ベストプラクティスガイド

NIS2 (Network and Information Security 2) – A Best Practices Guide

NIS2 (Network and Information Security 2) – A Best Practices Guide
NIS2 (Network and Information Security 2) – A Best Practices Guide
ダウンロードする言語を選択
アクセスレポート

NIS2とは?

NIS2とは、EUのネットワーク・情報システム指令の第2版を意味する。これは、EU全域のネットワークおよび情報システムの回復力とセキュリティを向上させることを目的としたサイバーセキュリティ規制である。

NIS2は、エネルギー、金融、医療、運輸など、必要不可欠なサービスを提供する組織に対し、強固なサイバーセキュリティ対策を実施し、特定の種類のセキュリティ・インシデントを報告することを求めている。

この指令はまた、情報を共有し、サイバーインシデントに対するレスポンス を調整するためのEU加盟国間の協力枠組みを確立している。

全体として、NIS2は重要インフラの保護を向上させ、EUのサイバーセキュリティ態勢を強化することを目的としている。

重要な要素は以下の通りだ:

  • EUのサイバーセキュリティ法
  • より高い保護基準が求められるだろう。
  • より多くの部門がその対象になっている。
  • 今後はインシデントの報告が義務付けられる。
  • 監督権限が強化される。
  • EU全体の規制の調和。

NIS2に準拠するためには、どのようなステップを踏めばよいのでしょうか?

1.重要インフラの特定

重要インフラを特定することは、最も貴重な資産を保護するために不可欠である。

  • 事業運営に不可欠な資産を見極める。
  • 重要な資産に対するリスクを評価する。
  • 自動化された脅威検知機能により、潜在的なリスクや脆弱性をリアルタイムで特定します。

Vectra AI は、ネットワークおよびクラウド環境を継続的に監視し、インフラ全体のセキュリティ体制をリアルタイムで可視化することで、重要なインフラを特定するお手伝いをします。Vectra AI 脅威検知およびレスポンス プラットフォームの詳細については、こちらをご覧ください。

2.インシデントレスポンス 計画の策定

インシデントレスポンス 計画の策定は、セキュリティ侵害の影響を最小限に抑えるために極めて重要である。

  • セキュリティインシデントに対応するための役割と責任を明確にする。
  • セキュリティインシデントの報告・調査手順を確立する。
  • 脅威インテリジェンスを活用して、レスポンス の取り組みに優先順位を付け、セキュリティ・インシデントの影響を最小限に抑える。

Vectra AI は、既知の脅威(Suricata を使用)と未知の脅威の両方に対するリアルタイムの脅威検知、自動化されたインシデントレスポンス 機能、およびフォレンジック分析用のメタデータを提供することで、インシデントレスポンス 計画の策定を支援し、セキュリティ・インシデントへの迅速な検知 対応を支援します。

Vectra AI Attack Signal Intelligence™とVectra Match について詳しくはこちら。

3.定期的なセキュリティ評価の実施

システムの脆弱性を特定し、悪用される前に対処するためには、定期的なセキュリティ評価が必要です。

  • 脆弱性スキャンツールや侵入テストを使用して、システムの脆弱性を特定する。
  • セキュリティ防御の潜在的な弱点を特定するために、レッドチーム演習を実施する。
  • 自動化された脆弱性管理とパッチ管理ツールを使用して、特定された脆弱性を迅速に修正する。

Vectra AIはまた、潜在的な弱点を特定するために定期的にブルーチーム・ワークショップを実施することで、セキュリティ評価を支援することもできる。また、他のサードパーティにペンテスト専用のサービスを依頼することもできます。Vectra AIブルーチーム・トレーニング・ワークショップに登録することができます。

4.ソフトウェアを常に最新の状態に保つ

ソフトウェアを常に最新の状態に保つことは、既知の脆弱性からシステムを保護するために不可欠である。

  • 自動パッチ管理ツールを使用して、すべてのソフトウェアが最新であることを確認する。
  • 脆弱性管理ツールを使用して、既知の脆弱性を特定し、修復する。
  • ソフトウェアのホワイトリストを導入し、許可されていないソフトウェアが会社のデバイスにインストールされるのを防ぐ。

