詳細なエンタープライズ資産インベントリの確立と維持：

エンドユーザーデバイス (ポータブルおよびモバイルを含む)、ネットワークデバイス、非コンピューティング/IoT デバイス、サーバーなど、データを保存または処理する可能性のあるすべてのエンタープライズ資産の正確で詳細かつ最新のインベントリの確立と維持：インベントリに、ネットワーク アドレス (静的な場合)、ハードウェアアドレス、マシン名、データ資産所有者、各資産の部門、および資産のネットワークへの接続が承認されているかどうかが記録されていることを確認します。モバイルエンドユーザーデバイスの場合、 MDM タイプのツールは、必要に応じてこのプロセスをサポートできます。このインベントリには、物理的、仮想的、リモートでインフラストラクチャに接続された資産、およびクラウド環境内の資産が含まれます。  さらに、企業の管理下に ない場合でも、企業のネットワークインフラストラクチャに定期的に接続されている資産も含まれます。すべてのエンタープライズ資産のインベントリを半年ごと、またはそれ以上の頻度で確認および更新します。

不正な資産への対応：

不正資産への対応プロセスを毎週実施していることを確認します。企業は、ネットワークから資産を削除するか、資産によるネットワークへのリモート接続を拒否するか、資産を隔離するかを選択できます。

アクティブディスカバリーツールを使用：

アクティブディスカバリーツールを使用して、企業のネットワークに接続されている資産を特定します。アクティブディスカバリーツールを毎日、またはそれ以上の頻度で実行するように構成します。

動的ホスト構成プロトコル (DHCP) ログを使用してエンタープライズ資産インベントリを更新します。

すべての DHCP サーバーまたはインターネットプロトコル (IP) アドレス管理ツールで DHCP ログを使用して、企業の資産インベントリを更新します。ログを確認して使用し、企業の資産インベントリを毎週、またはそれ以上の頻度で更新します。

受動的資産ディスカバリーツールを使用：

受動的資産ディスカバリーツールを使用して、企業のネットワークに接続されている資産を特定します。スキャンを確認して使用し、少なくとも毎週、またはそれ以上の頻度で企業の資産インベントリを更新します。

ソフトウェアインベントリの確立と保守：

エンタープライズ資産にインストールされているすべてのライセンス済みソフトウェアの詳細なインベントリを確立して維持します。ソフトウェアインベントリには、各エントリのタイトル、発行元、最初のインストール/使用日、およびビジネス目的を文書化する必要があります。必要に応じて、ユニフォームリソースロケーター (URL)、アプリストア、バージョン、展開メカニズム、および使用停止の日付を含めます。ソフトウェアインベントリを 2 年に 1 回、またはそれ以上の頻度で確認して更新します。

認可済みソフトウェアが現在サポートされていることを確認する

現在サポートされているソフトウェアのみが、エンタープライズ資産のソフトウェアインベントリで認可済みとして指定されていることを確認します。ソフトウェアがサポートされていないが、企業の使命を果たすために必要な場合は、コントロールの軽減と残存リスクの受容を詳述した例外を文書化します。例外のないサポート対象外のソフトウェアドキュメントについては、未許可として指定します。ソフトウェアリストを確認して、少なくとも毎月、またはそれ以上の頻度でソフトウェアサポートを確認します。

不正なソフトウェアへの対処：

不正なソフトウェアがエンタープライズ資産での使用から削除されるか、文書化された例外を受け取ることを確認します。毎月、またはそれ以上の頻度でレビューします。

自動ソフトウェアインベントリツールの利用：

可能な場合は、企業全体でソフトウェアインベントリツールを使用して、インストールされているソフトウェアの検出と文書化を自動化します。

許可されたソフトウェアを許可リストに登録：

アプリケーションの許可リストなどの技術的なコントロールを使用して、許可されたソフトウェアのみが実行またはアクセスできるようにします。半年ごと、またはそれ以上の頻度で再評価を実施します。

許可リスト認証ライブラリ：

テクニカルコントロールを使用して、特定の .dll、.ocx、.so などのファイルなど、許可されたソフトウェアライブラリーのみをシステムプロセスにロードできるようにします。許可されていないライブラリがシステムプロセスに読み込まれるのをブロックします。半年ごと、またはそれ以上の頻度で再評価を実施します。

許可リスト承認スクリプト：

デジタル署名やバージョン管理などの技術的なコントロールを使用して、特定の .ps1、.py などのファイルなどの承認されたスクリプトのみが実行できるようにします。許可されていないスクリプトの実行をブロックします。半年ごと、またはそれ以上の頻度で再評価を実施します。

データ管理プロセスの確立と維持：

データ管理プロセスを確立し、維持します。このプロセスでは、企業の機密性と保持度の基準に基づいて、データの機密性、データ所有者、データの処理、データ保持の制限、および廃棄の要件に対処します。毎年、またはこの保護対策に影響を与える可能性のある重大な企業変更が発生した場合には、ドキュメントを確認して更新します。

転送中の機密データを暗号化：

転送中の機密データを暗号化します。実装例としては、Transport Layer Security (TLS) や Open Secure Shell (OpenSSH) などがあります。

保存中の機密データを暗号化：

機密データを含むサーバー、アプリケーション、およびデータベースに保存されている機密データを暗号化します。ストレージレイヤー暗号化は、サーバー側暗号化とも呼ばれ、この保護対策の最小要件を満たしています。追加の暗号化方法には、クライアント側暗号化とも呼ばれるアプリケーション層の暗号化が含まれる場合がありますが、データストレージデバイスへのアクセスではプレーンテキストデータへのアクセスが許可されません。

機密性に基づいてデータの処理と保存をセグメント化：

データの機密性に基づいてデータ処理とストレージをセグメント化します。機密性の低いデータを対象としたエンタープライズ資産の機密データを処理しないでください。

データ損失防止ソリューションの展開：

ホストベースのデータ損失防止 (DLP) ツールなどの自動化ツールを実装して、オンサイトまたはリモートサービスプロバイダーにあるものを含め、エンタープライズ資産を通じて保存、処理、または送信されるすべての機密データを特定し、企業の機密データインベントリを更新します。

機密データアクセスのログ記録：

変更や破棄を含む機密データへのアクセスをログに記録します。

データインベントリの確立と管理：

企業のデータ管理プロセスに基づいて、データインベントリを確立および維持します。少なくとも機密データをインベントリします。少なくとも年に 1 回、機密データを優先してインベントリを確認および更新します。

データアクセスコントロールリストの構成：

ユーザーの知る必要性に基づいて、データアクセスコントロールリストを設定します。データ アクセスコントロールリスト (アクセス許可とも呼ばれます) を、ローカルおよびリモートのファイルシステム、データベース、およびアプリケーションに適用します。

データ保持を強制：

企業のデータ管理プロセスに従ってデータを保持します。データ保持には、最小タイムラインと最大タイムラインの両方を含める必要があります。

データの安全な廃棄：

企業のデータ管理プロセスで概説されているように、データを安全に廃棄します。廃棄のプロセスと方法がデータの機密性に見合ったものであることを確認してください。

エンドユーザーデバイス上のデータの暗号化：

機密データを含むエンドユーザーデバイスのデータを暗号化します。実装例としては、Windows BitLocker™、Apple FileVault™ 、Linux dm-crypt™ などがあります。

データ分類スキームの確立と管理：

企業の全体的なデータ分類スキームを確立し、維持します。企業は、「機密」、「機密」、「公開」などのラベルを使用し、それらのラベルに従ってデータを分類できます。毎年、またはこの保護対策に影響を与える可能性のある重大な企業変更が発生した場合には、分類スキームを見直して更新します。

