ナビゲーションをスキップする
BlackBerry ブログ
  1. BlackBerry ThreatVector Blog
  2. 2024
  3. NIS 2 への準拠を有利にスタート:今すぐ実行すべき 7 つのステップ

NIS 2 への準拠を有利にスタート:今すぐ実行すべき 7 つのステップ

セキュリティ / 01.19.24 / Marjorie Dickman

原文のブログはこちらからご覧いただけます。

改正されたネットワークと情報セキュリティに係る指令(NIS 2)の全 EU 加盟国での施行が刻一刻と迫っており、2024 年 10 月 の発効まで 1 年を切りました。NIS 2 のコンプライアンス要件を満たすには時間と確固たる組織戦略が必要ですが、最終的に組織のサイバー犯罪関連のリスクを軽減するのに役立ちます。

急増を続けるサイバー犯罪

NIS 2 は、犯罪の世界的な急増に対処することを目的としています。サイバー犯罪は、世界中で最も急速に成長している犯罪分野の 1 つです。ランサムウェアキャンペーンは引き続き大きく報じられて注目を集めており、その頻度は高まるばかりです。BlackBerry のグローバル脅威インテリジェンスレポート(2023 年 11 月版)では、2023 年 6 月から 8 月にかけて固有のマルウェア攻撃が 70% も増加し、金融、医療、重要インフラ、政府機関が最も重点的に標的にされていたことが報告されています。欧州連合サイバーセキュリティ機関(ENISA)によると、2022 年に欧州で発生した攻撃の大部分は、行政機関、政府機関、デジタルサービスプロバイダー、重要インフラを標的としていました。つまり、改正された NIS 2 指令の対象とまったく同じ分野です。

NIS 2 とその適用分野の拡大

2016 年に初めて導入された EU の最初の NIS 指令は、EU 全域を対象とした史上初のサイバーセキュリティ法であり、重要な分野(エネルギー、運輸、医療、金融など)における「必要不可欠なサービス」の運営者と、デジタルサービスプロバイダー(オンラインマーケットプレイス、検索エンジン、クラウドサービスなど)を対象にサイバーセキュリティ義務を定めたものでした。

最初の NIS 指令が採用されて以来、サイバー脅威を取り巻く状況が大幅に変化したことを受け、欧州委員会は 2020 年 12 月、この法律を「目的に合った」ものにする改正 NIS 指令(NIS 2)を提案しました。そのため、この新しい指令では対象分野を拡大し、食品や医薬品のサプライチェーン、必要不可欠な公共サービス、データセンターなどのデジタルサービスを保護することを目的としています。

NIS 2 は今年 1 月に発効し、EU 加盟国は 2024 年 10 月 17 日までにこの指令を国内法に制定する必要があります。その時点で、「対象となる」すべての組織は指令に準拠していることが期待されます。

NIS 2 はコンプライアンスに高い基準を設定し、「強制力」を持つ

NIS 2 コンプライアンスには、サイバーリスクを最小限に抑えるための措置を講じること、サイバーインシデントを報告するためのプロセスを導入すること、従業員に対する説明責任とサイバーセキュリティトレーニングを確立することが含まれます。また、重大なサイバーインシデントに備えた事業継続計画も義務付けられます。この計画では、侵害を迅速に封じ込めて制御するために、重要なポリシー、手順、主要な連絡先(サードパーティのエージェントを含む)の概要を説明する必要があります。

さらに、この指令は強制力を持ちます。遵守しない場合、最大 1,000 万ユーロ(約 1,100 万米ドル)、または事業体の全世界での総売上高の 2% のうち、いずれか高い方の額を上限とした罰金が科される可能性があります。

セキュリティ・バイ・デザインがこれまで以上に重要に

セキュリティ、信頼、品質は、NIS 2 に深く組み込まれている原則です。この指令は、重要インフラ企業全体にわたる、高レベルのサイバーセキュリティリスク管理と「セキュリティ・バイ・デザイン」の原則の重要性を認識しています。

NIS 2 は、重要インフラのソフトウェアサプライチェーンのセキュリティにも焦点を当てています。これは極めて重要なものとなっており、事実、BlackBerry が 2022 年 10 月に実施した調査では、IT 意思決定者の 5 人中 4 人が、過去 12 か月以内にソフトウェアサプライチェーンにおけるサイバー攻撃(または脆弱性)について組織に報告があったと答えていることが明らかになりました。

