コラム

海外のサイバーセキュリティ事情 ~英国全体でセキュリティを底上げする仕組み Cyber Essentials~

2017年07月11日

プリンシパルコンサルタント

内海 良

プリンシパルコンサルタント 内海 良

サイバー攻撃の脅威が増加し続ける昨今、我が国はもちろん、諸外国でも積極的にサイバーセキュリティへの取組を進めています。サイバーセキュリティを底上げする取組としては、我が国の近年の取組では、IPAが開始したSECURITY ACTIONが挙げられるでしょう。これは、中小企業が自己宣言する形で自社のセキュリティへの取組をアピールする画期的なものです。対象は中小企業と限定されていますが、ロゴマークを使用して顧客をはじめとするステークホルダーへセキュリティへの取組をアピールできるなど多くのメリットがあります。

このような取組は海外でも様々あり、なかでもその取組み内容と実施効果から注目されているのが英国の取組、Cyber Essentials制度です。

英国の取組:Cyber Essentials制度とは

Cyber Essentials制度とは、英国政府が企業のサイバーセキュリティの向上を目的に2014年の6月5日から開始した取組です。企業は定められたサイバー対策に関する審査を受け合格すると、Cyber Essentialsマークを利用することが可能となり、そのマークを保持することで、顧客を始めとするステークホルダーに対しサイバー対策にしっかり取り組んでいることをアピールできます。また、同年の10月1日からは、英国政府の入札案件に手を挙げる企業は、Cyber Essentials制度のスキームに則り運用されていることが義務付けられ、英国のサイバーセキュリティレベルの底上げに大きく寄与しています。

取得を希望する組織が取り組むべきサイバー対策がかなり具体的なものであり、日本の企業にも多いに参考となるのでご紹介します。

Cyber Essentials取得のながれ

Cyber Essentialsの取得を希望する英国の企業はまず、後述する定められたサイバー対策に取り組んだうえで、政府から認可を受けている「認証組織」に審査の申請をします。現在英国にはおよそ170の認証組織が存在しますが、いずれかの認証組織から審査を受け、合格すれば無事Cyber Essentialsマークを取得することができます。

ただし、Cyber Essentials制度は2段階に分かれており、取得できるマークも以下の2種類のいずれかとなります。
 
【取得可能なマーク(2種類)】
ciberessentials1.gif
【Cyber Essential】
ciberessentials2.gif
【Cyber Essential Plus】


単なるCyber Essentials は、初期段階の取組レベルを表すものであり、その取得には自己評価と外部からの脆弱性スキャンを実施することが必須となっています。

Cyber Essentials Plus は、Cyber Essentialsの要件に加え、内部からの脆弱性スキャンとオンサイトでのアセスメントの実施が必要となります。

自己診断については企業自ら実施できるため費用は発生しないものの、脆弱性診断については外部の認証組織に依頼することが一般的です。

また無事、審査を合格しても、毎年維持審査を受ける必要があり、費用はCyber Essentialsで約£300、Plusでは約£1500(オフィス1箇所、グローバルIPアドレス16個未満、従業員数250人以下程度)かかると算出されています。
 

1933_ext_05_2.gif

具体的な審査項目

では、具体的にどのような審査項目があるのか見ていきましょう。
Cyber Essentialsに必要な、自己診断シートと外部からの脆弱性スキャンは、具体的には、以下のとおりです。
Cyber Essentialsの審査項目