ドキュメントデータフロー：

ドキュメントデータフローデータフローのドキュメントには、サービスプロバイダーのデータフローが含まれており、企業のデータ管理プロセスに基づいている必要があります。毎年、またはこの保護対策に影響を与える可能性のある重大な企業変更が発生した場合には、ドキュメントを確認して更新します。

リムーバブルメディア上のデータを暗号化：

リムーバブルメディア上のデータを暗号化します。

安全な構成プロセスの確立と維持：

エンタープライズ資産 (ポータブルおよびモバイルを含むエンドユーザーデバイス、非コンピューティング/IoT デバイス、およびサーバー) とソフトウェア (オペレーティングシステムとアプリケーション) の安全な構成プロセスを確立し、維持します。 毎年、またはこの保護対策に影響を与える可能性のある重大な企業変更が発生した場合には、ドキュメントを確認して更新します。

ポータブルエンドユーザーデバイスに自動デバイスロックアウトを適用：

サポートされている場合は、ポータブルエンドユーザーデバイスでのローカル認証試行失敗の事前定義されたしきい値に従って自動デバイスロックアウトを強制します。ラップトップの場合は、20 回を超える認証試行の失敗を許可しないでください。タブレットおよびスマートフォンの場合、認証試行の失敗は 10 回以内です。実装の例には、MicrosoftInTune デバイスロックとApple構成プロファイル maxFailedAttempts が含まれます。

ポータブルエンドユーザーデバイスにリモートワイプ機能を適用：

デバイスの紛失や盗難など、適切と思われる場合、または個人が企業をサポートしなくなった場合に、企業所有のポータブルエンドユーザーデバイスから企業データをリモートでワイプします。

モバイルエンドユーザーデバイス上の個別のエンタープライズワークスペース：

サポートされている場合は、モバイルエンドユーザーデバイスで個別のエンタープライズワークスペースが使用されていることを確認します。実装例としては、Apple構成プロファイルAndroidまたは仕事プロファイルを使用して、エンタープライズアプリケーションとデータを個人用アプリケーションとデータから分離することが含まれます。

ネットワークインフラストラクチャの安全な構成プロセスの確立と維持：

ネットワークデバイスの安全な構成プロセスを確立および維持します。毎年、またはこの保護対策に影響を与える可能性のある重大な企業変更が発生した場合には、ドキュメントを確認して更新します。

エンタープライズ資産の自動セッションロックの設定：

定義された非アクティブ期間が経過した後、企業資産の自動セッションロックを構成します。汎用オペレーティングシステムの場合、期間は 15 分を超えてはなりません。モバイルエンドユーザーデバイスの場合、期間は 2 分を超えてはなりません。

サーバーにファイアウォールの実装と管理：

サポートされている場合は、サーバー上でファイアウォールを実装および管理します。実装例としては、仮想ファイアウォール、オペレーティングシステムのファイアウォール、サードパーティのファイアウォールエージェントなどがあります。

エンドユーザーデバイスでのファイアウォールの実装と管理：

明示的に許可されているサービスとポートを除くすべてのトラフィックをドロップするデフォルトの拒否ルールを使用して、エンドユーザーデバイスにホストベースのファイアウォールまたはポートフィルタリングツールを実装および管理します。

エンタープライズ資産とソフトウェアを安全に管理：

企業の資産とソフトウェアを安全に管理します。実装例としては、バージョン管理されたコードとしてのインフラストラクチャを使用した構成の管理や、Secure Shell (SSH) やハイパーテキスト転送プロトコルセキュア (HTTPS) などのセキュアなネットワークプロトコルを介した管理インターフェイスへのアクセスなどがあります。Telnet (Teletype Network) や HTTP などの安全でない管理プロトコルは、運用上必要でない限り使用しないでください。

エンタープライズ資産およびソフトウェアのデフォルトアカウントの管理：

ルート、アドミニストレーター、その他の事前設定されたベンダーアカウントなど、エンタープライズ資産およびソフトウェアのデフォルトアカウントを管理します。実装例としては、既定のアカウントを無効にしたり、使用できないようにしたりすることなどがあります。

エンタープライズ資産とソフトウェア上の不要なサービスをアンインストールまたは無効にします。

未使用のファイル共有サービス、Web アプリケーションモジュール、サービス機能など、エンタープライズ資産およびソフトウェア上の不要なサービスをアンインストールするか、無効にします。

エンタープライズ資産で信頼できる DNS サーバーの構成：

エンタープライズ資産で信頼できる DNS サーバーを構成します。実装例には、エンタープライズが管理する DNS サーバーや信頼できる外部からアクセス可能な DNS サーバーを使用するように資産を構成することが含まれます。

アカウントのインベントリの作成と維持：

エンタープライズで管理されているすべてのアカウントのインベントリの作成と維持。インベントリには、ユーザーアカウントとアドミニストレーターアカウントの両方が含まれている必要があります。インベントリには、少なくとも、個人の名前、ユーザー名、開始日/終了日、および部門が含まれている必要があります。すべてのアクティブなアカウントが、少なくとも四半期ごと、またはそれ以上の頻度で繰り返されるスケジュールで承認されていることを確認します。

一意のパスワードの使用：

すべてのエンタープライズ資産に対して一意のパスワードを使用します。ベストプラクティスとしては、MFA を使用しているアカウントには 8 文字以上、MFA を使用していないアカウントには 14 文字以上のパスワードを設定することを推奨します。

休眠アカウントの無効化：

サポートされている場合は、非アクティブ状態が 45 日間続いた後に休眠アカウントを削除または無効にします。

アドミニストレーター権限を専用のアドミンアカウントに制限：

アドミニストレーター権限をエンタープライズ資産に対する専用のアドミニストレーターアカウントに制限します。ユーザーのプライマリ特権のないアカウントから、インターネット閲覧、メール、生産性スイートの使用などの一般的なコンピューティングアクティビティを実行します。

サービスアカウントのインベントリの確立と維持：

サービスアカウントのインベントリを確立して維持します。インベントリには、少なくとも部門オーナー、レビュー日、および目的が含まれている必要があります。定期的にサービスアカウントのレビューを最低でも四半期ごとに実施し、アクティブなアカウントが適切に承認されていることを確認します。

アカウント管理を一元化：

ディレクトリまたは ID サービスを通じてアカウント管理を一元化します。

アクセスを許可するプロセスの確立：

ユーザーの新規雇用、権利の付与、またはロールの変更時に企業資産へのアクセスを許可するためのプロセス (できれば自動化) を確立し、これに従います。

アクセス取り消しプロセスの確立：

ユーザーの終了、権利の取り消し、またはロールの変更の際に直ちにアカウントを無効にすることで、企業資産へのアクセスを取り消すためのプロセス (できれば自動化) を確立し、これに従います。監査証跡を保持するために、アカウントを削除する代わりにアカウントを無効にする必要がある場合があります。

外部に公開されたアプリケーションに MFA を要求：

サポートされている場合は、外部に公開されているすべてのエンタープライズまたはサードパーティ製アプリケーションに MFA の適用を要求します。ディレクトリサービスまたは SSO プロバイダーを通じて MFA を適用することは、この保護対策の十分な実装です。

リモートネットワークアクセスに MFA を要求：

リモート ネットワークアクセスに MFA を要求します。

管理アクセスに MFA を要求：

サポートされている場合は、オンサイトで管理されているか、サードパーティのプロバイダーを介して管理されているかに関係なく、すべてのエンタープライズ資産のすべての管理アクセスアカウントに対して MFA を要求します。

認証および認可システムのインベントリの確立と維持：

オンサイトまたはリモートサービスプロバイダーでホストされているシステムを含む、企業の認証および認可システムのインベントリを確立および維持します。少なくとも、年に 1 回、またはそれ以上の頻度で、インベントリを確認および更新します。

