2024 年 8 月 23 日Kirk Jensen 著

ネットワーク情報システム指令 2（NIS 2）は、欧州のサイバーセキュリティ規制の中でも基礎となるもので、重要なインフラストラクチャの業界に厳しい要件を課しています。レジリエンスを確保すべく、NIS 2 は、特定のサイバーセキュリティリスク管理対策を義務付けています。当記事では、10 個の必須対策を挙げ、詳しく説明します。

NIS 2 準拠のためのサイバーセキュリティリスク管理策 10個

1. リスク評価：
   潜在的なサイバー脅威と脆弱性を特定、分析、評価することは不可欠です。組織のリスクへの露出度を把握し、緩和策に優先順位をつけることも重要です。
   理由：潜在的な脅威をプロアクティブに特定することで、侵害を防止し、その影響を最小限に抑える対策を実施できます。
2. インシデント管理：
   サイバーインシデントを検出し、対応し、回復するための明確な計画を持つことが重要です。この計画には、封じ込め、根絶、復旧の手順を盛り込む必要があります。
   理由：サイバーインシデントへの迅速かつ効果的な対応により、被害を最小限に抑え、業務を迅速に復旧することが可能です。
3. サプライチェーンのセキュリティ確保：
   サプライチェーンの複雑化に伴い、サードパーティサプライヤを由来としたサイバーセキュリティリスクの管理が不可欠となっています。これには、サプライヤのセキュリティ対策を評価し、対策を実施することも含みます。
   理由：サプライチェーンの脆弱な部分が、組織全体を危険にさらす可能性があります。
4. アクセス制御：
   強力なアクセス制御を導入することで、許可されたユーザだけがシステムやデータにアクセスできるようにすべきです。これには、ユーザ認証、権限付与、アクセスレビューなどの対策が含まれます。
   理由：機密情報へのアクセスを制限することで、不正な開示や改ざんのリスクを低減できます。
5. 暗号化：
   データを暗号化して保護することは、機密性の維持に不可欠です。万が一データが漏洩した場合でも、機密情報への不正アクセスを防ぐことができます。
   理由：暗号化はデータ保護の基本的な構成要素です。
6. サイバーセキュリティの啓発：
   サイバー脅威とベストプラクティスについて従業員を教育することも不可欠です。これには、フィッシング、ソーシャルエンジニアリング、パスワードセキュリティに関するトレーニングも含まれます。
   理由：サイバーインシデントにおいて、ヒューマンエラーは重要な要因となりえます。
7. 定期的なテストと評価：
   サイバーセキュリティ対策の有効性を評価することが重要です。これには、脆弱性スキャン、侵入テスト、セキュリティ監査などが含まれます。
   理由：評価を定期的に行うことで脆弱性を発見できるため、セキュリティ態勢の改善に役立ちます。
8. セキュリティインシデントの報告：
   NIS 2 では、管轄当局へのサイバーインシデントの報告が義務付けられています。これにより、脅威の状況を包括的に把握し、情報共有を促進するためです。
   理由：タイムリーな報告により、サイバー脅威に対する連携した対応が可能になります。
9. 事業継続性とリスクの管理：
   事業継続計画と強固なリスク管理フレームワークにより、サイバー攻撃発生時のオペレーションのレジリエンスを確保します。
   理由：事前の準備が整っている組織は、混乱からの回復をより迅速かつ効果的に行うことができます。
10. 脆弱性管理：
    システムやソフトウェアの脆弱性を特定し、優先順位を付け、パッチを適用することが不可欠です。これにより、攻撃者による脆弱性の悪用を防ぐことができます。
    理由：ソフトウェアのパッチを常に最新の状態に保つことは、既知の脆弱性から組織を保護する上で極めて重要です。

これらの対策を積極的に実施することで、組織はサイバーセキュリティ態勢を大幅に強化し、サイバー攻撃リスクを軽減することができます。NIS 2 への準拠は、単に罰則を回避するためだけでなく、組織、顧客、評判を守るための準備でもあります。

準備を始める

まずは NIS 2 要件の全容を理解してください。そしてギャップ分析を実施し、組織が改善すべき領域を特定してください。サイバーセキュリティの専門家への相談など、NIS 2 準拠に役立つリソースは数多くあります。

NIS 2 コンプライアンスの要件と組織の準備方法については、無料のホワイトペーパー「NIS 2 Compliance with WatchGuard Technologies」（英語）をご参照ください。