Cyber Risk Quantificationビジネス自己評価で使用されるセキュリティコントロールファミリー実装レベルについて学ぶ。
セキュリティコントロールの実装レベルは、組織のセキュリティコントロールが各NIST SP 800-53コントロールファミリーの要件をどの程度満たしているかを示します。高度なビジネス自己評価の[セキュリティ対策]タブで、現在の実践を最もよく表すレベルを選択してください。
回答はCyber Risk Quantificationのコントロール評価フェーズに情報を提供し、セキュリティコントロールが成功する攻撃の可能性とインシデント発生時の財務的影響をどれだけ効果的に軽減するかを評価します。接続されたデータソースによって自動的に提供されるものを含む、より完全な回答は、より高い信頼度の結果を生み出します。
次の表は、Cyber Risk Quantificationセキュリティプラクティス評価において、すべてのNIST SP 800-53コントロールファミリーに適用される5つの一般的な実装レベルを説明しています。
|
レベル
|
説明
|
|
1 - 不完全
|
関連するセキュリティコントロールがほとんど、または全く導入されていません。
|
|
2 - 基本
|
基本的な手順または限定的な範囲で実施されている関連するセキュリティ管理。
|
|
3 - 機能
|
関連するセキュリティ管理は世界的に確立されていますが、必ずしも一貫して施行されているわけではありません。
|
|
4 - 包括的
|
関連するセキュリティコントロールは、グローバルに実施され、監視されています。
|
|
5 - 上級
|
ビジネス運営に完全に統合された動的でプロアクティブなセキュリティコントロール。
|
以下のセクションでは、Cyber Risk Quantificationセキュリティプラクティス評価に含まれる各NIST SP 800-53コントロールファミリーの実装レベルについて説明します。
[AC - Access Control] NIST SP 800-53コントロールファミリーは、ユーザアカウントの特権管理とシステムおよび情報へのアカウントアクセスの制御をカバーしています。
以下のAC - アクセス制御は、Cyber Risk Quantificationセキュリティプラクティス評価に含まれています。
-
AC-2 アカウント管理
-
AC-3アクセス制御
-
AC-4 情報フローの強制
-
AC-5 職務分離
-
AC-6 最小特権
-
AC-7 ログオン試行失敗
-
AC-8 システム使用通知
-
AC-10 同時セッション制御
-
AC-11デバイスロック
-
AC-12 セッションの終了
-
AC-14 識別または認証なしで許可されたアクション
-
AC-16 セキュリティとプライバシーの属性
-
AC-17 リモートアクセス
-
AC-18ワイヤレスアクセス
-
AC-19 モバイルデバイスのアクセス制御
-
AC-20 外部システムの使用
-
AC-21 情報共有
-
AC-23 データマイニング保護
次の表は、Cyber Risk Quantificationセキュリティプラクティス評価におけるAC - アクセス制御コントロールファミリーの実装レベルを説明しています。
|
レベル
|
説明
|
|
1 - 不完全
|
正式なユーザアクセスポリシーが設定されていません。必要に応じてアカウントが作成され、権限が不規則に割り当てられ、ユーザアクティビティ監視が行われていません。
|
|
2 - 基本
|
ユニークなユーザIDを要求する文書化されたユーザアクセスポリシーが存在します。アカウントの作成/削除プロセスは雇用状況に基づき、権限は職務に基づいて割り当てられます。
|
|
3 - 機能
|
ロールベースのアクセス制御 (RBAC) が最小特権の原則を強制するために実装されています。アクセスは記録され、時折手動でレビューされます。
|
|
4 - 包括的
|
組織全体で中央集権化されたIdentity and Access Management (IAM) システムが導入されています。アクセスポリシーは活動の監視に基づいて自動的にレビューおよび更新され、すべてのアカウント変更に対して通知がトリガーされます。
|
|
5 - 上級
|
すべてのユーザのIDは、ゼロトラストアーキテクチャに従って、特権に関係なくアクセス時に動的に検証されます。自動化された行動分析エンジンは、通常と異なる行動を検出するためにアクセス活動を常にモニタします。
|
[CA - Assessment, Authorization, and Monitoring] NIST SP 800-53コントロールファミリーは、セキュリティシステムとプライバシーコントロールの選択、実装、維持、改善をカバーしています。
以下のCA - 評価、認可、および監視の管理は、Cyber Risk Quantificationセキュリティプラクティス評価に含まれています。
