトウェアについて、CISAのKEV(Known Exploited Vulnerabilities)カタログを確認し、ベンダーの指示に従ってソフトウェアを最新バージョンに更新する。
注:CISAは、KEVカタログを更新し、既知の脆弱性を掲載しています。
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
■多要素認証(MFA)を導入する。
可能な限り、多要素認証を使用する。MFAは、オンラインアカウントとそこに含まれるデータを保護するためのアプローチです。電子メールなどのオンラインサービスでMFAを有効にすると、サービスがアクセスを許可する前に、2つ以上の認証機能で本人確認を行う必要があります。MFAを使用すると、ユーザー名とパスワードを使用するよりも保護されます。なぜなら、たとえ1つの認証要素(パスワードなど)が漏洩しても、不正なユーザーは2つ目の認証要件を満たすことができず、最終的にアカウントへのアクセスを阻止することができるからです。
■悪しき習慣を止めて、直ちに以下の措置をとる。
(1) ソフトウェアのアップデートが無いサポートライフサイクルが終了したソフトウェア製品を交換する。(2) 既知/デフォルト/変更不可能なパスワードに依存するシステムまたは製品を交換します。 (3) 重要なシステム、リソース、またはデータベースへのリモートアクセスまたは管理アクセスにMFAを採用します。
https://www.cisa.gov/BadPractices
■CISAのサイバー・ハイジーン脆弱性スキャンに登録する。
このサービスに登録するには、 vulnerability@cisa.dhs.gov に電子メールを送信してください。このサービスは、一度開始すると、ほとんど自動化されており、直接のやりとりはほとんど必要ありません。CISAは脆弱性スキャンを実行し、週次レポートを提供します。CISAが必要な書類を受け取った後、スキャンは72時間以内に開始され、組織は2週間以内にレポートを受け取り始めます。
注:脆弱性スキャンは、インターネットに繋がるシステムの脆弱な設定や既知の脆弱性から保護し、ベストプラクティスの導入を促すのに役立ちます。
■Get your Stuff Off Search (S.O.S.)
ゼロデイ攻撃は最も注目される攻撃ですが、サイバーセキュリティと物理セキュリティの両方に対する一部のエクスポージャが見逃されることはよくあります。Get your Stuff Off Search-S.O.S.-は、Webベースの検索プラットフォームで誰もが利用できアタックサーフェスを減らすことができます。
https://www.cisa.gov/publication/stuff-off-search
■無料サービス・ツール
上記の対策を進めた後、組織は以下に挙げる無料のサービスやツールを利用して、サイバーセキュリティのリスクマネジメントを成熟させることができます。これらのリソースは、4 つの目標に従って分類されています。
・損害を与えるサイバーインシデントの可能性を減らす
・潜在的な侵入をすばやく検知するための手順を実行する
・侵入が発生した場合に組織が対応する準備ができていることを確認する
・破壊的なサイバーインシデントに対する組織のレジリエンスを最大化する
https://www.cisa.gov/free-cybersecurity-services-and-tools
