TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

英国政府、組織に対しサイバー・エッセンシャル認証の取得を促す

英国政府は、被害の大きい攻撃の防止に同制度が大きな効果を上げていることを強調し、より多くの組織がサイバー・エッセンシャル認証を取得するよう促した。

Cyber Essentials(サイバー・エッセンシャル)が導入されてから10th周年を迎えるにあたり、政府は2023年に実施した同制度の有効性評価の結果を公表した。

2014年に導入されたこの任意制度は、一般的なインターネット由来の脅威によるリスクを軽減するために、組織が実装すべき基本的な統制を提供する。

Cyber Essentials certification(サイバー・エッセンシャル認証)には2つのレベルがある。1つ目のCyber Essentialsは、5つの技術的統制領域を中心とした、基本的な検証済み自己評価の選択肢である。具体的には、ファイアウォール、安全なセグメンテーション、ユーザーアクセス制御、マルウェア対策、セキュリティ更新管理である。

2つ目はCyber Essentials Plusで、同じ5つの技術的統制領域に基づきつつ、適合性を確認するために独立したテストと、組織インフラのサンプリングを追加で実施する。

2023年6月、英国政府は、国内で認証を取得した組織がわずか3万5000組織にとどまることを明らかにした。

サイバー・エッセンシャルの肯定的な影響

影響評価のために調査されたサイバー・エッセンシャル利用者の大半(82%)は、技術的統制が一般的なサイバー脅威に対する防御を提供すると確信していると回答した。同程度の割合(80%)が、これらの統制は自組織内のサイバーセキュリティリスクの軽減に役立つと考えている。

報告書はまた、2015年の同制度評価にも言及しており、技術的統制を用いることでインターネット由来の脆弱性の99%が軽減され、統制なしでは一切軽減されなかったことが示された。  

サイバー・エッセンシャル利用者の半数超(53%)にとって、この制度は自組織のサイバーセキュリティに関する唯一の外部保証の形態となっているようだ。さらに、サイバー・エッセンシャルを一度も取得したことのない組織の約4分の3は、他のいかなるセキュリティ制度、標準、原則も利用していない。

加えて、サイバー・エッセンシャル利用者の85%は、この制度がサイバーセキュリティリスクに対する理解を直接的に向上させたと考えており、さらに高い割合(88%)が、そうしたリスクを低減するために取れる手順についての理解を直接的に向上させたと考えている。  

分析では、サイバー・エッセンシャルの統制を実装することが、より広範な運用面および行動面の変化を促進する助けにもなるという証拠も見いだされた。例えば、利用者の76%が、サイバー・エッセンシャルの技術的統制を超えて追加の予防措置を講じたと報告している。

大半(86%)は、この制度がサイバー攻撃がもたらすリスクに対する上級管理層の理解を直接的に強化したと考えている。

調査結果について、ナショナル・サイバー・セキュリティ・センター(NCSC)のサイバー成長担当副ディレクターであるクリス・エンサー氏は次のように述べた。「サイバー脅威の状況が進化する中でも、攻撃者は、サイバー・エッセンシャル制度が最初に開始された2014年当時に狙っていたのと同じ脆弱性を引き続き悪用しています。だからこそ、すべての組織に対し、サイバー・エッセンシャルをサイバーレジリエンスの基盤として位置付けることを強く推奨します。」

同氏はさらにこう付け加えた。「データは明確で、5つの統制を実装することでサイバーインシデントを経験するリスクが大幅に低下します。必要な社内専門性が不足している組織に対しては、NCSCが認定するCyber Advisor Serviceを提供する企業を通じて、支援を容易に受けられます。」

サイバー・エッセンシャルに対する認知の拡大

組織がサイバー・エッセンシャル認証を取得する最も一般的な理由(利用者の35%)は、政府契約において同制度が義務付けられていたためである。

利用者はまた、直近12か月に締結した全契約のうち33%で、サイバー・エッセンシャル認証の取得が求められたと報告した。  

別の注目すべき結果として、利用者の15%がサプライヤーに対してサイバー・エッセンシャル認証の取得を義務化しており、今後も継続する予定であることが挙げられる。さらに33%は将来的にサイバー・エッセンシャルの義務化を積極的に検討している一方、45%は、サプライヤーが自社にもたらすサイバーリスクを評価する際にサイバー・エッセンシャルを考慮している。

これらの数値は、これらの技術的統制がサプライチェーン保証の一環としてベンチマークとして機能していることを示唆している。  

さらに、サイバー・エッセンシャル利用者の69%は、認証取得によって市場競争力が高まり、認証取得後に商業活動の増加を経験したことも含まれると考えている。

翻訳元: https://www.infosecurity-magazine.com/news/uk-government-cyber-essentials/

ソース: infosecurity-magazine.com
#Cyber Essentials Plus #NCSC(英国国家サイバーセキュリティセンター) #サイバーエッセンシャルズ #サイバーセキュリティ認証 #サイバーレジリエンス #サプライチェーンセキュリティ #リスク評価・外部保証 #基本的セキュリティ対策 #政府調達・契約要件 #英国政府

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新