Cyber Guidance for Small Businesses CISA

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [Cyber Guidance for Small Businesses | CISA](https://www.cisa.gov/cyber-guidance-small-businesses)【Cybersecurity and Infrastructure Security Agency CISA】(2025年8月21日, 掲載2024年4月) --- > [!NOTE] この記事の要約（箇条書き） - **CEOの役割:** - セキュリティ文化を確立し、組織全体でサイバーセキュリティについて積極的に議論する。 - セキュリティプログラムマネージャーを任命し、サポートする。 - インシデント対応計画 (IRP) をレビューし、承認する。 - 卓上演習 (TTX) に参加し、危機対応の反射神経を養う。 - ITリーダーをサポートし、多要素認証 (MFA) の導入などの取り組みを主導する。 - **セキュリティプログラムマネージャーの役割:** - すべてのスタッフにセキュリティトレーニングを実施する。 - IRPを作成・維持し、四半期ごとにレビューする。 - 四半期ごとに卓上演習を実施する。 - MFAコンプライアンスを徹底する。 - **ITリーダーの役割:** - 技術的制御を用いてMFAを義務化し、定期的に遵守状況を確認する。 - すべてのシステム管理者アカウントにMFAを有効にする。 - システムをパッチ適用し、CISAの「既知の悪用された脆弱性カタログ」を監視する。 - バックアップを実行し、定期的に復元テストを行う。 - ユーザーのノートPCから管理者権限を削除する。 - ノートPCのディスク暗号化を有効にする。 - **最高のセキュリティ体制を実現するためのヒント:** - オンプレミスサービスから、Google WorkspaceやMicrosoft 365などの安全なクラウドベースの代替サービスへの移行を強く推奨する。 - 従業員をChromebookやiPadなどの「設計段階から安全な」エンドポイントに移行することで、攻撃対象領域を大幅に削減できる。 > [!NOTE] 要約おわり --- ## サイバーセキュリティに関する新たなアドバイス中小企業は、ランサムウェアのような壊滅的なサイバー脅威から身を守るためのリソースが不足していることがよくあります。中小企業の経営者として、セキュリティに関するアドバイスの中には、時代遅れのものや、よくあるセキュリティ侵害の防止に役立たないものに遭遇したことがあるかもしれません。例えば、「カフェのWi-Fi接続を使ってオンラインショッピングをしてはいけない」というアドバイスを聞いたことがあるかもしれません。10年前は、この懸念にはある程度の真実がありましたが、今日では、個人や組織がそのような方法でセキュリティ侵害を受けることはありません。セキュリティを取り巻く環境は変化しており、私たちのアドバイスもそれに合わせて進化させる必要があります。 **このアドバイスは違います。** 以下では、サイバー攻撃の実際の発生状況に基づいたアクションプランをご紹介します。最高経営責任者（CEO）をはじめとする役割別にタスクを分類し、セキュリティプログラムマネージャーと情報技術（IT）チームのタスクを詳細に説明します。このアドバイスに従ってもセキュリティインシデントが絶対に発生しないという保証はありませんが、効果的なセキュリティプログラムを構築するための基盤を築くことはできます。 ## CEOの役割サイバーセキュリティは、テクノロジーだけでなく、企業文化も重要です。多くの組織は、ITチームだけがセキュリティの責任を負っているという思い込みに陥りがちです。その結果、セキュリティ侵害のリスクを高めるようなよくあるミスを犯してしまいます。企業文化は委任できるものではありません。CEOは、以下のタスクを実行することで、極めて重要な役割を果たします。 1. **セキュリティ文化を確立しましょう。** 直属の部下だけでなく、組織全体に対しても、サイバーセキュリティについて積極的に話し合うようにしましょう。定期的に従業員にメールで連絡している場合は、セキュリティプログラムの取り組みに関する最新情報も含めましょう。経営陣と四半期ごとの目標を設定する際には、ビジネス目標と整合した意義のあるセキュリティ目標を設定しましょう。セキュリティは、一時的なものではなく、「日常的」な活動でなければなりません。例えば、 [多要素認証](https://www.cisa.gov/MFA "多要素認証") （MFA）の導入（詳細は後述）、パッチ適用済みのシステムの割合、バックアップ済みのシステムの割合などを通じて、データとアカウントのセキュリティを向上させる目標を設定します。 2. **「セキュリティプログラムマネージャー」を選任し、サポートします。** この担当者は、セキュリティの専門家である必要はなく、IT プロフェッショナルである必要もありません。セキュリティプログラムマネージャーは、組織が強力なサイバーセキュリティプログラムのすべての主要要素を確実に実装できるようにします。マネージャーは、進捗状況と問題点について、少なくとも月に一度、あるいは最初のうちはもっと頻繁に、あなたや他の上級管理職に報告する必要があります。 3. **Review and approve the Incident Response Plan (IRP).** The Security Program Manager will create a written IRP for the leadership team to review. The IRP is your action plan before, during and after a security incident. Give it the attention it deserves in “peace time,” and involve leaders from across the organization, not just the security and IT functions. There will be no time to digest and refine it during an incident. **PRO TIP**: Invoke the IRP even when you suspect a false alarm. “Near misses” drive continuous improvements in the aviation industry, and the same can be true for your security program. Never let a near miss go to waste! 4. **Participate in** [**tabletop exercise drills**](https://www.cisa.gov/cisa-tabletop-exercises-packages "卓上エクササイズドリル") **(TTXs).** The Security Program Manager will host regular attack simulation exercises called tabletop exercises. These exercises will help you and your team build reflexes that you’ll need during an incident. Make sure your senior leaders attend and participate. 5. **Support the IT leaders.** There are places where the support of the CEO is critical, especially where the security program needs the help of every staff member. Take ownership of certain efforts instead of asking IT to do so. For example, do not rely on the IT team to persuade busy staff that they must enable MFA. Instead, make the MFA announcement to the staff yourself and keep track of the progress. Personally follow up with people who have not enabled MFA. Doing so creates a culture of security from the top. A note on MFA: MFA is a layered approach to securing your online accounts and the data they contain. Any form of MFA is better than no