-
CA-2 コントロール評価
-
CA-3情報交換
-
CA-7継続的監視
-
CA-8 ペネトレーションテスト
以下の表は、Cyber Risk Quantificationセキュリティプラクティス評価におけるCA - 評価、認可、および監視コントロールファミリーの実施レベルを説明しています。
|
レベル
|
説明
|
|
1 - 不完全
|
Security Assessmentや認証プロセスが存在しません。セキュリティイベントは発生時に対処され、正式な手続きや監視はありません。
|
|
2 - 基本
|
手動のセキュリティ評価は、基本的な文書と報告を伴って時折実施されます。セキュリティ評価の標準化された範囲はありません。
|
|
3 - 機能
|
定義された範囲と目的に基づいて定期的に実施される正式なセキュリティ評価。基本的な監視を行いながら、承認プロセスは手動で文書化されます。
|
|
4 - 包括的
|
自動化された脆弱性スキャンと詳細なセキュリティ評価を使用して、専用のリスク管理システムが導入されています。重要なセキュリティコントロールは、重要なアラートと主要な指標を表示するダッシュボードを通じて継続的に監視されます。
|
|
5 - 上級
|
自動化されたガバナンス、リスク、コンプライアンスソリューションを使用して管理される評価と承認のワークフロー。AI駆動のモニタリングを通じてリアルタイムのRISK INSIGHTSが継続的に提供されます。
|
[CM - Configuration Management] NIST SP 800-53コントロールファミリーは、セキュリティとコンプライアンスのためのシステムおよびソフトウェアの構成の実装、管理、施行をカバーしています。
以下のCM - 構成管理のコントロールは、Cyber Risk Quantificationセキュリティプラクティス評価に含まれています。
-
CM-2ベースライン構成
-
CM-3 設定変更管理
-
CM-5 変更のアクセス制限
-
CM-6 設定
-
CM-7 最小機能
-
CM-8 システムコンポーネントインベントリ
-
CM-10 ソフトウェア使用制限
-
CM-11 ユーザインストールソフトウェア
-
CM-12情報の場所
次の表は、Cyber Risk Quantificationセキュリティプラクティス評価におけるCM - 構成管理コントロールファミリーの実装レベルを示しています。
|
レベル
|
説明
|
|
1 - 不完全
|
標準化されたセキュリティ構成が設定されていません。システムのインベントリが確立されておらず、テストや承認なしに構成変更が行われています。
|
|
2 - 基本
|
手動のシステムインベントリおよび構成管理計画が限られた文書で確立されています。構成設定は許可されたユーザに制限されています。
|
|
3 - 機能
|
システムおよびソフトウェアのために標準化されたセキュリティ構成ベースラインが確立されています。すべての変更は実装前に正式に文書化され、レビューされ、承認されます。
|
|
4 - 包括的
|
自動化ツールとテンプレートを使用してセキュリティ構成ベースラインを強制します。変更は、定期的なセキュリティ影響分析の一環として、実装前に記録され、検証されます。
|
|
5 - 上級
|
セキュリティオペレーションに統合された完全自動化のセキュリティ構成とCompliance Management。構成変更のリアルタイム検証と、許可されていないまたは非準拠のセキュリティ構成の自動修正。
|
[CP - Contingency Planning] NIST SP 800-53コントロールファミリーは、システムの中断、セキュリティインシデント、災害への準備と復旧をカバーしています。
以下のCP - Contingency Planningコントロールは、Cyber Risk Quantificationセキュリティプラクティス評価に含まれています。
-
CP-2 非常時対応計画
-
CP-6 代替ストレージサイト
-
CP-7 代替処理サイト
-
CP-9システムバックアップ
-
CP-10 システムの復旧と再構成
次の表は、Cyber Risk Quantificationセキュリティプラクティス評価におけるCP - コンティンジェンシープランニング管理ファミリーの実装レベルを示しています。
|
レベル
|
説明
|
|
1 - 不完全
|
文書化された準備または復旧計画がありません。データのバックアップは手動で不定期に行われており、復旧手順はありません。
|
|
2 - 基本
|
重要システムの基本的な準備と復旧計画は確立されているが、未評価。
|
|
3 - 機能
|
定義された役割と責任を伴う正式な復旧計画が文書化されています。バックアップおよび復旧プロセスは定期的にテストされています。
|
|
4 - 包括的
|