アクセスコントロールの一元化：

サポートされている場合は、ディレクトリサービスまたは SSO プロバイダーを使用して、すべてのエンタープライズ資産のアクセスコントロールを一元化します。

ロールベースのアクセスコントロールの定義と管理：

企業内の各ロールがアサインされた職務を正常に遂行するために必要なアクセス権を決定および文書化することにより、ロールベースのアクセスコントロールを定義および維持します。エンタープライズ資産のアクセスコントロールレビューを実行して、すべての特権が、少なくとも年に 1 回、またはそれ以上の頻度で繰り返しスケジュールで承認されていることを確認します。

脆弱性管理プロセスの確立と維持：

エンタープライズ資産の脆弱性管理プロセスを文書化して確立し、維持します。毎年、またはこの保護対策に影響を与える可能性のある重大な企業変更が発生した場合には、ドキュメントを確認して更新します。

修正プロセスを確立と維持：

リスクベースの修復戦略を確立して維持し、毎月またはそれ以上の頻度でレビューを行い、修復プロセスで文書化します。

オペレーティングシステムの自動パッチ管理の実行：

毎月またはそれ以上の頻度で、自動パッチ管理を通じてエンタープライズ資産のオペレーティングシステムの更新を実行します。

自動アプリケーションパッチ管理の実行：

毎月またはそれ以上の頻度で、自動パッチ管理を通じてエンタープライズ資産のアプリケーション更新を実行します。

社内のエンタープライズ資産の自動脆弱性スキャンの実行：

四半期ごとまたはそれ以上の頻度で、社内のエンタープライズ資産の自動脆弱性スキャンを実行します。SCAP 準拠の脆弱性スキャンツールを使用して、認証済みスキャンと非認証スキャンの両方を実行します。

外部に公開されたエンタープライズ資産の自動脆弱性スキャンの実行：

SCAP 準拠の脆弱性スキャンツールを使用して、外部に公開されたエンタープライズ資産の自動脆弱性スキャンを実行します。毎月、またはそれ以上の頻度でスキャンを実行します。

検出された脆弱性の修正：

修正プロセスに基づいて、プロセスとツールを通じてソフトウェアで検出された脆弱性を月次またはそれ以上の頻度で修正します。

監査ログ管理プロセスの確立と維持：

企業のログ記録要件を定義する監査ログ管理プロセスを確立し、維持します。少なくとも、エンタープライズ資産の監査ログの収集、レビュー、および保持に対処します。毎年、またはこの保護対策に影響を与える可能性のある重大な企業変更が発生した場合には、ドキュメントを確認して更新します。

監査ログの保持：

エンタープライズ資産全体の監査ログを最低 90 日間保持します。

監査ログレビューの実施：

監査ログのレビューを実施して、潜在的な脅威を示す可能性のある異常または異常なイベントを検出します。毎週、またはそれ以上の頻度でレビューを実施します。

サービスプロバイダーのログを収集：

サポートされている場合は、サービスプロバイダーのログを収集します。実装例には、認証イベントと承認イベント、データの作成と破棄イベント、ユーザー管理イベントの収集などがあります。

監査ログの収集：

監査ログを収集します。企業の監査ログ管理プロセスに従って、エンタープライズ資産全体でログ記録が有効になっていることを確認します。

適切な監査ログのストレージを確保する：

ロギングの宛先が、企業の監査ログ管理プロセスに準拠するのに十分なストレージを維持していることを確認します。

時刻同期の標準化：

時刻同期を標準化します。サポートされている場合は、エンタープライズ資産全体で少なくとも 2 つの同期されたタイム ソースを構成します。

詳細な監査ログを収集します。

機密データを含むエンタープライズ資産の詳細な監査ログを構成します。イベントソース、日付、ユーザー名、タイムスタンプ、ソースアドレス、宛先アドレス、およびフォレンジック調査に役立つその他の有用な要素を含めます。

DNS クエリ監査ログを収集します。

エンタープライズ資産の DNS クエリ監査ログを、適切でサポートされている場合に収集します。

URL 要求監査ログを収集：

エンタープライズ資産の URL 要求監査ログ (適切かつサポートされている場合) を収集します。

コマンドライン監査ログを収集：

コマンドライン監査ログを収集します。実装例としては、PowerShell™、BASH™、およびリモート管理端末からの監査ログの収集があります。

監査ログの一元化：

監査ログの収集と保持を企業資産全体で可能な限り一元化します。

完全にサポートされているブラウザーとメールクライアントのみ使用：

完全にサポートされているブラウザとメールクライアントのみが企業内で実行できるようにし、ベンダーから提供される最新バージョンのブラウザと電子メールクライアントのみを使用します。

DNS フィルタリングサービスの使用：

すべてのエンタープライズ資産で DNS フィルタリングサービスを使用して、既知の悪意のあるドメインへのアクセスをブロックします。

ネットワークベースの URL フィルタの維持および適用：

ネットワークベースの URL フィルターを適用および更新して、エンタープライズ資産が悪意のある可能性がある Web サイトや未承認の Web サイトに接続するのを制限します。実装例としては、カテゴリベースのフィルタリング、評判ベースのフィルタリング、またはブロックリストの使用などがあります。すべてのエンタープライズ資産にフィルターを適用します。

不要または許可されていないブラウザおよびメールクライアントの拡張機能の制限：

承認されていない、または不要なブラウザーまたはメールクライアントのプラグイン、拡張機能、およびアドオンアプリケーションをアンインストールまたは無効化することによって制限します。

DMARC の実装：

有効なドメインからのなりすましメールや変更されたメールの可能性を下げるには、送信者ポリシーフレームワーク (SPF) とドメインキー識別メール (DKIM) 標準の実装から始めて、DMARC ポリシーと検証を実装します。

不要なファイルタイプをブロック：

企業のメールゲートウェイに入ろうとする不要なファイルタイプをブロックします。

メールサーバーのマルウェア対策保護の展開と維持：

添付ファイルのスキャンやサンドボックス化など、メール サーバーのマルウェア対策保護を展開して維持します。

マルウェア対策ソフトウェアの展開と保守：

マルウェア対策ソフトウェアをすべてのエンタープライズ資産に展開して維持します。

マルウェア対策署名の自動更新の構成：

すべてのエンタープライズ資産のマルウェア対策署名ファイルの自動更新を構成します。

リムーバブルメディアの自動実行と自動再生を無効にする：

リムーバブルメディアの自動実行と自動再生の自動実行機能を無効にします。

リムーバブルメディアの自動マルウェア対策スキャンを構成：

リムーバブルメディアを自動的にスキャンするようにマルウェア対策ソフトウェアを構成します。

悪用防止機能を有効にする：

可能な場合は、データ実行防止 (DEP)、 Windows Defender Exploit Guard (WDEG)、システム整合性保護 (SIP)、Appleゲートキーパー™などのMicrosoftエンタープライズ資産とソフトウェアのエクスプロイト対策機能を有効にします。

マルウェア対策ソフトウェアを一元管理：

マルウェア対策ソフトウェアを一元管理します。

動作ベースのマルウェア対策ソフトウェアを使用する：

動作ベースのマルウェア対策ソフトウェアを使用します。

データ復旧プロセスを確立して維持する ：

データ復旧プロセスを確立して維持します。その過程で、データ復旧アクティビティの範囲、復旧の優先順位付け、バックアップデータのセキュリティについて検討します。毎年、またはこの保護対策に影響を与える可能性のある重大な企業変更が発生した場合には、ドキュメントを確認して更新します。