Vectra AIは定期的にアップデートをリリースし、プラットフォームが常に最新であることを保証し、既知および未知の脅威からお客様を保護します。Vectra AI サポートページをご覧ください。

5.従業員を教育する

従業員は、サイバー攻撃に対する最初の防衛線です。セキュリティ侵害を防ぐには、サイバーセキュリティのベストプラクティスについて従業員をトレーニングすることが不可欠です。

  • 全従業員に対して定期的なサイバーセキュリティ研修を実施する。
  • ソーシャル・エンジニアリング攻撃に対する従業員の感受性をテストするために、フィッシングシミュレーションを実施する。
  • 強力なパスワード・ポリシーを導入し、従業員にパスワード衛生について教育する。

Vectra AIは、最新のサイバー技術動向を顧客に伝えることに重点を置いたウェビナーを定期的に開催し、セキュリティ専門家がサイバー防御スキルを磨くためのレッドチームおよびブルーチームのワークショップを提供しています。Vectra AIブログ記事をご覧ください。

6.ネットワークの異常を監視する

ネットワークの異常を監視することは、セキュリティ侵害を早期に発見するために不可欠です。

  • 振る舞い アナリティクスを使用して、ネットワーク上の異常なアクティビティを検知 。
  • 侵入検知・防止システムを導入し、セキュリティ・インシデントを防止・対応する。
  • 機械学習アルゴリズムを使用して、脅威を迅速に特定し、リアルタイムで対応します。

Vectra AI は、業界をリードする Attack Signal Intelligence™、自動化されたインシデントレスポンス 機能、およびセキュリティ侵害を示す可能性のある異常を特定する振る舞い アナリティクスを提供することで、ネットワークの異常監視を支援します。Vectraは、ネットワーク、クラウド、SaaS (Software as a Service)、およびアイデンティティ環境をカバーします。主要なEDR (Endpoint Detection and Response) プロバイダーとのネイティブ統合により、Vectra AI 、5つの攻撃サーフェスすべてをカバーすることができます。Vectra AI Managed Detection and Response サービスは、包括的な内部サービスを提供するために必要なリソースやスキルが不足している組織を支援するために利用可能です。

7.災害復旧計画の策定

災害復旧計画の策定は、セキュリティ侵害の影響を最小限に抑え、セキュリティ・インシデントが発生しても事業を継続できるようにするために極めて重要です。

  • 重要なシステムの復旧時間目標(RTO)と復旧時点目標(RPO)を定義する。
  • データのバックアップと復元手順を導入し、セキュリティ事故が発生した場合に重要なデータを確実に復元できるようにする。
  • 災害復旧計画を定期的にテストし、それが効果的で最新のものであることを確認する。

Vectra AIは、自動化されたインシデントレスポンス 機能とフォレンジック分析を提供することで、ディザスタリカバリを支援し、検知 、セキュリティインシデントに迅速に対応することができます。ツアーに参加するVectra AIがランサムウェアから保護する方法

NIS2実施までのスケジュール

NIS2の導入スケジュールは、組織のネットワークやインフラの規模や複雑さ、既存のサイバーセキュリティプログラムの成熟度によって異なります。しかし、一般的には、組織が進化する脅威の状況に備えるために、できるだけ早くNIS2の導入計画を開始することをお勧めします。以下は、NIS2導入のスケジュールです:

1.評価と計画(3~6カ月)

このフェーズでは、組織の現在のセキュリティ態勢を包括的に評価し、ギャップや改善点を特定する。これには、重要資産の特定、ポリシーと手順の見直し、脆弱性評価と侵入テストの実施などが含まれる。調査結果に基づいて、NIS2導入のロードマップとスケジュールを作成します。

2.実施(6~12ヶ月)

この段階では、NIS2に準拠するために必要な技術的・組織的対策を実施する。これには、侵入検知・防止システム、ファイアウォール、SIEM(セキュリティ情報・イベント管理)ソリューションなどのセキュリティ管理・ツールの導入、インシデントレスポンス 、脆弱性管理、セキュリティ意識向上トレーニングのプロセスの確立などが含まれる。

