政府機関での情報セキュリティインシデントは国家セキュリティレベルの脅威に直面します。データによると、2019年に20%以上の企業が50件以上の情報セキュリティインシデントに遭遇し、42.4%の情報セキュリティインシデントがサービスの中断を引き起こしました。 その内の六割はデータの盗難であり、3割近い政府機関や学校が情報セキュリティプロジェクトを主要なIT投資だと見なしていました。 2020年の第1四半期の調査では、ランサムウェアのインシデントが昨年の同時期と比較して48%増加していることも言及されています。情報セキュリティ保護を改善することが一番の課題になっています。政府機関はどのようにして効果的に対応すべきでしょうか?
政府機関が直面する情報セキュリティのジレンマ
・ 請負業者の不注意な管理により、情報セキュリティの抜け穴が生じました
・ LAN・WANの境界がぼやけ、機器の状態が不明
・ ソフトウェアとハードウェアのコンプライアンスを確認できず、効率的で規制に準拠した管理方法がありません
・ IPv6ネットワークセキュリティを保証する方法
・ 情報通信セキュリティ管理の基準すべき準拠方法
・ ISO27001認証の項目に適合する方法
・ 個人情報の安全を保護する方法
・ NIST CSF情報セキュリティフレームワークの採用方法
一般に、組織がネットワークセキュリティアーキテクチャを改善したい場合、必ず基本的なインベントリ機器から始める必要があります。 オフィス環境には管理されていない危険度の高いダム端末等、あらゆる種類の接続機器があり、これらは近年のハッカーの抜け穴になっています。だが使いやすさも重要な議題です。その為、サービスを中断せずにインベントリを実行する必要があります。
・ 完全な機器リストを自動生成
・ デバイスの属性を識別し、オペレーティングシステムのバージョン、場所、ユーザー情報などのデバイスデータを提供します
・ Windows OSパッチ、アンチウイルスソフトウェア、ウイルスコードとインストール対象ソフトウェアのインストール、バージョンと更新、および法的ソフトウェアの著作権を含む、継続的なコンプライアンスチェックを確実にします
・ 端末機器のセキュリティ状況を収集することで、機器の適合率を向上させ、機器の適合性を確保します。適合しない人は強制的にネットワークを切断し、修理をするよう指導することができます
・ 全体的な状況を把握するためのチャートダッシュボードを提供します
実際に内部ネットワークを管理する時において、一時的に外部ネットワークに接続する必要がある、または指定された期間内に内部ネットワークに接続する必要があるが、これらのデバイスが内部の従業員ではないというような、いくつかの使用シナリオに直面することがあります。 厳密な外部ネットワーク保護と比較して、内部ネットワークに入る外部デバイスが管理されてない又は、その使用権が分割されていない場合、それがリスクの高いセキュリティ抜け穴となる可能性があります。
・ デバイスの身分確認を提供します
・ オンサイトアプリケーションと予約アプリケーションを含む、訪問者のイントラネット接続認証を提供します
・ 訪問者が内部および外部ネットワークに対するアクセス権と適時性を制限し、管理を自動的にアンロードできます
・ 訪問者を特定のネットワークセグメントへ分離します
・ 外部委託ベンダーに一時許可ホワイトリストまたは訪問者認証を提供します
・ 手持ちデバイスのBYOD ID確認を持参します
IPv6関連のネットワーク基礎施設および基礎施設のセキュリティ保護の応用を電気通信およびインターネットネットワークのセキュリティ保護システムに組み込み、IPv6のネットワークセキュリティレベルの保護、リスク評価、通知および早期警告の実行を展開します。
すべての基本的な通信会社、データセンター、コンテンツ配信ネットワーク(CDN)、クラウドサービスおよびその他の運営会社は、IPv4からIPv6への移行中に既存のネットワークセキュリティシステムを同時にアップグレードして、最低でもIPv6レベルのセキュリティ機能を確保する必要があります。
IPv6固定ネットワーク基礎施設と基礎施設の応用に基づくネットワークセキュリティ保護方法の構築を強化し、IPv6ネットワーク環境での産業用インターネット、インターネットネットワーク、人工知能などの新興分野におけるネットワークセキュリティ技術と管理メカニズムに関する研究の開発をサポートします。
・ IPv6デバイスのホワイトリストを自動的に作成して、IPv6を使用する外部デバイスを検出およびブロックします
・ リアルタイムの情報と履歴記録を提供し、LAN IPの使用状況を表示します
・ IPv6とIPv4のダブル協議管理をサポートし、IPv4サフィックスを持つIPv6アドレスを配布できます
情報は、法令に基づく要求、価値、有害性、および不正な開示、または敏感的な観点の修正等については分類する必要があります。 組織が採用する分類方法に従って、適切な情報ラベル付け手順、資産処理手順、およびモバイルメディア管理手順のセットを開発および実施する必要があります。メディアが不要になった場合は、正式な手順を使用してそれらを安全に削除する必要があります。 情報を含むメディアは転送中において不正アクセス、誤用、または損傷から保護すべきです。
・ IP資産の分類を提供します
・ I軌跡データを自動生成
・ IIP使用の記録とシステム操作記録を提供します
・ I情報の損失、破壊、偽造、改ざんを防止するために、IP保護機関の重要な情報を提供します
次の項目が含まれています:アクセスコントロールポリシー、ネットワークおよびネットワークサービスアクセス、ユーザーログインとログアウト、ユーザーアクセス構成、特権管理、ユーザーの機密認証情報管理、ユーザークセス権限の確認、機密認証情報の使用、情報アクセス制限、および安全なログイン手順。