自動バックアップの実行 ：

スコープ内のエンタープライズ資産の自動バックアップを実行します。データの機密性に基づいて、毎週、またはそれ以上の頻度でバックアップを実行します。

復旧データを保護する：

元のデータと同等のコントロールで復旧データを保護します。要件に基づく参照暗号化またはデータ分離。

復旧データの分離されたインスタンスを確立して維持する ：

復旧データの保護：実装例には、オフライン、クラウド、またはオフサイトのシステムまたはサービスを介したバックアップ先のバージョン管理が含まれます。

テストデータ復旧：

バックアップの復旧を四半期ごとに、またはより頻繁にテストして、スコープ内のエンタープライズ資産のサンプリングを確認します。

ネットワークインフラストラクチャが最新であることの確認：

ネットワークインフラストラクチャが最新の状態に保たれていることを確認します。実装例としては、ソフトウェアの最新の安定版リリースの実行や、現在サポートされているサービスとしてのネットワーク (NaaS) オファリングの使用などがあります。毎月、またはそれ以上の頻度でソフトウェアのバージョンを確認し、ソフトウェアのサポートを検証します。

安全なネットワークアーキテクチャの確立と維持：

安全なネットワークアーキテクチャを確立し、維持します。セキュリティで保護されたネットワークアーキテクチャは、少なくともセグメンテーション、最小特権、および可用性に対処する必要があります。

ネットワークインフラストラクチャを安全に管理：

ネットワークインフラストラクチャを安全に管理します。実装の例には、バージョン管理されたコードとしてのインフラストラクチャ、SSH や HTTPS などのセキュリティで保護されたネットワークプロトコルの使用などがあります。

アーキテクチャ図の確立と維持：

アーキテクチャ図やその他のネットワークシステムのドキュメントを確立し、維持します。毎年、またはこの保護対策に影響を与える可能性のある重大な企業変更が発生した場合には、ドキュメントを確認して更新します。

ネットワーク認証、許可、および監査 (AAA) を一元化します。

ネットワーク AAA を一元化します。

安全なネットワーク管理および通信プロトコルの使用 ：

安全なネットワーク管理および通信プロトコル (802.1X、Wi-Fi Protected Access 2 (WPA2) Enterprise 以降など) を使用します。

リモートデバイスが VPN を利用し、企業の AAA インフラストラクチャに接続する：

エンドユーザーデバイスのエンタープライズリソースにアクセスする前に、エンタープライズ管理の VPN および認証サービスに対する認証をユーザーに要求します。

すべての管理作業のための専用のコンピューティングリソースの確立と維持：

すべての管理タスクまたは管理アクセスを必要とするタスクのために、物理的または論理的に分離された専用のコンピューティングリソースを確立して維持します。コンピューティングリソースは、企業のプライマリネットワークからセグメント化する必要があり、インターネットアクセスを許可しないでください。

セキュリティイベントアラートの一元化：

ログの相関付けと分析のために、エンタープライズ資産全体のセキュリティイベントアラートを一元化します。ベストプラクティスの実装では、ベンダー定義のイベント相関アラートを含む SIEM を使用する必要があります。セキュリティ関連の相関アラートで構成されたログアナリティクスプラットフォームも、この保護対策を満たしています。

アプリケーション層のフィルタリングの実行：

アプリケーション層のフィルタリングを実行します。実装例としては、フィルタリングプロキシ、アプリケーション層ファイアウォール、ゲートウェイなどがあります。

セキュリティイベントアラートしきい値の調整：

セキュリティイベントアラートしきい値を毎月、またはそれ以上の頻度で調整します。

ホストベースの侵入検知ソリューションの展開：

ホストベースの侵入検知ソリューションをエンタープライズ資産に展開します (適切またはサポートされている場合)。

ネットワーク侵入検知ソリューションの展開：

必要に応じて、ネットワーク侵入検知ソリューションをエンタープライズ資産に展開します。実装例としては、ネットワーク侵入検知システム (NIDS) または同等のクラウドサービスプロバイダー (CSP) サービスの使用などがあります。

ネットワークセグメント間でトラフィックフィルタリングの実行：

必要に応じて、ネットワーク セグメント間でトラフィックのフィルタリングを実行します。

リモート資産のアクセスコントロールの管理：

エンタープライズリソースにリモート接続する資産のアクセスコントロールを管理します。以下に基づいてエンタープライズリソースへのアクセスの量を決定します。インストールされている最新のマルウェア対策ソフトウェア、企業の安全な構成プロセスへの構成コンプライアンス、オペレーティングシステムとアプリケーションが最新であること。

ネットワークトラフィックフローログの収集：

ネットワークトラフィックフローログやネットワーク トラフィックを収集して、ネットワークデバイスから確認して警告します。

ホストベースの侵入防御ソリューションの展開：

ホストベースの侵入防止ソリューションをエンタープライズ資産に展開します (適切またはサポートされている場合)。実装例には、Endpoint Detection and Response (EDR) クライアントまたはホストベースの IPS エージェントの使用が含まれます。

ネットワーク侵入防止ソリューションの展開：

必要に応じて、ネットワーク侵入防止ソリューションを展開します。実装例としては、ネットワーク侵入防止システム (NIPS) または同等の CSP サービスの使用が含まれます。

ポートレベルのアクセスコントロールを展開：

ポートレベルのアクセスコントロールを展開します。ポートレベルのアクセスコントロールは、802.1x、または証明書などの同様のネットワークアクセスコントロールプロトコルを利用し、ユーザーやデバイスの認証を組み込むことができます。

セキュリティ認識向上プログラムの確立と維持：

セキュリティ認識向上プログラムを確立し、維持します。セキュリティ認識向上プログラムの目的は、企業の資産とデータを安全な方法で操作する方法について、企業の従業員を教育することです。雇用時、少なくとも毎年トレーニングを実施します。毎年、またはこの保護対策に影響を与える可能性のある重大な企業変更が発生した場合には、内容を確認して更新します。

ソーシャルエンジニアリング攻撃を認識するように従業員メンバーをトレーニング：

フィッシング、プレテキストメッセージ、テールゲートなどのソーシャルエンジニアリング攻撃を認識するように従業員メンバーをトレーニングします。 

認証のベストプラクティスについて従業員メンバーをトレーニング：

認証のベストプラクティスについて従業員メンバーをトレーニングします。トピックの例には、MFA、パスワード構成、および認証情報管理が含まれます。

データ処理のベストプラクティスについて従業員をトレーニング：

機密データを特定し、適切に保存、転送、アーカイブ、破棄する方法について、従業員メンバーをトレーニングします。これには、エンタープライズ資産から離れたときに画面をロックする、会議の最後に物理および仮想のホワイトボードを消去する、データと資産を安全に保存するなど、明確な画面とデスクのベストプラクティスに関する従業員のトレーニングも含まれます。

意図しないデータ漏えいの原因について従業員をトレーニング：

意図しないデータ漏えいの原因を認識するように人員メンバーをトレーニングします。トピックの例としては、機密データの誤配信、ポータブルエンドユーザーデバイスの紛失、意図しない対象者へのデータの公開などがあります。

セキュリティインシデントの認識とレポートについて、人員メンバーをトレーニング：

潜在的なインシデントを認識し、そのようなインシデントを報告できるように、人員メンバーをトレーニングします。 

エンタープライズ資産にセキュリティ更新プログラムがない場合に識別して報告する方法について、従業員をトレーニング：

古いソフトウェアパッチや、自動化されたプロセスやツールの障害を検証してレポートする方法を理解するよう、従業員をトレーニングします。このトレーニングの一部には、自動化されたプロセスとツールの障害をIT担当者に通知することを含める必要があります。

安全でないネットワークを介して企業データに接続して送信することの危険性について、従業員をトレーニング：

企業活動のために安全でないネットワークに接続し、データを送信する危険性について、従業員メンバーをトレーニングします。企業にリモートワーカーがいる場合、トレーニングには、すべてのユーザーがホームネットワークインフラストラクチャを安全に構成するためのガイダンスを含める必要があります。

