Network & Information Security Directive (NIS2) 準拠性レポート
Network & Information Security Directive (NIS2) 準拠性レポートは、組織が EU 内のネットワークと情報システムのセキュリティと復元を保証する最新の NIS2 規則の準拠性を説明する文書です。
概要
2016 年に導入された EU のサイバーセキュリティルールは、2023 年に施行された NIS2 指令によって更新されました。この更新では、既存の法的なフレームワークが最新化され、進行するデジタル化と進化するサイバーセキュリティの脅威に対応しています。サイバーセキュリティルールの範囲を新しい部門や組織に拡張することにより、公的組織と私的組織、権限のある機関、EU 全体の復元力とインシデント対応能力が改善されます。
- メンバーの準備。Computer Security Incident Response Team (CSIRT) と権限のある全国ネットワーク情報システム (NIS) 機関によるものです。
- すべての構成国間の協力。 構成国間の戦略的協力および情報交換をサポートし、容易にするための協力グループを設置すること。
- 経済と社会に重要な部門を超えた安全の文化
主な目的
- EU 内の全体的なサイバーセキュリティ標準を強化します。
- 公的組織と民間組織の復元能力とインシデント対応能力を強化する。
- EU メンバー国間のコラボレーションと情報共有の改善を促進します。
- さまざまな部門や重要なインフラストラクチャーでサイバーセキュリティ要件を標準化します。
組織への影響
NIS2 の対象となる部門の組織は、この指令のサイバーセキュリティ要件を満たさなければなりません。これには、リスク管理対策、事故報告手順、サプライチェーンのセキュリティ対策の実施が含まれます。
AppScan および NIS2
NIS2 指令の第 21 条では、以下のサイバーセキュリティ要件の概要が示されています。
構成国は、必須組織が、その操作またはサービスに使用されるネットワークと情報システムのセキュリティへのリスクを管理するため、およびサービスの受信者や他のユーザーへの事件の影響を防止するか、またはその影響を最小にするため、適切で釣り合いのとれた技術的、操作的、組織的対策を実装することを保証しなければなりません。サービスに表示されます。
これらの手段は、最新の関連するヨーロッパおよび国際標準と、実施コストを考慮に入れる必要があります。発生するリスクに応じて、適切なセキュリティレベルを確保する必要があります。これらの指標の比例性を評価する時、事業体のリスク・エクスポージャー、サイズ、事件の可能性、潜在的な影響 (社会的・経済的影響を含む) の重大度などの要素を考慮に入れる必要があります。
対策は、ネットワークと情報システムとそれらの物理環境をインシデントから保護するための、あらゆる危険を想定したアプローチに従う必要があり、少なくとも以下を含む必要があります:
- リスク分析と情報システムセキュリティに関するポリシー
- インシデントハンドリング
- 事業継続 (バックアップ管理、障害復旧、危機管理を含む)
- 直接の供給者またはサービス提供者との関係のセキュリティ関連の側面を含む、サプライチェーンのセキュリティ
- ネットワークと情報システムの取得、開発、保守におけるセキュリティ (脆弱性の処理と公開を含む)
- サイバーセキュリティのリスク管理手段の有効性を評価するためのポリシーと手順
- Cyber Hygiene の基本的な実施とサイバーセキュリティのトレーニング
- 暗号化、および必要に応じて暗号化の使用に関するポリシーと手順
- 人的リソースのセキュリティ、アクセス制御ポリシー、資産管理
- エンティティ内での多要素認証または継続認証ソリューションの使用、保護された音声、ビデオ、テキスト通信、および保護された緊急連絡システム (必要な場合)
このAppScan レポートは、Web アプリケーションセキュリティに関連する潜在的な違反問題を特定するために、NIS2 指示の推奨に従い、推奨される国際的な包括的なセキュリティフレームワークとしてアメリカ国立標準技術局 (NIST) 特別公開 800-53 改訂 5 を利用します。
NIS2 指令の詳細については、次のサイトをご覧ください。 NIS2 指令
Web アプリケーションの保護の詳細については、次のサイトにアクセスしてください。 HCL ソフトウェア -AppScan
| セクション | 説明 |
|---|---|
| AC-2(2) | 自動 [選択範囲: 削除; [無効にする] 一時的および緊急アカウント: [割り当て: アカウントタイプごとの組織で定義された期間] 後。 |
| AC-4 | [割り当て: 組織で定義された情報フロー制御ポリシー] に基づいて、システム内および接続されたシステム間の情報フローを制御するための承認された権限を強制します。 |