3.テストと検証(1~3ヶ月)

このフェーズでは、実施された対策がNIS2の要件を満たしていることを確認するために、その有効性をテストする。これには、実装されたセキュリティ管理及びインシデントレスポンス 手順の有効性を検証するための、セキュリティ評価、侵入テスト、及び卓上演習の実施を含むことができる。

4.コンプライアンスと継続的なメンテナンス(継続中)

NIS2が完全に導入された後も、組織が規制に準拠していることを保証するためには、継続的な保守とコンプライアンス監視が必要である。これには、定期的なセキュリティ評価と脆弱性スキャンの実施、異常動作の監視、最新のセキュリティポリシーと手順の維持などが含まれる。

誰が関与すべきか?

NIS2の導入は、組織全体の複数の利害関係者の関与を必要とする重要な事業である。以下の個人およびチームが、導入プロセスに関与すべきである:

1.エグゼクティブ・リーダーシップ

経営幹部は、NIS2 の導入に関与して、その取り組みの支援と資金提供を行うべきである。また、セキュリティプログラムが組織の全体的なビジネス目標やリスク選好度と整合していることを確認する必要がある。

2.ITおよびセキュリティチーム

ITおよびセキュリティチームは、NIS2への準拠に必要な技術的・運用的措置を実施する責任を負う。これには、ファイアウォールや侵入検知・防止システムなどのセキュリティ管理の実装、脆弱性管理とインシデントのプロセスの確立が含まれるレスポンス 。

3.法務・コンプライアンスチーム

組織がNIS2の規制要件を満たしていることを確認するために、法務およびコンプライアンスチームはNIS2の導入に関与すべきである。また、データ保護とインシデントレスポンス に関する方針と手順の策定にも関与すべきである。

4.人的資源

人事チームは、NIS2の導入に関与し、従業員にセキュリティポリシーと手順に関する訓練を受けさせ、重要な資産を扱う従業員に対して適切な身元調査とアクセス制御を実施するようにすべきである。

5.事業部門

事業部門は、重要な資産を特定し、セキュリティ・インシデントが事業運営に与える影響を評価するために、NIS2の導入に関与すべきである。また、セキュリ ティインシデントが発生した場合でも重要な事業機能が継続できるよう、事業 継続計画や災害復旧計画の策定にも関与すべきである。

6.社外パートナー

サードパーティ・ベンダーや請負業者などの外部パートナーが、組織のセキュリティ要件を満たしていることを確認するために、NIS2の導入に関与すべきである。これには、サードパーティのパートナーが適切なセキュリティ管理を実施していることを確認するためのデューデリジェンスや契約レビューの実施も含まれる。

NIS2の導入にあたっては、すべての利害関係者が確実に関与し、セキュリティ・プログラムが組織の全体的なビジネス目標およびリスク選好度に合致するようにすることが不可欠である。さらに、Vectra AI のような信頼できるサイバーセキュリティ・パートナーと連携することで、導入プロセスを合理化し、必要な利害関係者全員が関与できるようにすることができます。

概要

NIS2 の導入には、重要インフラの特定、インシデントレスポンス 計画の策定、定期的なセキュリティ評価の実施、ソフトウェアの最新状態の維持、従業員のトレーニング、ネットワークの異常監視、災害復旧計画の策定など、サイバーセキュリティに対する包括的なアプローチが必要です。Vectra AIは、Microsoft、CrowdStrike、SentinelOne、Splunk、IBM QRadar、Amazon Security Lake、Palo Alto Cortex XSOARなど、他の主要なサイバーセキュリティ・ソリューション・ベンダーとのネイティブな統合により、網羅性、明確性、インテリジェントな制御を提供することで、貴社のNIS2導入の成功を支援します。

Vectra AIソリューションは、KPMG、キャップジェミニ、オレンジ・サイバーディフェンス、AT&T、NTTデータ、デルの各テクノロジーからも提供されている。

世界中の専門家や企業から信頼されています

よくあるご質問(FAQ)