サイバーエッセンシャルズ
「あなたの職場はITセキュリティ大丈夫ですか?」
と聞かれた時にどのように答えていますか?
サイバーエッセンシャルズは、回答する根拠となり得ます。
サイバーエッセンシャルズとは、約90個の要求に対応するだけで80%のサイバー攻撃から組織を守るために開発された英国政府の調達基準です。
英国国家サイバーセキュリティセンター(NCSC)が取得を推奨しており、英国内だけでなく、世界中の組織や個人がITセキュリティ維持のために活用しています。2023年から日本語でも受審できるようになりました。
英国政府通信本部(GCHQ)の下部組織にあたる国家サイバーセキュリティセンター(NCSC)がこの基準の開発を担い、NCSCと連携するIASMEが認証機関を認定しています。認証機関は受審組織の審査をオンラインで行います。このように英国では政府が国民を守るための一貫した仕組みが機能しており、海外からもその恩恵を受けることができます。
技術も知識もハイレベルな要求ではなく、安心なITセキュリティを整えるのに時間も費用も抑えた仕組みとして、政府が開発を推進し、取得を推奨しているITセキュリティ基準は他にありません。個人情報や大切な情報、取引先の預かりデータをサイバー攻撃から守るために是非ご検討ください。
目次
サイバーエッセンシャルズの目的
この制度は極めて一般的なサイバー攻撃を防ぎ、インターネットに接続するすべてのデバイス上に保存されたデータの機密性、完全性、および可用性を保護するための適切な制御を確立することを目的としています。
サイバーエッセンシャルズの概要
- インターネットを介したオンライン審査であり、約90問の審査項目に自己診断で回答を記入します。回答期間は3ヵ月であり、言語は日本語です。
- 英国国家サイバーセキュリティセンター(NCSC)により、新たなサイバー攻撃に対応するため毎年審査項目は更新されます。毎年受審することで新たなリスクに対する組織のITセキュリティも更新できます。
- 審査を経て、認証を取得すると、認証状とロゴマークが付与されます。認証は1年更新です。
- 80%を占める主なサイバー攻撃として、下記が脅威の対象となっています。
- フィッシング攻撃
- マルウェア
- ランサムウェア
- パスワード推測
- ネットワーク攻撃
- インターネット境界からユーザーの端末までを適用範囲とし、組織のIT構造を狙ったサイバー攻撃に焦点を当てています。
- 下記の5つの分野について、確実な管理が要求されています。
- ファイアウォール
- ユーザーアクセスコントロール
- ウイルスやマルウェアからの保護
- セキュリティ更新プログラムの管理
- 安全なセキュリティ構造
どのようなメリットがありますか?
英国政府がサポートするサイバーエッセンシャルズは、インターネット上の一般的なサイバー攻撃リスクを大幅に低減するための最低限必要なITセキュリティ基準です。利用者は、効果的にITセキュリティの仕組みを構築することができます。
その結果、下記のようなメリットが考えられます。
- 公的な英国政府の調達基準に準拠することによって、一般的なサイバー攻撃から保護されている安心感や事業中断リスクの低減が期待できます。
- 取引先、保険会社、株主、その他の利害関係者に対し、サイバーリスクを減らすために基本的なセキュリティを備えたことをデジタル版認証状やロゴマークにより証明できます。
- 改正個人情報保護法や機密データ保護に対する脅威/リスクを低減できます。
- 年1回の認証更新により、新しい攻撃技術に対するNCSCによる洗練された対策のアップデートが可能です。
- 他のサービスに比べて、準備から取得までのコストパフォーマンスやタイムパフォーマンスが良い。すべての審査項目を説明するセミナーが提供されています。
- 負担が多くないため、グループ内にて二者監査の要件として推奨することができます。
- 取得後はITコンサルタントとして、取引先へ指導することも可能です。
- ISO27001やPマークに取り組む前の即効性のある管理策として有用です。
- ISO27001やPマーク認証取得済みの組織には管理策の補完として利用可能です。
ビジネス上のメリット
