パスワードマネージャーがNIS2準拠を実現する仕組み

NIS2は、2016年にEU全域のネットワークおよび情報システムを保護するための要件として採択された、従来のEUサイバーセキュリティ指令であるNISを拡張したものです。NIS2は2020年に導入され、2023年1月16日に発効しました。

この指令は、必須サービスの運営者と特定された企業に対し、サイバーセキュリティを強化し、法的義務を遵守するための適切な対策を講じることを義務付けています。NIS2では、当初の指令には含まれていなかった複数の組織が対象となり、影響を受ける分野は7分野から15分野へ拡大され、より多くの重要領域を保護するようになりました。NIS2の対象となる事業体の一覧には、現在、以下が含まれます。

• エネルギー

• 医療

• 運輸

• 金融

• 水道

• デジタルインフラ

• 行政

• デジタルプロバイダー

• 郵便サービス

• 廃棄物管理

• 宇宙

• 食品

• 製造

• 化学

• 研究

さらに、NIS2はサイバーセキュリティの徹底に関する要件を強化し、インシデント報告についてより厳格なルールを設け、違反に対する罰則もより重くしています。所管当局は、経済および社会の重要分野全体において、準拠状況の監督とインシデント報告の円滑化に重要な役割を果たします。公式サイトによると、一般的なNIS2準拠プロセスには、セキュリティ評価、監査、コンサルティング、ツール導入が含まれ、約12か月を要します。

EU全域で執行が加速する中、組織は自らのサイバーセキュリティ体制を示すことを強く求められています。認証情報の安全な管理に関わる点で、第21条は最も大きな影響を及ぼしており、監査人がこの規定を重点的に確認しています。

NIS2指令の全45条のうち、ほとんどの組織が最も多くの時間を費やすことになるのが第21条です。これは、すべての必須および重要事業体が実施し、実務上示せるようにしておくべき、サイバーセキュリティリスク管理対策の最低要件を定めています。

この指令では意図的に、「適切かつ相応」の対策であることが求められます。これは、事業体の規模、リスクへのさらされ方、インシデントの発生可能性と深刻度に基づくものです。つまり、詳細規定型ではなく、成果ベースの考え方です。

第21条第2項では、対象となるすべての組織が実施すべき10項目の最低対策を列挙しています。

• (a) リスク分析および情報システムのセキュリティポリシー

• (b) インシデント対応

• (c) 事業継続性 — バックアップ管理および災害復旧

• (d) サプライチェーンセキュリティ

• (e) ネットワークおよび情報システムの取得、開発、保守におけるセキュリティ

• (f) サイバーセキュリティ対策の有効性を評価するためのポリシー

• (g) 基本的なサイバー衛生対策とサイバーセキュリティトレーニング

• (h) 暗号技術および暗号化ポリシー

• (i) 人事セキュリティ、アクセス制御ポリシー、および資産管理

• (j) 多要素認証または継続的認証ソリューション

第21条は成果ベースであるため、監査人はポリシー文書を確認するだけでなく、制御策が運用され、証跡によって裏付けられているかを検証します。特に一貫して指摘されているギャップは次の3つです。

• MFAが未導入、または一貫して強制されていない

  多要素認証（MFA）のポリシーがあることと、MFAが強制されていることは同じではありません。監査人は、個々のユーザーによる導入状況ではなく、組織レベルでの強制を確認します。

• 過剰な権限を持つアカウント

  第21条第2項(i)に基づくアクセス制御では、最小権限の原則が適用され、文書化されていることが求められます。

• 管理されていないサービス認証情報

  管理されたシステムの外に存在するAPIキー、サービスアカウントのパスワード、共有認証情報は、監査で繰り返し指摘される事項です。

共通するのは、セキュリティが反復可能で実証可能なプロセスとして管理されているかを監査人が確認している、という点です。

当初のNISにおける最大の問題は、範囲が広すぎ、内容が曖昧すぎ、実効性のある執行能力を欠いていたことでした。

現在、違反に対する罰則は重大です。必須事業体には最大1,000万ユーロまたは全世界年間売上高の2%、重要事業体には最大700万ユーロまたは1.4%の罰金が科されます。

COVID-19初期、EU全域の多くの企業がリモートワークへ移行し、当初のNISが掲げた目標に対して効果的でないことがすぐに明らかになりました。

第21条への準拠を確認する監査人は、ポリシー文書だけを単独で読むわけではありません。組織全体で管理策が適用され、一貫しており、文書化されている証拠を探します。最も頻繁に指摘される3つのギャップは、MFA適用の不一致、過剰な権限を持つアカウント、管理されていない認証情報であり、これらはパスワードマネージャーが最も効果的に解消できる領域でもあります。

Bitwardenでは、エンタープライズポリシー制御を通じて、組織全体で2段階ログインを必須にできます。また、Duoと連携してMFAの一元的な適用と監視も可能です。さらに、保管庫健全性レポートには、2FA未設定レポートが含まれており、TOTPシードが含まれていない状態で保存されている認証情報を強調表示します。