組織全体で実施される自動化されたバックアップとリカバリプロセス。ビジネス継続性と災害復旧計画は、定義された復旧時間目標に対して定期的にテストされます。
|
|
5 - 上級
|
AI駆動の監視によりビジネス継続性のリスクを積極的に特定し軽減しながら、回復プロセスは自動テストを通じて継続的に検証されます。
|
[IA - Identification and Authentication] NIST SP 800-53コントロールファミリーは、ユーザ、システム、およびデバイスのアイデンティティの認証と保護をカバーしています。
次のIA - 識別と認証のコントロールは、Cyber Risk Quantificationセキュリティプラクティス評価に含まれています。
-
IA-2 識別と認証 (組織のユーザ)
-
IA-3 デバイスの識別と認証
-
IA-4 識別子管理
-
IA-5 認証管理
-
IA-6 認証フィードバック
-
IA-7 暗号モジュール認証
-
IA-8 識別と認証 (非組織ユーザ)
-
IA-9 サービスの識別と認証
-
IA-11 再認証
-
IA-12 アイデンティティ証明
次の表は、Cyber Risk Quantificationセキュリティプラクティス評価におけるIA - 識別と認証コントロールファミリーの実装レベルを示しています。
|
レベル
|
説明
|
|
1 - 不完全
|
認証ポリシーが設定されていません。弱いまたはデフォルトのパスワードと共有アカウントが許可されています。
|
|
2 - 基本
|
指定された長さまたは複雑さを必要とする基本的なパスワードポリシーが施行されています。アカウントの作成および無効化のプロセスが確立され、遵守されています。
|
|
3 - 機能
|
強力なパスワードポリシーには、パスワード履歴と有効期間が含まれています。特権アカウントには多要素認証 (MFA) が必要です。
|
|
4 - 包括的
|
すべてのネットワーク、リモート、および機密データへのアクセスには多要素認証が必要です。組織全体でアイデンティティ管理が集中化され、自動化されています。
|
|
5 - 上級
|
すべてのアクセスはゼロトラストアーキテクチャを通じて検証されます。AI駆動の行動分析により、リアルタイムでのアカウント侵害の検出と対応が可能です。
|
[MP - Media Protection] NIST SP 800-53の管理ファミリーは、使用中、保管中、廃棄時のデータ、記録、ファイルを含む物理的およびデジタルメディアの保護をカバーしています。
以下のMP - メディア保護管理は、Cyber Risk Quantificationセキュリティプラクティス評価に含まれています。
-
MP-7メディア使用
以下の表は、Cyber Risk Quantificationセキュリティプラクティス評価におけるMP - メディア保護管理ファミリーの実装レベルを説明しています。
|
レベル
|
説明
|
|
1 - 不完全
|
正式なメディア管理手順がありません。メディアの取り扱い、保管、または消毒に関するポリシーがありません。
|
|
2 - 基本
|
廃棄前のメディアの消毒が必要です。メディアへのアクセスは記録され、許可されたユーザに制限されています。
|
|
3 - 機能
|
安全なメディアの転送、保管、廃棄に関するポリシーが文書化され、施行されています。デジタルメディアは保管および転送中に暗号化されています。
|
|
4 - 包括的
|
ユーザと変更のログ記録を組織全体で実施し、中央集約型メディア追跡を行います。USBドライブなどのリムーバブルメディアは一般的に禁止されており、承認された例外は追跡されます。
|
|
5 - 上級
|
メディアライフサイクルは自動化され、中央で施行され、機密データは自動的に検出され暗号化されます。許可されたリムーバブルメディアの使用は自動的に記録され、監視されます。
|
[RA - Risk Assessment] NIST SP 800-53 コントロールファミリーは、組織の運営、システム、アセットに対するリスクの特定と分析をカバーしています。
以下のRA - リスク評価コントロールは、Cyber Risk Quantificationセキュリティプラクティス評価に含まれています。
-
RA-5 脆弱性監視とスキャン
-
RA-9 重要度分析
-
RA-10 脅威ハンティング
次の表は、Cyber Risk Quantificationセキュリティプラクティス評価におけるRA - リスク評価管理ファミリーの実施レベルを説明しています。
|
レベル
|
説明
|
|
1 - 不完全
|
リスク評価は実施されていません。セキュリティ問題は発生した時にのみ対処されます。
|
|
2 - 基本
|
必要に応じて手動でリスク評価を実施します。例えば、初期システム導入時などです。脆弱性は特定され文書化されますが、一貫して監視または軽減されていません。
|
|
3 - 機能
|