ロール固有のセキュリティ認識とスキルのトレーニングを実施：

ロール固有のセキュリティ認識とスキルのトレーニングを実施します。実装例としては、ITプロフェッショナル向けの安全なシステム管理コース (Webアプリケーション開発者向けのOWASP ™ トップ10の脆弱性認識と防止トレーニング、および著名なロール向けの高度なソーシャルエンジニアリング認識トレーニング) が含まれます。

サービスプロバイダーのインベントリの確立と維持：

サービスプロバイダーのインベントリを確立して維持します。インベントリは、すべての既知のサービスプロバイダーをリストし、分類を含めて、各サービスプロバイダーのエンタープライズ連絡先を指定するためのものです。毎年、またはこの保護対策に影響を与える可能性のある重大な企業変更が発生した場合には、インベントリを確認して更新します。

サービスプロバイダー管理ポリシーの確立と維持：

サービスプロバイダー管理ポリシーを確立して維持します。ポリシーがサービスプロバイダーの分類、インベントリ、アセスメント、監視、および廃止に対応していることを確認します。毎年、またはこの保護対策に影響を与える可能性のある重大な企業変更が発生した場合には、ポリシーを確認して更新します。

サービスプロバイダーの分類：

サービスプロバイダーを分類します。分類の考慮事項には、データの機密性、データ量、可用性要件、適用される規制、固有リスク、軽減されたリスクなど、1 つ以上の特性が含まれる場合があります。毎年、またはこの保護対策に影響を与える可能性のある重大な企業変更が発生した場合には、分類を更新して確認します。

サービスプロバイダー契約に次のセキュリティ要件が含める：

サービスプロバイダーの契約にセキュリティ要件が含まれていることを確認します。要件の例には、最小セキュリティプログラム要件、セキュリティインシデントおよび/またはデータ侵害の通知と応答、データ暗号化要件、およびデータ廃棄コミットメントが含まれる場合があります。これらのセキュリティ要件は、企業のサービスプロバイダー管理ポリシーと一致する必要があります。サービスプロバイダーの契約を 1 年に 1 回レビューし、契約にセキュリティ要件が備わっていないことを確認します。

サービスプロバイダーの評価：

企業のサービスプロバイダー管理ポリシーに準拠したサービスプロバイダーを評価します。アセスメントの範囲は分類によって異なる場合があり、サービス組織コントロール 2 (SOC 2) やペイメントカード業界 (PCI) コンプライアンス証明書 (AoC)、カスタマイズされたアンケート、またはその他の適切に厳格なプロセスなどの標準化されたアセスメントレポートのレビューが含まれる場合があります。サービスプロバイダーを年に 1 回、最低でも再評価するか、新規契約や更新契約で再評価します。

サービスプロバイダーの評価：

企業のサービスプロバイダー管理ポリシーに準拠したサービスプロバイダーを評価します。アセスメントの範囲は分類によって異なる場合があり、サービス組織コントロール 2 (SOC 2) やペイメントカード業界 (PCI) コンプライアンス証明書 (AoC)、カスタマイズされたアンケート、またはその他の適切に厳格なプロセスなどの標準化されたアセスメントレポートのレビューが含まれる場合があります。サービスプロバイダーを年に 1 回、最低でも再評価するか、新規契約や更新契約で再評価します。

サービスプロバイダーの監視：

企業のサービスプロバイダー管理ポリシーに準拠したサービスプロバイダーを監視します。監視には、サービスプロバイダーのコンプライアンスの定期的な再評価、サービスプロバイダーのリリースノートの監視、ダークウェブの監視が含まれる場合があります。

サービスプロバイダーの安全な廃止：

サービスプロバイダーを安全に廃止します。考慮事項の例には、ユーザーおよびサービスアカウントの非アクティブ化、データフローの終了、サービスプロバイダーシステム内での企業データの安全な廃棄などが含まれます。

安全なアプリケーション開発プロセスの確立と維持：

安全なアプリケーション開発プロセスを確立し、維持します。このプロセスでは、安全なアプリケーション設計標準、安全なコーディングプラクティス、開発者トレーニング、脆弱性管理、サードパーティコードのセキュリティ、アプリケーションセキュリティテスト手順などの項目に対処します。毎年、またはこの保護対策に影響を与える可能性のある重大な企業変更が発生した場合には、ドキュメントを確認して更新します。

アプリケーションアーキテクチャに安全な設計原則を適用：

安全な設計原則をアプリケーションアーキテクチャに適用します。安全な設計原則には、最小特権の概念と、ユーザーが行うすべての操作を検証するためのメディエーションの強制が含まれており、「ユーザー入力を決して信頼しない」という概念を推進します。たとえば、サイズ、データ型、許容範囲や形式など、すべての入力について明示的なエラーチェックが実行され、文書化されていることを確認します。セキュリティで保護された設計は、保護されていないポートとサービスのオフ、不要なプログラムとファイルの削除、既定のアカウントの名前変更や削除など、アプリケーション インフラストラクチャの攻撃対象領域を最小限に抑えることも意味します。

アプリケーションセキュリティコンポーネント用に検証済みのモジュールまたはサービスを活用：

ID 管理、暗号化、監査、ログ記録などのアプリケーションセキュリティコンポーネントに対して、検証済みのモジュールまたはサービスを活用します。重要なセキュリティ機能でプラットフォーム機能を使用すると、開発者の作業負荷が軽減され、設計エラーや実装エラーの可能性が最小限に抑えられます。最新のオペレーティングシステムは、識別、認証、および承認のための効果的なメカニズムを提供し、それらのメカニズムをアプリケーションで使用できるようにします。標準化され、現在受け入れられ、広範囲にレビューされた暗号化アルゴリズムのみを使用します。オペレーティングシステムには、セキュリティで保護された監査ログを作成および維持するためのメカニズムも用意されています。

コードレベルのセキュリティチェックの実装：

アプリケーションのライフサイクル内で静的および動的分析ツールを適用して、安全なコーディングプラクティスに従っていることを確認します。

アプリケーションのペネトレーションテストの実行：

アプリケーションのペネトレーションテストを実行します。重要なアプリケーションの場合、認証された侵入テストは、コードスキャンや自動セキュリティテストよりもビジネスロジックの脆弱性の検出に適しています。ペネトレーションテストは、認証済みユーザーと非認証ユーザーとしてアプリケーションを手動で操作するテスターのスキルに依存しています。 

脅威モデルの実行：

脅威のモデル化を実行します。脅威モデリングは、コードを作成する前に、設計内のアプリケーションセキュリティ設計の欠陥を特定して対処するプロセスです。これは、アプリケーションの設計を評価し、各エントリポイントとアクセスレベルのセキュリティリスクを評価する特別な訓練を受けた個人を通じて実施されます。目標は、アプリケーション、アーキテクチャ、およびインフラストラクチャを構造化された方法でマッピングし、その弱点を理解することです。

ソフトウェアの脆弱性を受け入れて対処するためのプロセスを確立と維持：

外部団体が報告する手段を提供するなど、ソフトウェアの脆弱性の報告を受け入れて対処するプロセスを確立および維持します。このプロセスには、レポートプロセスを特定する脆弱性処理ポリシー、脆弱性レポートを処理する責任者、取り込み、アサイン、修復、修復テストのプロセスなどのアイテムを含めます。プロセスの一部として、重大度評価と、脆弱性の特定、分析、修復のタイミングを測定するためのメトリクスを含む脆弱性追跡システムを使用します。毎年、またはこの保護対策に影響を与える可能性のある重大な企業変更が発生した場合には、ドキュメントを確認して更新します。