| AC-6 | 最小権限の原則を適用し、割り当てられた組織のタスクを実行するために必要なユーザー (またはユーザーに代わって動作するプロセス) に、許可されたアクセスのみを許可します。 |
| AC-7.a | 内部のユーザーによる無効なログオンの試行: |
| AC-10 | それぞれの[割り当て: 組織で定義されたアカウントおよび/またはアカウントタイプ] の同時セッション数を [割り当て: 組織で定義された数] に制限します。 |
| AC-12 | 自動的にユーザーセッションを終了した後、[割り当て: 組織が定義した条件、またはセッションの切断を必要とするイベントをトリガー] します。 |
| AC-17 | 許可するリモートアクセスのタイプごとの使用制限、設定/接続要件、実装ガイドを確立し文書化する。 b.システムへのリモートアクセスをそれぞれの方法で承認してから、接続してください。 |
| CM-7 | [割り当て: 組織で定義された重要な機能] のみを提供するようにシステムを設定します。 b.次の機能、プロトコル、ソフトウェア、サービスの使用を禁止または制限: [割り当て: 組織で定義された禁止または制限する機能、システムポート、プロトコル、ソフトウェア、サービス] |
| IA-2 | 組織のユーザーを固有に識別して認証し、その固有の ID をユーザーの代理として動作するプロセスに関連付けます。 |
| IA-4(1) | 個々のアカウントの公開識別子と同じシステムアカウント識別子の使用を禁止します。 |
| IA-5 | 次の方法でシステムオーセンティケータを管理します。初期認証文字配信の一部として、認証文字を受信する個人、グループ、ロール、サービス、デバイスの ID を確認する。 b.組織によって発行されたすべての認証文字用の初期認証文字コンテンツを確立する; c.オーセンティケータが、その意図した使用に対して十分な強度のメカニズムを持っていることを保証する; d.認証文字の初期配布、認証文字の紛失または破損または損傷した場合、認証文字の無効化のための管理手順を確立し、実装する; e.はじめて使用する前にデフォルトのオーセンティケータを変更する。 f.認証文字の変更/更新 [割り当て: 認証文字タイプ別の組織定義の期間] または いつ [割り当て: 組織定義のイベント] が発生します; g.認証コードのコンテンツを不正な開示と変更から保護する。 h.認証者を保護するための特定の制御を個人に要求し、デバイスに実装させる。 i.グループまたはロールアカウントのメンバーシップが変更された場合のグループまたはロールアカウントの認証システムの変更 |
| RA-5 | システムとホストされているアプリケーションの脆弱性を監視およびスキャン [割り当て: 組織が定義した頻度および/または組織が定義したプロセスに従って無作為]、およびシステムに影響を与える可能性がある新規脆弱性が識別され報告されたとき; b.ツール間の相互運用を容易にし、脆弱性管理プロセスの一部を自動化する脆弱性モニターのツールと手法を使用する:プラットフォーム、ソフトウェアの脆弱性、不適切な設定を列挙する。 2.チェックリストとテスト手順の作成。 3.脆弱性の影響の測定; c.脆弱性スキャンレポートと脆弱性モニターの結果を分析; d.組織のリスク評価に従って、正規の脆弱性を修復する [割り当て: 組織で定義された応答時間] e.脆弱性監視プロセスと制御評価から取得した情報を [割り当て: 組織で定義された担当者またはロール] に共有し、他のシステムから同様の脆弱性を排除するために; f.スキャンする脆弱性をすぐに更新する機能を含む脆弱性モニターツールを利用する。 |
| SC-5 | [選択: 保護する; [制限] 次のタイプのサービス拒否イベントの影響: [割り当て: 組織で定義されたサービス拒否イベント]; b.サービス拒否の目的を達成するために、以下のコントロールを採用してください: [割り当て: サービス拒否イベントのタイプ別の組織定義のコントロール]。 |
| SC-8 | 保護 [選択 (1 つ以上): 機密;送信された情報の完全性] |
| SC-13 -a | [割り当て: 組織定義の暗号使用]を決定します。 b.特定された暗号使用それぞれに必要な以下のタイプの暗号を実装する: [割り当て: 組織で定義された暗号使用ごとに定義した暗号] |
| SC-23 | 通信セッションの信頼性を保護します。 |
| SI-3.A | 実装 [選択 (1 つ以上): 署名ベース; [非署名ベース] では、システムのエントリポイントとエグジットポイントに、不正なコードを検出して根絶するための、不正なコード保護メカニズムが組み込まれています。 |
| SI-3.B | 組織の構成管理のポリシーと手順に従い、新規リリースが利用可能になり次第、悪質コード保護メカニズムを自動的に更新します。 |
| SI-10 | 次の情報入力の有効性を確認してください: [割り当て: システムへの組織定義の情報入力]。 |
| SI-11.A | 不正利用の可能性がある情報を公開することなく、修正アクションに必要な情報を提供するエラーメッセージを生成します。 |