・ アクセス制御とプライベートデバイス管理、およびポリシー違反の異常イベントレポートを提供します
・ IP / MACバインディング管理、IP / MAC時間管理、MAC /ハードウェア指紋バインディング管理を提供します
・ 本人確認メカニズムを提供します
・ ホワイトリスト管制を提供し、時間配置を行います
・ IP例外、MAC例外メカニズムを提供します
・ AD管理を提供する、AD管理の追加または非追加、AD出口ドメイン管理、オンライン情報、内部および外部ネットワーク権限を自由に設定することができます。
・ 管理、ユーザー、オブザーバーの権限を提供します
ID.AM-1-Physical devices and systems within the organization are inventoried
ID.AM-2-Software platforms and applications within the organization are inventoried
ID.AM-3-Organizational communication and data flows are mapped
ID.AM-5-Resources (e.g., hardware, devices, data, time, personnel, and software) are prioritized based on their classification, criticality, and business value
ID.RM-1-Risk management processes are established, managed, and agreed to by organizational stakeholders
ID.RM-2-Organizational risk tolerance is determined and clearly expressed
ID.RM-3-The organization’s determination of risk tolerance is informed by its role in critical infrastructure and sector specific risk analysis
・ ネットワークデバイスの属性を自動的に識別できます
・ 資産管理ソフトウェアとインターフェイスして、ソフトウェアの使用状況を分析できます
・ 追跡データを自動的に生成し、暗号化にして保護します。 システムの操作記録を提供します
・ IPの資産分類を提供します
PR.AC-1-Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users and processes
PR.AC-4-Access permissions and authorizations are managed, incorporating the principles of least privilege and separation of duties
PR.AC-5-Network integrity is protected (e.g., network segregation, network segmentation)
PR.AC-6-Identities are proofed and bound to credentials and asserted in interactions
PR.DS-1-Data-at-rest is protected
PR.DS-5-Protections against data leaks are implemented
PR.DS-6-Integrity checking mechanisms are used to verify software, firmware, and information integrity
PR.IP-6-Data is destroyed according to policy
PR.PT-1-Audit/log records are determined, documented, implemented, and reviewed in accordance with policy
PR.PT-2-Removable media is protected and its use restricted according to policy
・ データの損失、破壊、偽造、改ざんを防ぐため、IP保護機関の重要な情報を提供します
・ コンピューターにDLPソフトウェアを強制的にインストールさせることによって、データ漏洩を防止します
・ インストール対象ソフトウェアがインストールされているかどうか、違法/海賊版ソフトウェアがインストールされているかどうかを検出することができ、ルールに違反している場合は、ページの切断とリダイレクトによって修復することを要求できます。
・ IP / MACバインディング、IP / MAC時間管理、MAC /ハードウェア指紋バインディング管理を提供します
・ 身分認証メカニズムを提供します
・ 軌跡データを自動生成
・ IP使用記録とシステム操作記録を提供します
DE.CM-7-Monitoring for unauthorized personnel, connections, devices, and software is performed
・ アクセス制御とプライベート接続デバイス管理を提供します
・ 海賊版および使用禁止ソフトウェアを監視できます