セキュリティ脆弱性の根本原因分析を実行：

セキュリティ脆弱性の根本原因分析を実行します。脆弱性を確認する場合、根本原因分析は、コードに脆弱性を作成する根本的な問題を評価するタスクであり、開発チームは、個々の脆弱性が発生したときに修正するだけではありません。

サードパーティ製ソフトウェアコンポーネントのインベントリの確立と管理：

開発で使用されるサードパーティ製コンポーネント (「部品表」と呼ばれることが多い) と、将来使用する予定のコンポーネントの更新されたインベントリを確立して管理します。このインベントリには、各サードパーティコンポーネントがもたらす可能性のあるリスクを含めます。少なくとも月に 1 回はリストを評価して、これらのコンポーネントに対する変更や更新を特定し、コンポーネントがまだサポートされていることを検証します。 

最新の信頼できるサードパーティ製ソフトウェアコンポーネントの使用：

最新の信頼できるサードパーティ製ソフトウェアコンポーネントを使用します。可能であれば、適切なセキュリティを提供する確立され実績のあるフレームワークとライブラリを選択してください。使用前に、信頼できるソースからこれらのコンポーネントを入手するか、ソフトウェアの脆弱性を評価してください。

アプリケーションの脆弱性に対する深刻度評価システムとプロセスの確立と維持：

検出された脆弱性を修正する順序の優先順位付けを容易にする、アプリケーションの脆弱性の重大度評価システムとプロセスを確立して維持します。このプロセスには、コードまたはアプリケーションをリリースするためのセキュリティ受容性の最小レベルの設定が含まれます。深刻度評価は、脆弱性をトリアージする体系的な方法をもたらし、リスク管理を改善し、最も重大なバグが最初に修正されるようにするのに役立ちます。システムとプロセスを毎年確認および更新します。

アプリケーションインフラストラクチャの標準ハードニング構成テンプレートの使用：

アプリケーションインフラストラクチャコンポーネントには、業界で推奨される標準のハードニング構成テンプレートを使用します。これには、基盤となるサーバー、データベース、および Web サーバーが含まれ、クラウド コンテナー、サービスとしてのプラットフォーム (PaaS) コンポーネント、および SaaS コンポーネントに適用されます。自社開発のソフトウェアで構成の強化を弱めないようにしてください。

本番システムと非本番システムを分離：

本番システムと非本番システムで別々の環境を維持します。

アプリケーションセキュリティの概念とセキュアコーディングについての開発者のトレーニング：

すべてのソフトウェア開発担当者が、特定の開発環境と責任に合わせて安全なコードを記述するためのトレーニングを受けられるようにします。トレーニングには、一般的なセキュリティ原則とアプリケーションセキュリティの標準プラクティスが含まれます。少なくとも年に 1 回トレーニングを実施し、開発チーム内のセキュリティを促進する方法で設計し、開発者の間でセキュリティの文化をビルドします。

インシデント処理を管理する担当者の指名：

企業のインシデント処理プロセスを管理する 1 人のキーパーソンと少なくとも 1 人のバックアップを指定します。管理担当者は、インシデント応答と復旧作業の調整と文書化を担当し、企業内部の従業員、サードパーティベンダー、またはハイブリッドアプローチで構成できます。サードパーティベンダーを使用している場合は、サードパーティの作業を監督する社内の担当者を少なくとも 1 人指名します。年に 1 回、またはこの保護対策に影響を与える可能性のある企業の重大な変更が発生した場合にレビューします。

セキュリティインシデントを報告するための連絡先情報の確立と管理：

セキュリティインシデントを通知する必要がある関係者の連絡先情報を確立して管理します。連絡先には、社内スタッフ、サードパーティベンダー、法執行機関、サイバー保険会社、関連する政府機関、情報共有およびアナリティクスセンター (ISAC) パートナー、またはその他のステークホルダーが含まれる場合があります。連絡先を毎年検証して、情報が最新であることを確認します。

インシデントを報告するためのエンタープライズプロセスの確立と維持：

人員がセキュリティインシデントを報告するためのエンタープライズプロセスを確立し、維持します。このプロセスには、報告の時間枠、報告する担当者、報告のメカニズム、および報告する最小限の情報が含まれます。プロセスがすべての人員に公開されるように確保します。年に 1 回、またはこの保護対策に影響を与える可能性のある企業の重大な変更が発生した場合にレビューします。

インシデント応答プロセスの確立と維持：

ロールと責任、コンプライアンス要件、およびコミュニケーション計画に対応するインシデント応答プロセスを確立し、維持します。年に 1 回、またはこの保護対策に影響を与える可能性のある企業の重大な変更が発生した場合にレビューします。

主なロールと責任のアサイン：

必要に応じて、法務、IT、情報セキュリティ、施設、広報、人事、インシデント対応者、アナリストのスタッフを含む、インシデント応答の主要なロールと責任をアサインします。年に 1 回、またはこの保護対策に影響を与える可能性のある企業の重大な変更が発生した場合にレビューします。

インシデント応答時の通信メカニズムを定義：

セキュリティインシデント中の通信とレポートに使用するプライマリおよびセカンダリメカニズムを決定します。メカニズムには、電話、メール、または手紙を含めることができます。セキュリティインシデントの発生中は、メールなどの特定のメカニズムが影響を受ける可能性があることに注意してください。年に 1 回、またはこの保護対策に影響を与える可能性のある企業の重大な変更が発生した場合にレビューします。

日常的なインシデント応答訓練の実施：

インシデント応答プロセスに関与する主要な担当者を対象に、定期的なインシデント応答の訓練とシナリオを計画および実施し、実際のインシデント応答に備えます。演習では、コミュニケーションチャネル、意思決定、およびワークフローをテストする必要があります。少なくとも毎年テストを実施してください。

以下のインシデント後のレビューの実施：

インシデント後のレビューを実施します。インシデントの事後レビューは、学んだ教訓とフォローアップアクションを特定することで、インシデントの再発防止に役立ちます。

セキュリティインシデントしきい値の確立と維持：

少なくともインシデントとイベントの区別を含む、セキュリティインシデントのしきい値を設定して維持します。例としては、異常なアクティビティ、セキュリティの脆弱性、セキュリティの脆弱性、データ侵害、プライバシーインシデントなどがあります。年に 1 回、またはこの保護対策に影響を与える可能性のある企業の重大な変更が発生した場合にレビューします。

ペネトレーションテストプログラムの確立と維持：

企業の規模、複雑さ、および成熟度に適したペネトレーションテストプログラムを確立し、維持します。ペネトレーションテストプログラムの特性には、スコープ (ネットワーク、Web アプリケーション、アプリケーションプログラミングインターフェイス (API)、ホストされたサービス、物理前提コントロールなど)、頻度 (許容される時間や除外される攻撃の種類などの制限。連絡先情報)、修正 (検出結果が内部でどのようにルーティングされるかなど)、遡及的な要件が含まれます。

定期的な外部ペネトレーションテストを実行：

プログラムの要件に基づいて、毎年以上の定期的な外部ペネトレーションテストを実行します。外部ペネトレーションテストには、悪用可能な情報を検出するために、エンタープライズおよび環境の偵察を含める必要があります。ペネトレーションテストには専門的なスキルと経験が必要であり、資格のある当事者を通じて実施する必要があります。テストは、クリアボックスまたは不透明なボックスである可能性があります。