サイバーリスクを軽減するために必要な予防措置を講じていることを、クライアント、投資家、その他の利害関係者に示すことができます。
一般的なサイバー攻撃から守られることにより、中断なく事業を継続できます。
予防に重点を置くことで、ビジネスの効率化、コスト削減、生産性の向上が期待できます。
サイバー脅威に対する自己免疫力を高めることができます。
個人情報および機密情報の取り扱いに関する英国政府の調達基準を満たすことができます。
標準化
サイバーエッセンシャルズのような、個人事業主でも認証取得できるリーズナブルなITセキュリティ制御規格は他にありません。
また、ISO 27001などの国際規格の認証取得をご検討中の方にも、サイバーリスク戦略の最初のステップとしてご利用いただけます。
取引とコンプライアンス
英国政府との契約・取引において、サイバーエッセンシャルズの認証取得は必須条件となっています。
また近年では、民間企業においても取得が求められるようになっています。サイバーエッセンシャルズは、データ保護法、EU一般データ保護規則(GDPR)、ネットワークおよび情報セキュリティに関するEU指令、個人情報保護法など、既存および新規のコンプライアンス要求事項への対処にも役立ちます。
脅威とリスク低減
サイバーエッセンシャルズの認証取得により、次のリスクを低減できます。
・データ侵害が発生する可能性
・関連する財務上の損失
ITコンサルタントのご紹介
1. サイバーエッセンシャルズに関してのコンサルタントを行います。
2. ご紹介するコンサルタントは、サイバーエッセンシャルズ認証取得済。
3. 年次更新に係るサポート可能。
サイバーエッセンシャルズ料金表
サイバーエッセンシャルズ 認証の流れ
1. お申し込み
(Email、FAX)
2. 請求書発行、
入金確認
3. オンライン回答
4. 審査員による判定(レビュー後、回答修正を依頼することがあります)
5. 認証状の授与
下のボタンをクリックしていただくと、申込書がダウンロードできます。
よくある質問
サイバーエッセンシャルズの認証取得にご興味を持っていただけたでしょうか。もう少し詳しく知りたい方のために、お客様から寄せられたよくあるご質問を下記にまとめています。お問い合わせの前にご確認ください。
さらにサポートが必要な場合は、直接当社までお問い合わせください。
(TEL:075-323-6200 Mail:info@certificationeurope.co.jp)
サイバーエッセンシャルズは、英国政府の調達基準として、80%のサイバー攻撃を防ぐと謳われています。現在、被害の出ている多くの攻撃は、一般的な攻撃手法です。それらが80%を占めており、対策が可能です。残りの20%については、高度な技術による攻撃や新しい手法が該当します。
サイバー攻撃は常に新しい手法が生み出され、後追いでの対応になるため100%防ぐことは難しいのですが、国家サイバーセキュリティセンター(NCSC)の毎年の開発により、サイバーエッセンシャルズの精度は改善されていきます。
サイバーエッセンシャルズは、インターネット上の一般的なサイバー攻撃リスクを低減するために、管理すべきITセキュリティのポイントを特定しています。効率よくITセキュリティを構築することができます。また、認証を取得した組織は、サイバーエッセンシャルズのロゴマークを活用して、サイバーセキュリティリスク低減措置を積極的に実施していることを顧客にアピールすることができます。公的な基準として、信頼を得ることが可能です。
サイバーエッセンシャルズは、フリーランス・個人事業主の方から、あらゆる規模の組織とすべての業種を対象としています。例えば、下記の組織において取得事例があります。
- 行政機関
- 政府機関
- 民間企業
- 非営利団体(NPO)
- 協会
- 商工会議所
- 医療機関(総合病院、歯科医院、診療所など)
- 教育機関、研究機関(大学など)
- 弁護士事務所
- 税理士事務所
- 劇場
- 芸術団体
- 慈善団体
- スポーツクラブ
- 塾
- 研究者
- WEBデサイナー
- コンサルタント
オンライン審査にて回答を提出し、基準を満たさない場合、英国の審査員からフィードバックされます。フィードバックは2回までです。各フィードバックは2日以内の回答期限であり、回答期限を超えた場合は、認証不可となり、改めて受審することになります。再回答が3回以上になる場合、約37,000円(£200)の審査手数料が追加で発生します。