■自己診断シートの主な内容
 

1.システムの境界対策
ファイアウォールもしくは同等のネットワークデバイスの初期パスワードを変更すること
ファイアウォールを通過するトラフィック (例:ファイアウォールを経由して社内サービスへのアクセスするもの)を個別に設定し、文書化しておくこと
承認されていないサービスもしくは攻撃を受けやすいサービス(SMB、NetBIOS、tftp、RPC、rlogin、rsh、rexecなど)は原則ファイアウォールでブロックすること 
サービス終了等でルールが適用されなくなったファイアウォールは適宜削除すること
過去にファイアウォールの環境設定を行う管理者インターフェースは、インターネットからアクセスできないようにしておく
2.ID・パス管理や不要なソフトの削除等のセキュアなコンフィグレーションの確保
不要なユーザーアカウント(例:ゲストアカウントや不要な管理者アカウント)は削除すること
ユーザーアカウントのデフォルトパスワードは変更すること
不要なソフトウェア(アプリケーション、システムユーティリティ、ネットワークサービスを含む)は削除すること
リムーバブルメディアが接続されたときやネットワークフォルダにアクセスがあったときにソフトウェアプログラムが自動実行されないよう、自動実行されるプログラムを無効化すること
パーソナルファイアウォール(もしくは同等のもの)を有効にし、未承認の接続をデフォルトで無効化すること
3.アクセスコントロール
ユーザーアカウントを作成する際は承認された手順に従うこと
アクセス特権は限られた人にのみ与えること
特権IDの詳細(例:個人名や利用目的)は文書化して安全な場所に保管し、定期的に内容を見直すこと
管理者アカウントは管理行為をする際にのみ使用し、メールやインターネットのアクセス承認には使用しない事
管理者アカウントのパスワードは定期的(例:最低でも60日ごと)に変更されるよう設定すること
ユーザーは、アプリケーションやコンピュータ、ネットワークデバイスにアクセスする前に、独特のユーザーネームとパスワードを設定すること
ユーザーアカウントとアクセス特権は、使用されなくなった場合(例:人の入替えがあったときもしくは組織を去ったとき)もしくは特定の期間(例:3か月間)が経過した際は、削除もしくは無効化すること
4.マルウェア対策
インターネットに接続できる全てのコンピュータにマルウェア対策ソフトをインストールすること
マルウェア対策ソフト(プログラムコードとマルウェア定義ファイルを含む)は常に(自動アップデートもしくは一元的に定義ファイルを配布する仕組みを採用し最低でも1日1回)最新のバージョンにしておくこと
ファイルにアクセスする際(リムーバブルメディアやネットワークフォルダ内へのファイルアクセス、ダウンロード、開封するときを含む)やブラウザを介してウェブページにアクセスする際は、マルウェア対策ソフトが自動でスキャンを行うよう設定すること
マルウェア対策ソフトは、全てのファイルを定期的に(例:1日1回)スキャンするよう設定すること
マルウェア対策ソフトは、インターネット上の悪意のあるウェブサイトへの接続を遮断(例:ウェブサイトブラックリストを利用するなど)すること
5.パッチマネジメント
インターネットに接続できるコンピュータやネットワークデバイス内のソフトウェアは、ライセンスのあるものやソフトウェアベンダー・サプライヤーからサポートのあるもので、かつ、脆弱性対策のパッチが利用可能なものであること
インターネットに接続できるコンピュータやネットワークデバイス内のソフトウェア(OSやファームウェアを含む)は定期的に(リリース日から30日以内もしくは自動で)アップデートすること
インターネットに接続できるコンピュータやネットワーク内にあるサポート期限切れのソフトウェアは削除すること
インターネットに接続できるコンピュータやネットワーク内のソフトウェアのセキュリティパッチは、定期的に(例:リリース日から14日以内もしくは自動で)インストールすること

 

■外部からの脆弱性スキャン

認定団体に認可された脆弱性スキャナーを使用し、IPv6も含めた全ての外部IPアドレスをスキャンします。また、このスキャンには全てのTCPポート(0-65535)とUDPポートも含むことが必要で、スキャン結果はCVSS *の考え方に基づき評価します。
【CVSSの考え方】
リスク低 0.0-3.9
リスク中  4.0-6.9
リスク高 7.0-10.0
 
*CVSS :  情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法
【合格基準】
発見されたものがリスク低のみであれば合格。リスク高が一つでも発見された場合は不合格。リスク中は内容により要検討

Cyber Essentials PLUSは、Cyber Essentialsの基本的な要件に加えて、技術的な監査要件が含まれます。様々なネットワーク機器やサーバからランダムにサンプルを選び、一般的に全体の10%ほどを対象として、社内からのアセスメントや脆弱性スキャンを実際に訪問して実施します。

 
Cyber Essentialsの審査項目

■オンサイトアセスメント
 

メール受信
対象組織からコンピュータを借り、先ず、添付ファイルのないメールをテストアカウントから送信し、届くか確認する。次に、複数のメールを添付ファイル付きで送信する。ウイルスが添付されたメールがブロックされること、もしくは展開されないこと
Webサイトアクセス
テストファイルのダウンロードリンクが含まれるテスト用のサイトにアクセスする。リンクが実行されファイルがダウンロードされないこと


 

■内部からの脆弱性スキャン


オペレーティングシステム及び特定のアプリケーション(1. Oracle Java、2. Adobe Acrobat、 3. Office Software suites、 4. Adobe Flash、 5. Mozilla Firefox、 6. Google Chrome、 7. Opera 8. Microsoft Internet Explorer)が対象となります。また、アンチウイルスソフトの導入状況も併せて確認し、スキャンの結果は、外部スキャン同様、CVSSに基づいて評価する形となります。


 
パッチマネジメント
14日以内にパッチが適応されていること
サポート対象外のOS及びアプリケーションを利用しておりパッチファイルが存在しないこと
マルウェアプロテクション
全ての端末にアンチウイルスが導入されており定義ファイルがリリースから7日以内であること
アンチウィルスエンジンが90日以内に適応されていること
アクセスコントロール
共有アカウントは利用せず、全てのユーザーに個別アカウントが付与されていること
管理者アカウントがユーザーには付与されていないこと
パッチマネジメント(デバイス)
全てのOSとアプリに、7日以内にリリースされたパッチがあてられていること
アクセスコントロール(デバイス)
ユーザーアカウントがパスワードもしくはpinで守られていること
 
【合格基準】
上記オンサイトアセスメント、脆弱性スキャンの各項目で、すべて実施されている場合のみ合格

現在の企業数

英国では、現時点(2017年3月)で約3,600社が審査を受け合格しています。実際に審査を受けたHP社は、サプライチェーン企業にも認証を受けることを推奨しており、AIG社も認証を受けた企業に対して、保険料を優遇するというサービス提供も開始しています。政策としての取組が、今や民民間での拡がりをみせつつあり、今後も認証を受ける組織は増加すると考えられます。 

 
参考文献
おすすめ記事