宅配業者を装ったフィッシング詐欺は、年々巧妙化してお
サイバーセキュリティ保険の加入資格を得るには、組織が強力なアクセス制御を実装し、インシデント対応計画が存在し、多要素認証(MFA)を使用し、従業員に対してセキュリティトレーニングを実施し、定期的にペネトレーションテストを実行し、暗号化を使用してセンシティブデータを保護していなければなりません。
サイバー保険の 6 つの要件および組織に対するその適用について、さらに詳しく説明します。
サイバー保険の重要性
サイバー保険に加入することは、組織にとって重要です。サイバー攻撃を受けた場合にサポートを受けることができるからです。 サイバー保険に加入している組織がサイバー攻撃を受けた場合、以下のようなサポートが受けられます。
- 顧客に通知する
- 顧客の ID を回復する
- システムの修復
- サイバー攻撃からの回復
- 関連する費用の補てん
HIPAA はサイバー保険への加入を義務づけていますか?
いいえ。医療保険の携行性と責任に関する法律(HIPAA)では、組織がサイバーセキュリティ保険に加入することを義務づけていません。 しかし、これは HIPAA による規制対象の組織がサイバーセキュリティ保険に加入すべきではないという意味ではなく、こうした組織はサイバーセキュリティ保険をリスク管理戦略の一環として利用する傾向があります。
サイバーセキュリティ保険の加入要件とは?
サイバー保険の加入に必要な要件をいくつかご紹介します。
強力なアクセス制御
サイバー保険では、組織のリソースへの不正アクセスを防ぐために、組織が強力なアクセス制御を実装していることが求められます。 強力なアクセス制御を実装することとは、従業員が業務を遂行するために必要なアカウント、システム、データにのみアクセスできる状態であることを意味します。 強力なアクセス制御を導入することで、アクセス特権の悪用を防ぐことができ、かつ脅威アクターがネットワークに侵入した場合でも、ネットワーク全体をラテラルムーブメント(水平展開)することを防ぎます。
インシデント対応計画
インシデント対応計画とは、漏洩やその他のサイバーセキュリティインシデントが発生した時の責任を割り当て、従うべき手順のリストを記載した文書のことです。 この計画は、インシデント対応に要する時間を短縮し、インシデントが引き起こす損害を軽減し、かつ将来的に再びインシデントが発生することを防ぐのを目的としています。
多要素認証(MFA)
MFA はユーザーに対して、ユーザー名やパスワードに加えて、その他の認証方法を使用して身元を確認することを要求するセキュリティ対策のひとつです。 MFA には複数の認証要素が必要であるため、アカウントが侵害される可能性が大幅に減少します。 Microsoft のレポートでは、MFA によりアカウント侵害攻撃の 99.9% 以上がブロックされるため、最も重要なセキュリティ対策の 1 つになっていることが分かりました。
従業員のセキュリティ意識の向上とトレーニング
サイバー保険のもう 1 つの要件は、従業員に対して定期的にセキュリティに関する意識を植えつけ、そのためのトレーニングを実施することです。 これにより、フィッシング攻撃のようなサイバー脅威を従業員が検知し、組織がデータ漏洩の危険にさらされるのを防ぐことができます。
定期的なペネトレーションテスト
ペネトレーションテストあるいはペンテストは、組織のセキュリティ体制の強度を評価するセキュリティ演習です。 定期的なペンテストを実施することで、組織は自らの脆弱性を特定、修正し、サイバー犯罪者が脆弱性を悪用することを防ぐ措置を講じることができます。
暗号化
暗号化とは、データを読み取り可能なフォーマットから暗号文と呼ばれる読み取り不可能なフォーマットに変換するものです。 暗号化は、センシティブデータが盗まれたり、読み取られたり、改ざんされたりするのを防ぐため、サイバー保険会社は組織に対して、従業員や顧客の個人識別情報(PII)を保護する措置をどの程度実施しているかを問い合わせてくる可能性が高いでしょう。
サイバーセキュリティ保険要件の適用を受ける
ここでは、上記のサイバーセキュリティ保険要件の適用を受ける方法をご紹介します。
強力なアクセス制御の実装
組織が強力なアクセス制御を実装する最善の方法は、特権アクセス管理(PAM)ソリューションに投資することです。 PAM ソリューションは、データ環境全体を完全に可視化することで、IT 管理者が機密性の高いシステム、アカウント、データへのアクセスを管理、保護することを可能にします。 これにより、組織の攻撃対象領域が縮小され、サイバーセキュリティ保険要件の適用を受けられる可能性が高まります。
インシデント対応計画を作成する
インシデント対応計画を策定するには、準備、検出および分析、封じ込めと根絶、インシデント後の回復、の 4 つの重要なステップに従う必要があります。