定期的に組織全体で正式なリスク評価が実施されます。スケジュールされた評価を通じて脆弱性が特定され、緩和のために優先順位が付けられます。
|
|
4 - 包括的
|
専任のリスク管理チームは、自動化ツールを使用して組織のリスクを継続的に評価します。脅威と脆弱性は、脅威インテリジェンスフィードと自動脆弱性スキャンを通じて継続的に監視されます。
|
|
5 - 上級
|
AI駆動システムは予測分析を使用して、リスクが発生する前に積極的に特定します。新たな脅威に対抗するために内部および外部の脅威インテリジェンスが使用されます。
|
[SA - System and Services Acquisition] NIST SP 800-53コントロールファミリーは、システムおよびサービスの取得と開発へのセキュリティの統合をカバーしています。
以下のSA - システムおよびサービス取得管理は、Cyber Risk Quantificationセキュリティプラクティス評価に含まれています。
-
SA-3 システム開発ライフサイクル
-
SA-4 取得プロセス
-
SA-8 セキュリティとプライバシーのエンジニアリング原則
-
SA-9 外部システムサービス
-
SA-10 開発者構成管理
-
SA-11 開発者テストおよび評価
-
SA-15 開発プロセス、標準、およびツール
-
SA-16 開発者提供のトレーニング
-
SA-17 開発者のセキュリティおよびプライバシーアーキテクチャと設計
-
SA-22 サポートされていないシステムコンポーネント
以下の表は、Cyber Risk Quantificationセキュリティプラクティス評価におけるSA - システムおよびサービス取得管理ファミリーの実装レベルを説明しています。
|
レベル
|
説明
|
|
1 - 不完全
|
システムまたはサービスの取得や開発時にセキュリティが考慮されていません。新しいシステムはSecurity Assessmentなしで展開されます。
|
|
2 - 基本
|
システムおよびサービス取得プロセスに含まれる基本的なセキュリティ要件。新しいシステムは非公式にレビューされます。
|
|
3 - 機能
|
セキュリティ要件は正式に文書化され、システム開発ライフサイクルに完全に統合されています。セキュリティ要件は取得契約に含まれ、システム展開前にテストされます。
|
|
4 - 包括的
|
標準化された組織全体の調達プロセスに統合された詳細なサプライチェーンリスク管理。契約締結前にすべてのサービスプロバイダーのセキュリティ対策を審査。
|
|
5 - 上級
|
開発および取得のすべての段階で自動化されたセキュリティテスト、コードスキャン、および継続的な監視。
|
[SC - System and Communications Protection] NIST SP 800-53制御ファミリーは、情報システムと通信を不正アクセスおよび開示から保護することを対象としています。
以下のSC - システムおよび通信保護コントロールは、Cyber Risk Quantificationセキュリティプラクティス評価に含まれています。
-
SC-2 システムとユーザ機能の分離
-
SC-3 セキュリティ機能の分離
-
SC-4 共有システムリソースの情報
-
SC-6 リソースの可用性
-
SC-7 境界保護
-
SC-8 送信の機密性と完全性
-
SC-10 ネットワーク切断
-
SC-12 暗号鍵の確立と管理
-
SC-13 暗号保護
-
SC-16 セキュリティおよびプライバシー属性の伝送
-
SC-17 公開鍵基盤証明書
-
SC-18 モバイルコード
-
SC-20 セキュアな名前/アドレス解決サービス (権威ある送信元)
-
SC-21 セキュアな名前/アドレス解決サービス (再帰的またはキャッシングリゾルバ)
-
SC-22 名前/アドレス解決サービスのアーキテクチャとプロビジョニング
-
SC-23 セッションの真正性
-
SC-26 デコイ
-
SC-28 静止情報の保護
-
SC-29 異種性
-
SC-30 隠蔽と誤誘導
-
SC-31 隠れチャネル分析
-
SC-34 非変更可能な実行可能プログラム
-
SC-35 外部悪意のあるコードの識別
-
SC-36 分散処理とストレージ
-
SC-37 アウトオブバンドチャネル
-
SC-38 オペレーションセキュリティ
-
SC-39 プロセスの分離
-
SC-41 ポートおよびI/Oデバイスアクセス
-
SC-43 使用制限
-
SC-44 デトネーションチャンバー
-
SC-46 クロスドメインポリシー施行
以下の表は、Cyber Risk Quantificationセキュリティプラクティス評価におけるSC - システムおよび通信保護管理ファミリーの実装レベルを説明しています。
|
レベル
|
説明
|
|
1 - 不完全
|
ファイアウォールや他のネットワーク境界保護が設定されていません。外部通信が暗号化されていません。