MFA. Any form of MFA (like SMS text messages, or authenticator codes) will raise the cost of attack and will reduce your risk. Having said that, phishing is consistently the most cost-effective way for attackers to compromise systems, and the only widely available phishing resistant authentication is called “FIDO authentication.” When an attacker eventually tricks you into trying to log into their imposter site to compromise your account, the FIDO protocol will block the attempt. FIDO is built into the browsers and smartphones you already use. We urge you to learn [**how** **FIDO resists phishing attacks**](https://fidoalliance.org/how-fido-works/ "FIDOがフィッシング攻撃に抵抗する方法")**.** The combination of a cloud-hosted email service, Secure by Design devices, and FIDO authentication will dramatically raise the cost for attackers and will dramatically reduce your risk. It’s worth considering. ## Role of the Security Program Manager The Security Program Manager will need to drive the elements of the security program, inform the CEO of progress and roadblocks, and make recommendations. These are the Security Program Manager’s most important tasks: 1. **Training.** All staff must be formally trained to understand the organization’s commitment to security, what tasks they need to perform (like enabling MFA, updating their software, and avoiding clicking on suspicious links that could be phishing attacks), and how to escalate suspicious activity 2. **Write and maintain the** [**IRP**](https://www.cisa.gov/incident-response-training "IRP")**.** The IRP will spell out what the organization needs to do before, during, and after an actual or potential security incident. It will include roles and responsibilities for all major activities and an address book for use should the network be down during an incident. Get the CEO and other leaders to formally approve it. Review it quarterly and after every security incident or “near miss”. Need to know where to start? Look to our [**IRP Basics**](https://www.cisa.gov/sites/default/files/publications/Incident-Response-Plan-Basics_508c.pdf "IRPの基本") two-pager with advice on what to do before, during and after an incident. To request assistance or to share information about an incident that can help protect other potential victims, you can contact CISA at [**https://www.cisa.gov/report**](https://www.cisa.gov/report "CISAへの報告")**.** 3. **Host quarterly tabletop exercises (TTXs).** A [TTX](https://www.cisa.gov/resources-tools/services/cisa-tabletop-exercise-packages "TTX") is a role-playing game where the organizer (possibly you!) presents a series of scenarios to the team to see how they would respond. A common scenario involves one employee discovering their laptop is blocked by ransomware. Symphonies and sports teams practice regularly, and your organization should, too. CISA has [**Cybersecurity Tabletop Exercise Tips**](https://www.cisa.gov/sites/default/files/publications/Cybersecurity-Tabletop-Exercise-Tips_508c.pdf "サイバーセキュリティのテーブルトップ演習のヒント") to get you started. 4. **Ensure MFA compliance.** Yep--MFA Again! The most important step an organization can make is to ensure that all staff use MFA to log into key systems, especially email. While this task is also listed under the IT section below, multiple people must review the MFA status regularly. In addition to the advice here, we urge you to look at the information and toolkits available from our [**Cyber Essentials**](https://www.cisa.gov/cyber-essentials "サイバーエッセンシャル") series to continue to mature your program. ## Role for the IT Lead The top tasks for the IT lead and staff include the following: 1. **Ensure MFA is mandated using technical controls, not faith.** Some organizations have instructed their users to enroll in MFA, but not all users complete that task. There are often MFA gaps for recently onboarded staff and for people who have migrated to a new phone. You’ll need to regularly look for non-compliant accounts and remediate them. Verify, verify, verify MFA stats. 