サイバーセキュリティを正しく使用することが、これまで以上に重要になっています。脅威の増大により、攻撃のリスクは常に増大しています。議会もこれを認識し、NIS2 ガイドラインを作成しました。アクシアンズは、企業が今どのように進むべきかについてのヒントを提供します。
新たに発見されたマルウェアの亜種は 2.000 万件、ソフトウェア製品の脆弱性は毎月 21.000 件確認され、毎日 68 件の新たに感染したシステム、XNUMX 件のランサムウェア攻撃が成功し、自治体の施設または自治体の企業だけでも月に XNUMX 件の攻撃が試みられています。連邦情報セキュリティ局 (BSI) の現在のサイバーセキュリティ状況報告書には、憂慮すべき数字が記載されています。同局は、犯罪者が進化していると警告しています。現在、プロのサイバー犯罪者は広範囲にネットワークを構築し、分業体制で活動しています。彼らは攻撃に人工知能 (AI) やその他の最新テクノロジーを使用します。
サイバーセキュリティ情勢におけるこうした状況を踏まえ、EU は指令 NIS2 を発行しました。この指令の要件は現在国内法に組み込まれており、17 年 2024 月 XNUMX 日までに成文化される必要があります。影響を受けるすべての機関は、一連のサイバーセキュリティ対策を実施する義務があります。
企業は NIS2 に関してどのような要件を満たす必要がありますか?
とりわけ、企業はリスク管理の概念を持ち、緊急計画を導入し、セキュリティインシデントをBSIに報告する必要があります。体系的なデータのバックアップ、アクセス制御の概念、暗号化、脆弱性管理などの技術的な保護手段が必要です。 IT セキュリティ法 2.0 と同様に、NIS2 も、犯罪者がサプライヤー経由でシステムに侵入できないように、企業はセキュリティ概念においてサプライ チェーンの脆弱性を考慮しなければならないと規定しています。 NIS2 より前にすでにベスト プラクティスとして推奨されていたセキュリティ標準とプロセスを組み込むことで、最終的に最先端の技術を実装することが重要です。
近年、適用される基準に従って犯罪からビジネスを保護することに注意を払ってきた人は、要件を満たすためにいくつかの調整を行うだけで済みます。しかし、今回初めて NIS2 領域に参入し、これまでサイバーセキュリティの話題を軽視してきた企業や機関は、現在大きな課題に直面しています。この要件に備えるために、新規企業は早期に保護措置を講じる必要があります。ゴールまでの道にはXNUMXつのステップが必要です。
会社は NIS2 法の影響を受けていますか?
まず第一に、企業は自社が NIS2 規制の拡張円に属するかどうかを明確にする必要があります。重要な施設と「特に重要な」または「重要な」施設の運営者という 2 つの主要なグループがあります。重要なのは、これらの企業が規制の対象となる経済分野で事業を行っているかどうかです。ここにはまだ不確実性がたくさんあります。明確にするために、企業は次の質問を自問する必要があります: 私は規制されている分野のいずれかで活動していますか?私のビジネスは公式の基準を満たしていますか?離職率は十分に高いか、従業員数は正しいか?これらの質問に対する答えが「はい」の場合、NIS2 保護要件が適用されます。ただし、NISXNUMX に該当するかどうかに関係なく、すべての企業が独自のセキュリティ概念をテストして、それが最先端に対応しているかどうかを確認することをお勧めします。 IT 責任者は、企業のどの領域を保護する必要があるかを判断することも忘れてはなりません。
IT インフラストラクチャはどの程度安全ですか?
次のステップは、最大の弱点がどこにあるかを見つけることです。社内のサイバーセキュリティはどのように構成されていますか?現在の保護レベルはどれくらいですか?リスク評価は、セキュリティ戦略の最適な開始点、つまり企業が最も早く改善を達成できる場所を示します。その後、ユーザーは定期的にこのプロセスを繰り返す必要があります。継続的な評価は、IT の回復力を徐々に高めるのに役立ちます。
サプライチェーンのセキュリティとは何ですか?
必須のリスク評価では、自社のリスクだけでなく、サプライチェーンの特定の弱点も考慮に入れる必要があります。脆弱性が特定された場合は、規制要件を遵守し、インターフェイスを保護するための対策を講じる必要があります。たとえば、外部攻撃対象領域 (EAS) スキャンはこれに役立ちます。積極的に行動し、リスク分析を実行して、サプライ チェーンの潜在的な脆弱性を特定することをお勧めします。影響を受ける施設は、サプライヤー企業と共通のセキュリティコンセプトを開発できます。
攻撃検知にはどのシステムが適していますか?
情報システムに必要なセキュリティを確保するために、攻撃検知システムも推奨されます。多くの企業にとって、セキュリティ情報およびイベント管理ソリューション (SIEM システム) は、大部分の侵入検知システムの基礎を形成するため、導入することをお勧めします。 SIEM は、セキュリティ オペレーション センター (SOC) でも評価できるデータを収集します。構成ミスの兆候など、IT 運用に役立つ情報を提供します。さまざまな SIEM オプションにより、企業独自のニーズを満たすさまざまな可能性が提供されます。たとえば、企業は自己管理型 SIEM システムを使用するか、専門的な SOC のサービスを使用するかを決定できます。提供されるサービスの範囲は、自社での運用や共同管理の SIEM から、Axians などの外部の ICT サービス プロバイダーによるフルマネージドの IT/OT SOC サービスまで多岐にわたります。
NIS2 の賢明なセキュリティ概念はどのようなものでしょうか?
ハードウェアとソフトウェアで構成される IT セキュリティ システムを購入するだけでなく、情報セキュリティを継続的に定義、管理、監視、維持し、継続的に改善するためのルールと手順を確立することも重要です。企業はモジュール原則に従って進めることができます。まず、セキュリティ レベルを迅速に高めるための措置を講じる必要があります。その後、保護をレベルごとに拡張できます。 BSI-Grundschutz や ISO 2700x などのセキュリティ標準やゼロトラスト アーキテクチャが指針として役立ちます。特に、Basic Protection Compendium のオリエンテーションは、セキュリティ対策のベスト プラクティス カタログが含まれているため、非常に役立ちます。
議会は状況の深刻さを認識し、新たな規制で要件を強化しました。増大する脅威の状況は、企業が実装に直接取り組む必要があることを示しています。詳細な技術的な決定で迷わないように、Axians などの経験豊富な ICT サービス プロバイダーのサポートを求めることができます。これらは、NIS2 規制の要求に応じて、顧客向けにシステムを日常的に実装します。専門的な評価、事前アドバイス、継続的なサポートにより、適切な戦略を迅速に策定し、企業の IT 部門の負担を軽減します。
詳細については、Axians.com をご覧ください
アクシアンズについて
Axians は、民間企業、公的機関、ネットワーク オペレーター、サービス プロバイダーのデジタル インフラストラクチャとソリューションの最新化をサポートします。アプリケーションやデータ分析、企業ネットワーク、共有ワークスペース、データセンター、クラウド ソリューション、通信インフラ、インターネット セキュリティなど。