役割ベースのアクセス制御、コレクションレベルの権限、ユーザーグループポリシーにより、管理者は組織内のすべての認証情報に最小権限の原則を適用できます。組織の所有者は、コレクション設定を変更して、共有認証情報への管理者アクセスを制限することもでき、昇格された役割であっても機密性の高い認証情報を一律に表示できないようにします。

サービスアカウントのパスワードや、スプレッドシート、メールスレッド、個人の保管庫にある共有認証情報は、監査人が特に注目する盲点です。Bitwardenはこれらを、アクセスが制御され、ログに記録され、取り消し可能な、ガバナンスと監査に対応した環境へ取り込みます。Bitwardenシークレットマネージャーは、APIキーにも一元的なセキュリティ制御をもたらします。

Bitwarden管理者コンソールのイベントログには、誰が、どの認証情報に、いつ、どこからアクセスしたかが記録されます。SIEMツールとの連携やAPIキーの使用により、これらのイベントを取り込み、企業インフラ内の他のイベント監視とともに処理できます。

Bitwardenは、データがユーザーのデバイスを離れる前にクライアント側で暗号化します。ゼロ知識アーキテクチャとオープンソースのコードベースにより、暗号化の実装を独立して検証できます。暗号化については、Bitwardenセキュリティホワイトペーパーに明確に文書化されています。

厳格なデータレジデンシー要件を持つ組織向けに、Bitwardenは専用のEUクラウドサービスと、自己ホスト型導入オプションを提供しており、データを完全に自社インフラ内に保持できます。

組織は、Bitwardenのセキュアな共有機能であるBitwarden Sendを通じて、またはRBACを使用して請負業者を一時的にオンボーディングすることで、ベンダーと認証情報を共有できます。ベンダーとの関係が終了した場合、プラットフォームを通じてアクセスを取り消します。

パスワードマネージャーは、すべてのユーザーが強力で一意のパスワードを最も簡単に使えるようにすることで、セキュリティ文化を直接支援します。さらに、Bitwardenエンタープライズユーザーには、無料のファミリーアカウントも提供されるため、自宅でも適切なセキュリティ習慣を実践できます。

EU全域でNIS2の施行が加速しており、第21条は明確な基準を示しています。管理策は実装され、適用され、証拠として示されなければなりません。監査の精査に耐えられるのは、認証情報ごとに、文書化され運用されているセキュリティ体制を規制当局に示せる組織です。

Bitwardenは、その要件の両面を組織に提供します。エンタープライズポリシー制御により、すべてのユーザーに対してMFA、アクセス権限、最小権限の原則を適用できます。管理者コンソールのイベントログとSIEM連携により、それらの管理策が機能していることを証明する監査証跡を作成できます。また、EUクラウドと自己ホスト型導入オプションを備えたオープンソースプラットフォームとして、BitwardenはEU組織のデータ主権要件を支援します。

コンプライアンスは、長期で高額なインフラプロジェクトである必要はありません。パスワードマネージャーは、監査人が確認する認証情報のギャップを解消し、提示を求められる証拠記録を構築するための最速の方法の1つです。

今すぐBitwardenビジネスの無料トライアルを始めましょう。

NIS2とは何ですか？

NIS2はサイバーセキュリティリスク管理プロセスを重視しており、企業にサイバーセキュリティ脅威を防止または軽減するための措置の採用を求めることを目的としています。AIに関連するリスクと対策も対象としており、サイバーセキュリティテスト、文書化、軽減戦略が含まれます。

NISTとNIS2の違いは何ですか？

NIS2とは異なり、NISTサイバーセキュリティフレームワークには実行可能なリストは含まれていません。NIST固有のサイバーセキュリティレジリエンスフレームワークを使用することで、組織は情報セキュリティ指令に効果的に準拠する準備を進めることができます。

NIS2実施法とは何ですか？

NIS2指令は現在、サイバーレジリエンスにとってより多くの重要セクターにおける中規模および大規模の公的・民間主体を対象に含んでいます。

NIS2のネットワークおよび情報システムとは何ですか？

EU全域の法令であるNIS2は、進化するサイバーセキュリティ脅威の状況に対応するために設計されたサイバーセキュリティリスク管理プロセスを重視しています。この設計では、企業にサイバーセキュリティ脅威を防止または軽減するための措置の採用を求めます。AIに関連するリスクと対策も対象としており、サイバーセキュリティテスト、文書化、軽減戦略が含まれます。

NIS2は、元のNIS指令の対象ではなかった、はるかに多くの組織を対象に含んでいます。これには、医療、エネルギー、運輸などの重要セクターにおける必須サービスの運営者が含まれます。欧州連合は、加盟国全体でサイバーセキュリティ対策と実務を調和させることを目指しています。

また、要件を定める際には、必須事業体と重要事業体を区別しています。