それぞれのステップの内容は以下の通りです。
- 準備:すべての資産のリストをコンパイルし、重要度順にランク付けします。 このステップには、発生したインシデントの種類に基づいて、連絡する相手と方法、そしていつ連絡するかについて、組織の指針となるコミュニケーション計画の作成も含まれます。
- 検出と分析:この 2 番目のステップでは、インシデント対応チームがインシデントの分析を開始し、インシデント発生のメカニズムを解明することが求められます。
- 封じ込めと根絶:3 番目のステップは、脅威アクターのエントリーポイントにパッチを適用して、さらなるダメージを防ぐことです。 このステップでは、脅威を完全に排除することも目的のひとつです。
- インシデント後の回復:最後のステップは、組織とその従業員がインシデントの経験から学習することです。 これは、将来的に発生する可能性があるインシデント対応に向けた準備を行うことに役立ちます。 このステップでは、インシデント対応計画を更新する必要があります。
MFA の使用を強制する
組織のすべてのアカウントで MFA を有効にする必要があります。 MFA の使用を強制する最善の方法は、ビジネスパスワードマネージャーに投資することです。 一元化されたパスワード管理プラットフォームを使用することにより、IT 管理者はパスワードの長さの最小要件を設定し、サポートされているすべてのサイトで MFA を使用することで、組織全体に対してパスワードセキュリティポリシーを強制できます。
従業員のセキュリティ意識の向上とトレーニングの実施
組織は、PAM やビジネスパスワードマネージャーのようなサイバーセキュリティソリューションに投資を行うだけでなく、サイバーセキュリティのベストプラクティスについて、従業員にトレーニングを実施する必要があります。
従業員に対して、サイバーセキュリティのこうしたベストプラクティスに関するトレーニングセッションを毎月実施してください。 従業員のトレーニングは、組織がサイバーセキュリティ保険要件の適用を受けやすくなるだけでなく、従業員自身がサイバー攻撃を受けるリスクを軽減するのにも役立ちます。
定期的なペネトレーションテストの実施
四半期ごとに、外部、内部、ブラインド、ダブルブラインドテストなど、複数のペネトレーションテストの実施を検討してください。
- 外部テスト:ウェブサイトやアプリケーションなど、外部の攻撃リソースに対する脆弱性を発見するために行われます。
- 内部テスト:内部脅威や人為的なエラーなどの内部攻撃をシミュレートするために行われます。
- ブラインドテスト:実際のサイバー攻撃をシミュレートするために行われます。 このタイプのペンテストでは、組織はシミュレートされた攻撃について知っていますが、ホワイトハッカーは「ターゲット」に関する公開情報のみ把握しています。
- ダブルブラインドテスト:実際のサイバー攻撃をシミュレートするために行われます。 このタイプのペンテストでは、組織はシミュレートされた攻撃について知っておらず、ホワイトハッカーは公開情報のみ把握しています。
組織が実行するペンテストの結果に基づいて、脆弱性にパッチを適用し、組織のネットワークをさらに保護するための適切な措置を講じる必要があります。
センシティブデータが暗号化されていることを確認する
顧客や従業員の PII など、組織が保存するすべての情報は、権限のない個人によるアクセスを防ぐために暗号化する必要があります。 これはログイン認証情報など、従業員が定期的にアクセスするセンシティブデータも暗号化されている必要があることも意味します。 安全なファイルストレージを備えたパスワードマネージャーは、ログイン認証情報を含むすべてのデータが暗号化されている状態を保証するのに役立ちます。
Keeper® でサイバー保険の要件を満たし、(データ)漏洩を防ぎましょう
サイバー保険の適用要件は、組織がすでに遵守すべきサイバーセキュリティのベストプラクティスであることから、組織にとってそれらを満たすことは困難ではないはずです。 そうでない場合、ゼロトラスト KeeperPAM® のような特権アクセス管理ソリューションに投資を行うことで、組織のサイバーセキュリティを強化する時期がきているということです。
ゼロトラスト KeeperPAM は、強力な認証の確保、強力なアクセス制御、特権セッション中のアクティビティの記録、特権アカウントとセッションの管理(PASM)による不審なアクティビティの管理者への警告、セッションログやイベントログを通じたコンプライアンスや規制への適合をとする監査とレポートのサポートを行うことで、ネットワークの可視性とセキュリティ制御に対処します。
ゼロトラスト KeeperPAM でサイバーセキュリティ保険の要件を満たす準備はできましたか?今すぐデモをリクエストしてください。