|
|
2 - 基本
|
企業ネットワークと外部ネットワークの間に基本的な保護を提供するためのファイアウォールが設置されています。一部の機密性の高い外部通信には簡単な暗号化が使用されています。
|
|
3 - 機能
|
すべての企業および外部ネットワークトラフィックが監視されます。すべての機密通信と保存されたデータが暗号化されます。
|
|
4 - 包括的
|
侵入防止システム (IPS) は、疑わしいまたは悪意のある活動を監視するためにネットワークトラフィックを監視します。企業ネットワークと外部ネットワークを分離するために、ファイアウォール、プロキシサーバー、ゲートウェイを使用して境界ネットワークが確立されます。
|
|
5 - 上級
|
すべての企業および外部トラフィックは、ゼロトラストの原則を使用して自動的に検査および認証されます。広範なネットワークセグメンテーションと継続的な監視が強制されます。
|
[SI - System and Information Integrity] NIST SP 800-53コントロールファミリーは、情報システムのセキュリティとシステムデータの整合性保護をカバーしています。
以下のSI - システムおよび情報の完全性管理は、Cyber Risk Quantificationセキュリティプラクティス評価に含まれています。
-
SI-2 欠陥修正
-
SI-3 悪意のあるコード保護
-
SI-4 システム監視
-
SI-5 セキュリティ警告、アドバイザリー、および指示
-
SI-7 ソフトウェア、ファームウェア、および情報の整合性
-
SI-8 スパムメール対策による検出数
-
SI-10 情報入力検証
-
SI-12 情報管理と保持
-
SI-14 非永続性
-
SI-15 情報出力フィルタリング
-
SI-16 メモリ保護
-
SI-23 情報の断片化
以下の表は、Cyber Risk Quantificationセキュリティプラクティス評価におけるSI - システムおよび情報の完全性管理ファミリーの実装レベルを説明しています。
|
レベル
|
説明
|
|
1 - 不完全
|
ウイルス対策、不正プログラム保護、またはパッチ管理システムが使用されていません。承認なしでソフトウェアがインストールされ、変更が監視されていません。
|
|
2 - 基本
|
個々のユーザーデバイスにインストールされたアンチウイルスまたは不正プログラム保護システム。自動更新が設定されており、手動でのパッチ適用が時折行われます。
|
|
3 - 機能
|
組織全体で使用される集中型のアンチウイルスおよび不正プログラム保護。正式なパッチ管理プロセスが確立され、定期的に遵守されています。
|
|
4 - 包括的
|
Advanced Endpoint Protectionソリューションは、リアルタイムで不審または悪意のある活動をモニタします。システムの脆弱性は、自動パッチ管理を使用して迅速に対処されます。
|
|
5 - 上級
|
AI駆動のセキュリティソリューションは、既存およびゼロデイの脅威と脆弱性を検出し、自動的に対応します。システムファイルは、変更監視を使用して無許可の変更がないか継続的にスキャンされます。
|
[SR - Supply Chain Risk Management] NIST SP 800-53コントロールファミリーは、製品およびサービスのサプライチェーンに関連するリスクの管理と軽減をカバーしています。
以下のSR - サプライチェーンリスク管理の管理項目は、Cyber Risk Quantificationセキュリティプラクティス評価に含まれています。
-
SR-4 出所
-
SR-5 獲得戦略、ツール、および手法
-
SR-6 サプライヤー評価とレビュー
-
SR-11 コンポーネントの真正性
以下の表は、Cyber Risk Quantificationセキュリティプラクティス評価におけるSR - サプライチェーンリスク管理コントロールファミリーの実装レベルを説明しています。
|
レベル
|
説明
|
|
1 - 不完全
|
サプライヤーの審査や購入した製品のセキュリティ評価のための確立されたプロセスがありません。
|
|
2 - 基本
|
ベンダー契約に含まれる基本的なセキュリティ条項。新製品はセキュリティのために非公式に評価される。
|
|
3 - 機能
|
正式なサプライチェーンリスク管理プロセスが文書化され、遵守されています。重要なベンダーに対してデューデリジェンスチェックが実施されています。
|
|
4 - 包括的
|
専用システムは、サプライチェーンのリスクを継続的に評価し、軽減します。第三者製品とサービスを監視し、脅威インテリジェンスを組織間で共有します。
|
|
5 - 上級
|
サプライチェーンのセキュリティ状態は自動的かつ継続的に監視され、リアルタイムのRISK INSIGHTSが提供されます。製品の完全性とサプライヤーのセキュリティは自動的に検証されます。
|