2. **Enable MFA for all system administrator accounts.** System administrators are valuable targets for attackers. You might assume that they would reflexively enroll in MFA. Yet Microsoft reports that around half of Azure Active Directory global administrators use MFA. In many compromises, attackers were able to get a foothold on the system administrator’s account, and from there they had complete access to all the company’s assets. 3. **Patch**. Many attacks succeed because the victims were running vulnerable software when a newer, safer version was available. Keeping your systems patched is one of the most cost-effective practices to improve your security posture. Be sure to monitor CISA’s [**Known Exploited Vulnerabilities (KEV) Catalog**](https://www.cisa.gov/known-exploited-vulnerabilities-catalog "既知の悪用された脆弱性カタログ")**,** a list of the vulnerabilities we see attackers using in real attacks. Prioritize the vulnerabilities in the KEV. Also, where possible enable auto-update mechanisms. 4. **Perform and test backups.** Many organizations that have fallen victim to ransomware either had no backups or had incomplete/damaged backups. It’s not enough to schedule all important systems to have a regular backup. It’s critical to regularly test partial and full restores. You’ll have to pick a cadence for the backups (continuous, hourly, weekly, etc.). You’ll also want to write a plan for the restoration. Some organizations experiencing ransomware attacks found that the time to restore their data was significantly longer than expected, impacting their business. 5. **Remove administrator privileges from user laptops.** A common attack vector is to trick users into running malicious software. The attacker’s job is made easy when users have administrator privileges. A user who lacks administrator privileges cannot install software, and this type of attack won’t work. 6. **Enable disk encryption for laptops.** Modern smartphones encrypt their local storage, as do Chromebooks. Windows and Mac laptops, however, must be configured to encrypt their drives. Given how many laptops are lost or stolen each year, it’s important to ensure that your laptop fleet is protected. All of the above steps may leave you wondering if the products you use are as secure as they could be. Very often, the answer is that the software manufacturers create products using components and practices that inevitably lead to common vulnerabilities. In addition to putting into practice the above steps, we urge you to learn more about how software companies can create software that is “secure by design”. Read more here: [https://www.cisa.gov/securebydesign](https://www.cisa.gov/securebydesign). ## Achieving the Highest Security Posture セキュリティ専門家がサイバーセキュリティに関するアドバイスを提供する際、彼らは通常、ITインフラに小さな変更を加えるだけで済むと想定します。しかし、ITインフラを再構築できるとしたら、どうしますか？一部の組織は、ITシステムに大胆な変更を加え、「攻撃対象領域」を縮小しています。中には、フィッシング攻撃の被害に遭う可能性をほぼ排除（そう、排除したのです！）することに成功したケースもあります。興味がありますか？続きをお読みください！ ### オンプレミス vs クラウド大きな改善策の一つは、オフィスでホストされているすべてのサービスを排除することです。これらのサービスは「オンプレミス」または「オンプレミス」サービスと呼ばれます。オンプレミスサービスの例としては、オフィス内のメールやファイルストレージなどが挙げられます。これらのシステムのセキュリティを確保するには、高度なスキルが必要です。また、パッチ適用、監視、そして潜在的なセキュリティイベントへの対応にも時間がかかります。これらのシステムを安全に保つための時間と専門知識を持つ中小企業はごくわずかです。「クラウドの方が安全だ」と断言することはできませんが、あらゆる規模の組織がオンプレミスのメールサービスやファイルストレージサービスを継続的に運用するには、セキュリティ対策と時間的な負担が大きすぎるという状況を私たちは繰り返し目にしてきました。解決策は、これらのサービスをGoogle WorkspaceやMicrosoft 365 for Enterprise Emailなどの安全なクラウド版に移行することです。これらのサービスは、世界トップクラスのエンジニアリングとセキュリティの専門人材を擁し、魅力的な価格で構築・保守されています。オンプレミスシステムを導入しているすべての企業に、安全なクラウドベースの代替サービスへの早急な移行を強くお勧めします。 ### 安全なエンドポイントすべてのオペレーティングシステムベンダーが自社製品のセキュリティを継続的に向上させるよう努めていますが、特に Chromebook と iPad などの iOS デバイスは、「設計段階から安全」であることが際立っています。一部の組織では、従業員の一部または全員をChromebookやiPadに移行させています。その結果、「攻撃対象領域」が大幅に削減され、攻撃者が足掛かりを築くのがはるかに困難になっています。たとえ攻撃者がランサムウェア攻撃の一環としてこれらのシステムに足掛かりを見つけたとしても、データは主に安全なクラウドサービスに保存されているため、攻撃の深刻度は軽減されます。 ## 追加情報\* 中小企業向けの詳細情報とリソースについては、 [中小企業 | サイバーセキュリティおよびインフラストラクチャセキュリティ庁 CISA](https://www.cisa.gov/audiences/small-and-medium-businesses) および中小企業週間ページ (cisa.gov/small-business-week) をご覧ください。 ※ *このページは2024年4月に更新されました。*