さらにこの調査では、データ暗号化、ID およびアクセス管理(IAM)、安全な特権アクセス管理(PAM)のフレームワークを厳密に使用している場合でも、組織がソフトウェアサプライチェーンを保護する際に直面する課題を指摘しています。これらの対策をパートナー企業全体に実施したにもかかわらず、回答者の 75% 以上が、ソフトウェアサプライチェーン内でそれまで見たことのない関係者(重要なセキュリティ基準の遵守監視対象になっていない事業体)を発見したと答えています。

NIS 2 は、この種の脆弱性を解決する責任を組織に課します。また重要インフラ事業体には、使用する製品とサービスの全体的なセキュリティ、レジリエンス、品質を考慮することを求めます。したがって組織は、サプライヤーやサービスプロバイダーが採用しているサイバーセキュリティプラクティスとソフトウェア開発手順を理解する必要があります。

多くの企業にとって、組織運営のあらゆる側面にわたってサイバー保護の粒度と幅広さを確保するということは、専門のサイバーセキュリティソフトウェア/サービスプロバイダーと信頼できる提携関係を確立し、NIS 2 のコンプライアンスに求められる知識と機能を強化することを意味します。

推奨事項:2024 年 10 月に向けて実行すべき 7 つのステップ

特に NIS 2 に合わせて、2024 年 10 月の期限に備えて組織が取るべき 7 つの措置を次に示します。

  1. サイバー攻撃を予測し発生前に予防するための対策を採用する。つまり、AI 駆動型のサイバーツールを導入し、被害が生じる前に脅威を検知して予防します。
  2. ゼロトラストアプローチを採用し、アプリケーションやデータへのユーザーアクセスを継続的かつデフォルトで管理する。これにより、侵害のリスクが減り、きめ細かい統合アクセス制御が実現し、どこからでも安全に勤務できるようになります。
  3. サイバーインシデントを速やかに報告し対応する。サイバーセキュリティの人材獲得競争が激しい世界において、MDR(Managed Detection and Response)サービスへの登録が、サイバーセキュリティの専門知識にアクセスするための迅速かつコスト効率に優れたアプローチとなります。
  4. 最新のサイバー脅威インテリジェンスを常に把握しておく。サイバー脅威を取り巻く状況は絶えず進化しています。実用的な脅威インテリジェンスにアクセスできれば、組織のサイバーリスク評価とセキュリティポリシーが目的に適合していることを確認するのに役立ちます。
  5. 従業員が使用する会社所有デバイスと個人用デバイスのデータを保護する。リモートやハイブリッドの勤務環境があたりまえになっている現在、すべてのエンドポイントを保護するために必要なポリシー制御と可視性を採用することが重要です。
  6. 音声通信とメッセージングを暗号化する。NIS 2 では、多要素認証、および音声、動画、テキストに対する安全な暗号化の使用が義務付けられています。これは、最も厳しいセキュリティ要件を満たし、最も高度な脅威から保護することが認定された、安全なメッセージング/通話アプリケーションを採用する必要があることを意味します。
  7. 重大なサイバーインシデントの発生に備えて、事業継続計画を整備する。通常使用している通信チャネルが侵害を受けた場合、速やかに対応チームを展開し、従業員や他の主要な関係者とすぐに連絡を取れる必要があります。これは、安全なマルチチャネル通信プラットフォームを採用し、適切な担当者が正しい情報に基づいて重大なイベントに対応し、そこから復旧できるようにすることを意味します。

実際、EU と世界中で重要インフラ企業とそのサプライチェーンがサイバー脅威アクターの主要な標的となっているため、影響を受けるすべての組織では、NIS 2 の要件を満たすことを目下の優先事項にする必要があります。広範なプロセス、プラクティス、テクノロジーを適切に実装して NIS 2 へのコンプライアンスを実現するには相当の時間がかかることを考えると、2024 年 10 月はもはや目前です。

同様の記事やニュースの配信をご希望の場合は、BlackBerry ブログをご購読ください。
 

関連記事

イベント日程
Marjorie Dickman

About Marjorie Dickman

Marjorie Dickmanは、BlackBerryのChief Government Affairs and Public Policy Officerとして、同社のGlobal Government RelationsおよびTechnical Standards組織の戦略的監督を担っています。

戻る