ペネトレーションテストの結果を修正：

修復の範囲と優先順位付けに関する企業のポリシーに基づいて、ペネトレーションテスト結果を修復します。

セキュリティ対策の検証：

各ペネトレーションテスト後にセキュリティ対策を検証します。必要に応じて、ルールセットと機能を変更して、テスト中に使用された手法を検出します。

アクティブディスカバリーツールを使用して、組織のネットワークに接続されているデバイスを特定し、ハードウェア資産のインベントリを更新します。

パッシブなディスカバリーツールを使用して、組織のネットワークに接続されているデバイスを特定し、組織のハードウェア資産のインベントリを自動的に更新します。

情報を保存または処理する可能性があるすべてのテクノロジー資産の正確かつ最新のインベントリを維持します。このインベントリには、組織のネットワークに接続されているかどうかにかかわらず、すべてのハードウェア資産が含まれます。

ハードウェア資産インベントリに、各資産のネットワークアドレス、ハードウェアアドレス、マシン名、データ資産オーナー、部門、およびハードウェア資産がネットワークへの接続が承認されているかどうかが記録されていることを確認します。

802.1x 標準に従って、ポートレベルのアクセスコントロールを使用して、ネットワークに対して認証できるデバイスをコントロールします。認証システムをハードウェア資産インベントリデータに関連付けて、認可済みデバイスのみがネットワークに接続できるようにする必要があります。

クライアント証明書を使用して、組織の信頼できるネットワークに接続するハードウェア資産を認証します。

任意のビジネスシステムで、企業内のビジネス目的で必要なすべての認可済みソフトウェアの最新リストを維持します。

現在ソフトウェアのベンダーによってサポートされているソフトウェアアプリケーションまたはオペレーティングシステムのみが、組織の認可済みソフトウェアインベントリに追加されていることを確認します。サポートされていないソフトウェアは、インベントリシステムでサポート対象外としてタグ付けする必要があります。

組織全体でソフトウェアインベントリツールを使用して、ビジネスシステム上のすべてのソフトウェアのドキュメントを自動化します。

ソフトウェアインベントリシステムは、組織によって認可されたオペレーティングシステムを含む、すべてのソフトウェアの名前、バージョン、公開者、およびインストール日を追跡する必要があります。

ソフトウェアインベントリシステムは、すべてのデバイスと関連付けられたソフトウェアを 1 つの場所から追跡できるように、ハードウェア資産インベントリに関連付ける必要があります。

最新の SCAP 準拠の脆弱性スキャンツールを使用して、ネットワーク上のすべてのシステムを毎週またはそれ以上の頻度で自動的にスキャンし、組織のシステムの潜在的な脆弱性をすべて特定します。

各システムでローカルに実行されているエージェント、またはテスト対象のシステムで昇格された権利で設定されたリモートスキャナーを使用して、認証済み脆弱性スキャンを実行します。

継続的な脆弱性スキャンの結果を定期的に比較して、脆弱性が適切なタイミングで修正されていることを確認します。

新しい資産を展開する前に、すべてのデフォルトパスワードを管理レベルのアカウントと一致する値に変更します。

マルチファクター認証がサポートされていない場合 (ローカルアドミニストレーター、ルート、サービスアカウントなど)、アカウントはそのシステムに一意のパスワードを使用します。

管理権限がアサインされたグループに対してアカウントが追加または削除されたときに、ログエントリとアラートを発行するようにシステムを設定します。

管理アカウントへのログイン失敗時にログエントリーとアラートを発行するようにシステムを設定します。

すべてのシステムとネットワークデバイスでローカルログ記録が有効になっているように確保します。

イベントソース、日付、ユーザー、タイムスタンプ、ソースアドレス、宛先アドレス、その他の有用な要素などの詳細情報を含むシステムログ記録を有効にします。

完全にサポートされている Web ブラウザーとメールクライアントのみが組織内での実行が許可されるように確保します。理想的には、ベンダーが提供する最新バージョンのブラウザーとメールクライアントのみを使用します。

エンタープライズクラスのすべての AV ソフトウェアにこの機能があります。一元管理された AV を使用することで、個々の要件を簡単に有効にすることができます。

AV の品質はその署名によって決まります。純粋な署名ベースのディスカバリーはもはや実行不可能ですが、例外ベースのエンジンでも定期的に更新する必要があります。更新が自動的にロールアウトされていることを確認し、ツールを使用して署名が実際に最新であることを検証します。

DISA ハードニングガイドでは、これらの設定などを有効にする手順を詳しく説明しています。

ほとんどの AV では、この機能がデフォルトでオンになっていますが、実際に引き続き有効になっていることを検証することが重要です。USB スティックを介して侵入するマルウェアは、ほぼすべての組織にとって実行可能な攻撃ベクトルです。

スキャンを希望しないのと同じ理由で、マウントされている場合は実行しないようにします。これは簡単に有効にできる設定で、CIS と DISA の両方のハードニングガイドに、自動実行を無効にする詳細な手順が記載されています。一部の SCM ツールでは、環境内のすべてのエンドポイントをすばやくチェックして、この設定が無効になっていることを確認できます。

すべてのシステムに対して自動ポートスキャンを定期的に実行し、システムで許可されていないポートが検出された場合にアラートを発行します。

すべてのネットワークデバイス構成を、使用中の各ネットワークデバイスに対して定義された承認済みセキュリティ構成と比較し、逸脱が検出された場合にアラートを発行します。

すべてのネットワークデバイスに最新の安定したバージョンのセキュリティ関連の更新をインストールします。

ネットワークベースの侵入検知システム (IDS) センサーを展開して、異常な攻撃メカニズムを探し、組織の各ネットワーク境界でこれらのシステムの侵害を検出します。

機密データまたは組織が定期的にアクセスしないシステムをネットワークから削除します。これらのシステムは、時々システムを使用する必要がある事業部門により (ネットワークから切断されて) スタンドアロンシステムとしてのみ使用されるか、完全に仮想化されて、必要になるまではオフにされます。

従業員が USB ドライブ上のデータのリスクを認識できるように、トレーニングを提供します。次に、組織の重要なデータを保護するツールを提供します。

転送中のすべての機密情報を暗号化します。

有線ネットワークに接続されている認可済み無線アクセスポイントのインベントリを管理します。

オンサイトまたはリモートサービスプロバイダーにあるものを含む、組織の各認証システムのインベントリを管理します。

保存されるときに、すべての認証情報をソルトで暗号化またはハッシュします。

すべてのアカウントのユーザー名と認証情報が、暗号化されたチャネルを使用してネットワーク経由で送信されるように確保します。

標準的な非アクティビティ期間が経過すると、ワークステーションセッションを自動的にロックします。

時刻、ワークステーションの場所、期間など、ユーザーが通常のログイン動作から逸脱した場合にアラートを発行します。

標準化され、広範囲にわたってレビューされた暗号化アルゴリズムのみを使用します。

外部エンティティがセキュリティグループに連絡する手段を提供するなど、ソフトウェアの脆弱性のレポートを受け入れて対処するプロセスを確立します。

コンピューターとネットワークのインシデントを処理するための役職と職務を特定の個人にアサインし、解決までのインシデント全体の追跡と文書化を行います。

重要な意思決定のロールを担うことによってインシデント処理プロセスをサポートする管理担当者およびバックアップを指定します。

インシデント処理チームへのコンピューターの例外とインシデントのレポートに関する情報を、すべての従業員に公開します。このような情報は、定期的な従業員の認識向上アクティビティに含める必要があります。

幹部によって承認され、情報セキュリティ目標を管理するための組織のアプローチを規定する「情報セキュリティポリシー」を定義します。情報セキュリティポリシーはトピック固有のポリシーによってサポートされており、次を含む情報セキュリティコントロールの実装がさらに義務付けられています：アクセスコントロール、情報の分類 (および処理)、物理的および環境的なセキュリティ、バックアップ、情報の転送、マルウェアからの保護、技術的な脆弱性の管理、暗号化コントロール、通信セキュリティ、プライバシーと個人識別可能な情報の保護、サプライヤーとの関係およびエンドユーザー向けのトピック (1) 資産の許容可能な使用、2) クリアデスクとクリアスクリーン、3) 情報の転送、4) モバイルデバイスと在宅勤務、5) ソフトウェアのインストールと使用に関する制限など)。