ありません。いつでも申し込むことができます。
受審組織の人数によって異なります。詳細については料金表をご参照ください。グローバルテクノ等の提供するセミナーを受講すると審査費用の割引が適用されます。
サイバーエッセンシャルズを認証取得された方には、以下のものが発行されます。 取引先に信頼を与えるための宣伝ツールとして、ご自由に活用いただけます。
• サイバーエッセンシャルズ認証状(デジタル版)
• ロゴマーク
有効期限は1年間です。認証を維持するには、有効期限までに更新手続きが必要です。
毎年4月に審査項目が見直されますので、更新手続きの際に、質問が増えている可能性があります。グローバルテクノ等の提供するセミナーを受講し、新しい情報を入手してください。日々発生するサイバー攻撃による脅威を防ぐために、定期的に更新手続きを受ける必要があります。
サイバーエッセンシャルズは、他の情報セキュリティ認証制度を補完することができ、相乗効果が期待できます。例えば、ISO 27001、Pマーク、PCI DSS、SOX、SSAE、SOC ISO 20000など、サイバーエッセンシャルズと並行して認証を取得することが可能です。技術的な管理策の補完となります。
サイバーエッセンシャルズは、サイバーリスク戦略の第一歩に位置づけられる制度であり、一般的なサイバー攻撃のリスクを80%低減することを目的としています。高度な技術による攻撃や新しい手法については、自社にて適宜情報収集し、対応することが求められます。
ステップアップとして、国際規格(ISO27001)や国内規格(Pマーク)を活用することもできます。
CESG(英国政府GCHQの情報セキュリティ部門)は、様々なサイバー攻撃の成功例を分析しました。この分析は、サイバー攻撃の大多数を占める「インターネットで公開されている汎用ツールを使う非熟練者によるサイバー攻撃」を効果的に低減する基本的な制御技術の特定に大きく貢献しました。
サイバーエッセンシャルズは、上記の脅威の大部分を低減するために必要なコアアクション(=5つの領域)として構成されました。
a) ファイアウォール
b) ユーザーアクセスコントロール
c) ウイルスやマルウェアからの保護
d) セキュリティ更新プログラムの管理
e) 安全なセキュリティ構造
サイト訪問者に提供する主な情報は、外部に対する安全な「リンク」に限る場合が多いと思われます。サイバーエッセンシャルズの適用範囲はウェブサイトではなく、組織の内部のデータやデバイスです。組織のシステム内に保存される「データ」の保護のためには有用です。
一般的な攻撃によりネットワークを通じて侵害されないように設計されていますが、より高度な攻撃に対処するようには設計されていないため、これらの脅威が及ぶ可能性がある組織については、サイバーセキュリティ戦略の一環として追加の措置を実施する必要があります。
サイバーエッセンシャルズの認証を取得するためには、外部委託先(サービスプロバイダ)の協力が必要となる場合があります。ご検討の場合は、外部委託業者様にもお声掛けください。
サイバーエッセンシャルズの認証は二段階となっています。
1,サイバーエッセンシャルズ : オンライン審査
2,サイバーエッセンシャルズ PLUS : 実地審査
日本語での提供は、初期段階のサイバーエッセンシャルズのみとなっており、上位であるサイバーエッセンシャルズPLUSについては実地審査となり、英国の審査員が行います。PLUSについては、日本語での提供予定はありません。
PLUSは、サイバーエッセンシャルズの要求事項に加えて、内部からの脆弱性スキャン及び英国の審査員による実地審査が必要となります。
サイバーエッセンシャルズPLUSの認証が必要な方はこちらのリンクからお申し込みください。https://certeurope01.wpenginepowered.com/cyber-essentials/
サイバーエッセンシャルズの認証取得後、次のステップはISO 27001(情報セキュリティマネジメント)の取得が推奨されます。
クリックしていただくと、申込書がダウンロードできます。