あなたはサイバー攻撃に対してどれほど脆弱ですか？メーカー向けの自己評価ツール

メーカーやその他のすべての人にとって、サイバー攻撃の脅威とその防止方法を認識することが重要です。サイバー犯罪者によって悪用された脆弱性は、運用をシャットダウンする可能性があり、セキュリティ対策の強化と信頼できる顧客の安心に数千ドルを費やす必要があります。

サイバー脅威に関してメーカーがしばしば直面する課題の1つは、実際にどれほど脆弱であるかわからないことです。会社の脆弱性レベルを評価する方法について考えたことはありますか？あなたの会社がサイバーセキュリティのニーズを満たすためにどこに着陸するのかをよりよく理解できるのは素晴らしいことではないでしょうか？

幸いなことに、それはあなたが思っているよりも簡単です。 MEP National Network ^TM を使用して開始できます ビジネスに対するサイバーリスクのレベルを自己評価するためのサイバーセキュリティ評価ツール。

サイバーセキュリティ評価ツールのウォークスルー

ご存知かもしれませんが、米国国立標準技術研究所（NIST）は、製造業や他の多くの業界におけるサイバーセキュリティの標準となった5部構成のサイバーセキュリティフレームワークをリリースしました。 MEPの自己評価ツールはフレームワークに基づいており、識別、検出、保護、応答、回復の5つのカテゴリに従います。

識別

居住地など、会社に関する基本的な情報を提供したら、評価ツールの使用を開始できます。 NISTおよびMEPNational Networkは、会社の場所以外の情報を保持しないことに注意してください。フレームワークの各ステップのスコアは記録されません。再評価のためにツールを再度使用するときに進捗状況を追跡するために、スコアをメモしておくことをお勧めします。

自己評価ツールの最初の部分は、企業に対するサイバー脅威の特定に役立つ既存の構造と慣行に関連しています。

このセクションで取り上げるトピックは次のとおりです。

• 会社が保持している機密データを特定したかどうか、およびどのデバイスにそれが含まれているか
• 従業員のフィッシングトレーニングと機密データへのアクセス
• 機密情報を保存するデバイスが最新であり、不要なビジネスアプリケーションが含まれていないかどうか
• サイバーセキュリティに関して会社が従わなければならない法的要件および規制要件についての理解
• 組織のリスク許容度の決定と表現
• 内部および外部のソースから脅威と脆弱性に関する情報を共有および受信するかどうか
• 会社がパスワードを管理する方法
• 使用するパスワードの強度と複雑さ
• 会社がパスワードを変更する頻度

答えの選択は簡単です。ほとんどの場合、「はい」、「いいえ」、または短い回答のみが必要です。

保護

次に、ツールはNISTサイバーセキュリティフレームワークの保護カテゴリに入り、システム保護について説明します。次のような問題について回答する準備をしてください。

• 自動タイムアウト
• ファイアウォール
• データの保持と破棄のポリシー
• 従業員がサイバーセキュリティトレーニングを受ける頻度
• 従業員が会社のデータにリモートでアクセスできるかどうか
• 物理資産のアクセス管理
• データの暗号化
• 災害復旧ポリシー
• 物理的な資産の管理と保護
• 人材部門が、会社を辞めるときに個人のアカウントをロックするなどの方法でサイバーセキュリティの実践を支援するかどうか

検出

NIST Cyber​​security FrameworkのDetectカテゴリは、システムに対する悪意のある脅威を検出するための準備が整っているかどうかを評価します。次のような問題に関連する質問に答えます：

• デバイスにインストールされているウイルス対策およびマルウェア対策
• マルウェアチェックの頻度
• ビジネスがサイバーセキュリティイベントを監視する方法
• ネットワークセキュリティイベントを追跡し、それらをログファイルと関連付けるかどうか

応答

フレームワークの応答部分は、サイバーセキュリティの脅威またはインシデントを検出した後、ビジネスがアクションを実行する準備ができているかどうかを確認します。質問は次のようなトピックをカバーしています：

• 組織内の関係者が役割と責任を割り当てており、必要に応じてそれらを実行する方法を知っているかどうか
• インシデント後に会社が使用するために実施している対応計画の詳細
• 過去のサイバーセキュリティの問題の後に、問題の再発を防ぐために変更を加えたかどうか
• サイバーセキュリティイベントを管理し、いつどこで発生したかを発見するために割り当てられた個人またはグループがあるかどうか
• 機密情報の漏洩について顧客に通知する計画がビジネスにあるかどうか

回復

回復カテゴリは、サイバーセキュリティインシデントの後にビジネスを回復するために実施しているプラ​​クティスを扱います。セクションの内容：

• データをバックアップする頻度
• 必要に応じて復旧プロセスを支援できる関係者（法執行要員、インターネットサービスプロバイダー、広報機関、サイバー犯罪を専門とする弁護士など）の連絡先情報があるかどうか
• 復旧計画に、サイバーセキュリティイベント後に正常性を回復するためにあなたとあなたの従業員がとる行動があるかどうか
• 回復の管理を担当する組織に誰かがいるかどうか
• 復旧戦略に学んだ教訓が組み込まれていて、テクノロジーや計画の変更に応じて更新されるかどうか
• サイバーセキュリティに関連する保険に加入しているかどうか

[回復]セクション内の質問を終えると、ツールはスコアを生成する前にいくつかの推奨リソースを共有します。

ローカルMEPセンターがサイバーセキュリティを通じてビジネスを保護するのにどのように役立つか

評価の結果、サイバーセキュリティ戦略のいずれかの部分に問題が存在する場合、またはNISTサイバーセキュリティフレームワークで概説されている特定の領域に問題がある場合は、最寄りのMEPセンターが製造業のリスクを軽減するのに役立ちます。評価の完了後に提供されるリソースの1つは、Manufacturing Extension Partnership（MEP）センターのインタラクティブマップへのリンクです。州または場所で検索して、地域のMEPセンターを見つけることができます。

変更を加えるための最初のステップは、問題が存在することを知ることであることを忘れないでください。 MEP National Network Cyber​​security Assessment Toolを使用して、知識を身に付け、行動を起こしましょう！