CISA 無料のサイバーセキュリティサービスとツール集

CISAより 無料のサイバーセキュリティサービスとツール集が発表されました。

FREE CYBERSECURITY SERVICES AND TOOLS

https://www.cisa.gov/free-cybersecurity-services-and-tools

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY

基本的な対策

まずはサイバーセキュリティプログラム(CISA 無料のサイバーセキュリティサービスとツール集)を実施するために、基本的な対策を講じる必要があります。

■ソフトウェアの既知のセキュリティ不具合を修正する。

組織で使用しているソフトウェアについて、CISAのKEV(Known Exploited Vulnerabilities)カタログを確認し、ベンダーの指示に従ってソフトウェアを最新バージョンに更新する。
注:CISAは、KEVカタログを更新し、既知の脆弱性を掲載しています。

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

■多要素認証(MFA)を導入する。

可能な限り、多要素認証を使用する。MFAは、オンラインアカウントとそこに含まれるデータを保護するためのアプローチです。電子メールなどのオンラインサービスでMFAを有効にすると、サービスがアクセスを許可する前に、2つ以上の認証機能で本人確認を行う必要があります。MFAを使用すると、ユーザー名とパスワードを使用するよりも保護されます。なぜなら、たとえ1つの認証要素(パスワードなど)が漏洩しても、不正なユーザーは2つ目の認証要件を満たすことができず、最終的にアカウントへのアクセスを阻止することができるからです。

https://www.cisa.gov/mfa

■悪しき習慣を止めて、直ちに以下の措置をとる。

(1) ソフトウェアのアップデートが無いサポートライフサイクルが終了したソフトウェア製品を交換する。(2) 既知/デフォルト/変更不可能なパスワードに依存するシステムまたは製品を交換します。 (3) 重要なシステム、リソース、またはデータベースへのリモートアクセスまたは管理アクセスにMFAを採用します。

https://www.cisa.gov/BadPractices

■CISAのサイバー・ハイジーン脆弱性スキャンに登録する。

このサービスに登録するには、 vulnerability@cisa.dhs.gov に電子メールを送信してください。このサービスは、一度開始すると、ほとんど自動化されており、直接のやりとりはほとんど必要ありません。CISAは脆弱性スキャンを実行し、週次レポートを提供します。CISAが必要な書類を受け取った後、スキャンは72時間以内に開始され、組織は2週間以内にレポートを受け取り始めます。
注:脆弱性スキャンは、インターネットに繋がるシステムの脆弱な設定や既知の脆弱性から保護し、ベストプラクティスの導入を促すのに役立ちます。

■Get your Stuff Off Search (S.O.S.)

ゼロデイ攻撃は最も注目される攻撃ですが、サイバーセキュリティと物理セキュリティの両方に対する一部のエクスポージャが見逃されることはよくあります。Get your Stuff Off Search-S.O.S.-は、Webベースの検索プラットフォームで誰もが利用できアタックサーフェスを減らすことができます。

https://www.cisa.gov/publication/stuff-off-search

■無料サービス・ツール

上記の対策を進めた後、組織は以下に挙げる無料のサービスやツールを利用して、サイバーセキュリティのリスクマネジメントを成熟させることができます。これらのリソースは、4 つの目標に従って分類されています。

・損害を与えるサイバーインシデントの可能性を減らす

・潜在的な侵入をすばやく検知するための手順を実行する

・侵入が発生した場合に組織が対応する準備ができていることを確認する

・破壊的なサイバーインシデントに対する組織のレジリエンスを最大化する

https://www.cisa.gov/free-cybersecurity-services-and-tools

投稿者: 二本松 哲也

競争原理から共創原理へ SPbD Founder、 OWASP Member 、株式会社ラック セキュリティコンサルタント、総務省事業 テレワーク セキュリティ専門家、IPCC 地球温暖化防止コミュニケーター、キャリア(個人事業主:PG→SE→PL→PM)→ (会社員:システムコンサルティング事業部 部長:情シス、事業企画、プロダクト開発、知財、法務、情報セキュリティ委員会、Pマーク、IT補助金、IPO、在留資格申請、建設業許可申請)