エッセンシャル エイトの説明
Healthdirect Australia は、healthdirect ビデオ通話サービスのすべての側面にわたって、すべての領域で少なくとも成熟度レベル 2 を達成するためのすべての要件を満たしました。ビデオ通話エッセンシャル エイト成熟度モデル評価の詳細については、 videocallsupport@healthdirect.org.au までお問い合わせください。
サイバー セキュリティ インシデントの防止を保証する単一の軽減戦略はありませんが、ACSC は、組織が E8 軽減戦略をベースラインとして実装することを推奨しています。このベースラインにより、攻撃者がシステムを侵害することがはるかに困難になります。さらに、E8 をプロアクティブに実装することは、大規模なサイバー セキュリティ インシデントに対応する場合と比較して、時間、お金、および労力の面で費用対効果が高くなる可能性があります。敵対者が直面する脅威に基づいて、組織がシステムの強力なサイバー セキュリティ体制を構築するのを支援するための推奨される実装順序があります。組織が望ましい緩和戦略を初期レベルに実装したら、最終的に各緩和戦略の意図と完全に一致するように、実装の成熟度を高めることに集中する必要があります。 ACSC がベースラインとして推奨する E8 戦略は次のとおりです。
-
アプリケーション制御
アプリケーション コントロールでは、選択したソフトウェア アプリケーションのみをコンピュータで実行できます。マルウェアを含む、承認されていないソフトウェア アプリケーションの実行を防止することを目的としています。
-
アプリケーションにパッチを適用する ソフトウェア アプリケーションの修正プログラムとセキュリティの脆弱性にパッチを適用します。攻撃者はアプリケーションの既知のセキュリティ脆弱性を利用してコンピュータを標的にするため、これは重要です。
-
信頼されていない Microsoft Office マクロを無効にする Microsoft Office アプリケーションは、「マクロ」と呼ばれるソフトウェアを使用して日常的なタスクを自動化できます。マクロは、マルウェアのダウンロードを可能にするためにますます使用されています。マクロを使用すると、攻撃者が機密情報にアクセスできるようになる可能性があるため、マクロを保護するか無効にする必要があります。
-
ユーザー アプリケーションの強化これには、Adobe Flash Player、Web 広告、およびインターネット上の信頼されていない Java コードへの Web ブラウザー アクセスのブロックなどの活動が含まれます。 Flash、Java、および Web 広告は、マルウェアを配信してコンピューターに感染させる一般的な方法として長い間使用されてきました。
-
管理者 (admin) 権限を制限する これは、管理者権限が、システムの管理、正規のソフトウェアのインストール、およびソフトウェア パッチの適用にのみ使用されることを意味します。これらは、それらを必要とする人だけに制限する必要があります。管理者アカウントは「王国への鍵」であり、攻撃者はこれらのアカウントを使用して、情報やシステムに完全にアクセスします。
-
オペレーティング システムにパッチを適用します。オペレーティング システムの修正プログラムとセキュリティの脆弱性にパッチを適用します。攻撃者はオペレーティング システムの既知のセキュリティ脆弱性を利用してコンピュータを標的にするため、これは重要です。
-
多要素認証これは、複数の個別の証拠を正常に提示した後にのみ、ユーザーにアクセスが許可される場合です。複数の認証要素を持つことで、敵対者があなたの情報にアクセスするのがはるかに難しくなります
- 重要なデータの毎日のバックアップこれは、すべてのデータを定期的にバックアップし、オフラインまたはオンラインで保存することを意味しますが、書き換えや消去はできません。これにより、サイバー セキュリティ インシデントが発生した場合でも、組織は再びデータにアクセスできます。
エッセンシャル 8 成熟度モデル
組織が E8 の実装の有効性を判断するのを支援するために、成熟度モデルが開発されました。このモデルでは、緩和戦略ごとに 4 つの成熟度レベルが定義されています。
- 成熟度レベル ゼロ-限定的または緩和戦略の意図に沿っていない
- 成熟度レベル 1 -緩和戦略の意図と部分的に一致
- 成熟度レベル 2 -緩和戦略の意図とほぼ一致
- 成熟度レベル 3 -緩和戦略の意図と完全に一致