個々の資産を保護する責任が資産インベントリで特定されていることを確保します。情報セキュリティの開発と実装のためのロールと責任が明確に定義されていることを確認します。

承認済みのディスク全体の暗号化ソフトウェアを使用して、すべてのモバイルデバイスのハードドライブを暗号化します。

従業員と請負業者にリモートアクセスポリシーを適用します。

会社の資産へのアクセス権を付与する前に、すべての従業員と請負業者に対してバックグラウンド検証チェックが実行されるように確保します。

すべての新規雇用の従業員または請負業者が、情報セキュリティに対する責任を含む雇用条件に署名および同意するように確保します。

ハードウェア資産インベントリに、各資産のネットワークアドレス、ハードウェアアドレス、マシン名、データ資産オーナー、部門、およびハードウェア資産がネットワークへの接続が承認されているかどうかが記録されていることを確認します。

ハードウェア資産インベントリに、各資産のネットワークアドレス、ハードウェアアドレス、マシン名、データ資産オーナー、部門、およびハードウェア資産がネットワークへの接続が承認されているかどうかが記録されていることを確認します。

従業員と請負業者が、情報および情報処理施設およびリソースに関連付けられた組織資産の情報セキュリティ要件を認識するように確保します。従業員と請負業者は、情報処理リソースの使用およびその責任の配下で実行される該当する使用について責任を負う必要があります。

クライアント証明書を使用して、組織の信頼できるネットワークに接続するハードウェア資産を認証します。

組織のネットワークへのすべてのリモートログインアクセスで、転送中のデータの暗号化と、マルチファクター認証の使用を義務付けます。

マルチファクター認証がサポートされていない場合 (ローカルアドミニストレーター、ルート、サービスアカウントなど)、アカウントはそのシステムに一意のパスワードを使用します。

暗号化に関するポリシーが存在し、データ分類要件に従って適用、実装、および強制されているように確保します。

暗号化キーの管理は、キーのライフサイクル全体にわたって正式なポリシーと手順に従って行われるように確保します。

従業員と請負業者がクリアデスクポリシーに適合するように確保します。

完全にサポートされている Web ブラウザーとメールクライアントのみが組織内での実行が許可されるように確保します。理想的には、ベンダーが提供する最新バージョンのブラウザーとメールクライアントのみを使用します。

完全にサポートされている Web ブラウザーとメールクライアントのみが組織内での実行が許可されるように確保します。理想的には、ベンダーが提供する最新バージョンのブラウザーとメールクライアントのみを使用します。

すべてのシステムとネットワークデバイスでローカルログ記録が有効になっているように確保します。

ログが不正アクセスから安全に保護されるように確保します。

機密データへのアクセスまたは機密データの変更について詳細な監査ログ記録を強制します (ファイルの完全性監視またはセキュリティ情報およびイベント監視などのツールを使用)。

あらゆる種類の通信設備を使用して情報の転送を保護するために、正式な転送ポリシー、手順、およびコントロールが設定されるように確保します。

情報セキュリティ関連の要件が、新しい情報システムの要件または既存の情報システムの拡張要件に含まれるように確保します。

運用プラットフォームが変更された場合でも、組織の運用やセキュリティに悪影響がないように確保するため、ビジネスクリティカルなアプリケーションを確実にレビューおよびテストします。

ソフトウェアパッケージへの変更が抑制、または必要な変更に制限されており、すべての変更が厳密に管理されるように確保します。

安全なコードレビューや脆弱性スキャンなどのセキュリティテストが開発ライフサイクル中に確実に実行されるように確保します。確実に、特定された脆弱性を文書化し、修復を実行します。

システム受け入れテストに、情報セキュリティ要件のテストと安全なシステム開発プラクティスの遵守が含まれるように確保します。

システム受け入れテストに、情報セキュリティ要件のテストと安全なシステム開発プラクティスの遵守が含まれるように確保します。

取引を行ったり、資産へのアクセス権をベンダーに付与したりする前に、サプライヤーが情報セキュリティコントロールに対処し、解決しているように確保します。

ビジネスを行い、サプライヤーとベンダーに資産へのアクセス権を付与する前にリスクアセスメントを実行し、セキュリティコントロールと要件に同意を得て、それらをサプライヤー/ベンダー契約に文書化するように確保します。

サプライヤーが定期的に監視およびレビューを実行し、確実に、契約の情報セキュリティ条件を遵守し、情報セキュリティのインシデントと問題を適切に管理していることを確保します。

サービスのプロビジョニングに変更がある場合でも、サードパーティのリスクアセスメントを確実に実行します。既存の情報セキュリティポリシー、手順、およびコントロールの維持と改善を含む、サプライヤーによるサービスのプロビジョニングに対する変更が管理されるように確保します。

正式なインシデント管理プログラムがあり、すべての担当者とサードパーティがセキュリティインシデントを認識してレポートする方法についてトレーニングを受けるように確保します。

レポートとエスカレーションのために、合意されたセキュリティイベントとインシデント分類スケールを含める正式な情報セキュリティイベント管理が存在するように確保します。確実に、脅威とリスクの分類スキームを文書化します。インシデント応答通知が維持されるように確保します。確実に、インシデントの分類に使用される影響度しきい値を文書化します。

情報セキュリティインシデントが文書化された手順に従って対応および管理されるように確保します。

インシデント監視手順が、インシデントを文書化するためのインシデント管理プログラムに含まれるように確保し、今後のインシデントを削減するためにセキュリティイベントを定期的に分析します。

情報セキュリティと情報セキュリティ管理の継続性が計画され、事業継続性計画または災害復旧計画に含まれるように確保します。

事業継続性または災害復旧計画が正式に文書化されるように確保します。

事業継続性または災害復旧計画を年に 1 回実施して、困難な状況下適切なセキュリティコントロールが有効で実効性があることを検証します。

フェイルオーバーおよび復旧コンポーネントが意図したとおりに機能するように確保します。

レコードやデータが、立法者、規制、契約、およびビジネスの要件に従って、損失、破棄、改ざん、不正アクセス、および不正なリリースから保護されるように確保します。

プライバシーと個人識別可能情報が保護され、該当する場合は法律や規制に従って処理されるように確保します。

確実に、コンプライアンスおよび規制要件に対するスコープ内システム構成のテストを定期的に実行します。システムのベースライン構成標準が文書化され、業界のベストプラクティスに基づくように確保確認します。

組織が所有していた、または組織に委託されたすべての発行済みの物理的および電子的な資産の返却を含む、正式な終了プロセスを確保します。

• HR プロファイル [sn_hr_core_profile]
• 資産 [alm_asset]

ソフトウェア資産を確実に管理し、定期的に更新します。

• ソフトウェア資産管理コア
• ソフトウェア資産管理プロコア

• ソフトウェアインストール [cmdb_sam_sw_install]
• ソフトウェアモデル [cmdb_software_product_model]

リスク評価プロセスを使用して、検出された脆弱性の修正を優先します。

許可されていないブラウザーまたはメールクライアントのプラグインまたはアドオンアプリケーションをアンインストールするか、無効にします。

• ソフトウェア資産管理コア
• ソフトウェア資産管理プロコア

• ソフトウェアインストール [cmdb_sam_sw_install]
• ソフトウェアモデル [cmdb_software_product_model]

使用しているプログラミング言語と開発環境に適した安全なコーディングプラクティスを確立します。

担当者のロールとインシデントの処理/管理のフェーズを定義する、書面によるインシデント応答計画があることを確認します。