NIS 2サイバーセキュリティ指令への準拠

BlueCatのソリューション:統合DDI、保護型DNSソリューション、およびネットワーク可観測性と健全性

Title slide for BlueCat white paper on complying with the NIS 2 cybersecurity directive
主なポイント要点はAIの支援により生成されています。自動生成された要約には、時折誤りがあったり、重要な文脈が抜け落ちたりする場合があるため、完全な情報を得るには、必ずブログ記事の全文をご参照ください。

この記事は、EUのNIS 2指令(第2版)への準拠を支援するために、統合DDI、保護型DNS、およびネットワーク可観測性・健全性管理の組み合わせがどのように有効かを説明します。増大するサイバーリスクと拡大する適用範囲に対応するため、組織はIPアドレスやネームスペースの一元的な可視性、自動化された管理、DNSベースの脅威検知、継続的な監視と復旧能力を整備する必要があると論じています。BlueCatのIntegrity、Edge、Infrastructure Assuranceが提供する機能は、リスク管理、インシデント対応、事業継続性、監査報告といったNIS 2の主要要件に対して具体的な支援を行うとまとめられています。

NIS 2指令の主要な遵守要件とは何ですか?

NIS 2指令は主にリスク管理、コーポレートガバナンス、インシデント報告、事業継続性の4分野に重点を置いています。組織は定期的なリスク評価、セキュリティ方針の策定、インシデントの迅速な通知(24時間以内の初期通知、72時間以内の完全報告、1か月後の最終報告)や復旧計画の整備を義務付けられます。また、サプライチェーンのセキュリティ評価、暗号化や多要素認証の導入、人事セキュリティ、監査ログの保全など10の基本的なセキュリティ対策を実施する必要があります。違反には非金銭的救済、行政罰金、経営陣への刑事制裁が含まれます。

統合DDI、保護型DNS、ネットワーク可観測性は具体的にどのようにNIS 2の要件を満たしますか?

統合DDIはDNS、DHCP、IPAMを単一プラットフォームで可視化・管理し、IPリソースの一元的な可視性、自動化、監査ログを提供してリスク管理とコンプライアンスを支援します。保護型DNSはDNSトラフィックを監視・フィルタリングして悪意あるドメインやコマンド&コントロールへのアクセスを遮断し、脅威検知とインシデント対応の初動を強化します。ネットワーク可観測性と健全性管理は継続的監視、脆弱性検出、冗長性設計、事後の自動診断や復旧手順を提供して事業継続性と迅速なインシデント復旧を支援します。これらを組み合わせることでNIS 2の報告、監査、サプライチェーン評価、運用セキュリティ要件への対応が容易になります。

BlueCatの製品群(Integrity、Edge、Infrastructure Assurance)はどのように役立ちますか?

Integrityは大規模向けの統合DDI管理プラットフォームで、Address ManagerとBDDSを通じてIPアドレスやネームスペースの単一の真実の源を提供し、Cloud Discovery & Visibilityでオンプレミスやマルチクラウド全域を検出・同期します。Edgeは軽量なクラウド管理型ソフトウェアで、Cloud ResolverやDNSファイアウォール、脅威フィード連携によるリアルタイムのブロックとポリシー適用を行い、エッジでの保護と解決を実現します。Infrastructure Assuranceは継続的な可観測性、自動トリアージ、診断と推奨是正手順、バックアップ・高可用性確認で運用健全性と復旧能力を高め、NIS 2のガバナンス、報告、事業継続性要件への準拠を支援します。

エグゼクティブ・サマリー

サイバーセキュリティの脅威やリスクが進化するにつれて、規制環境も変化しています。「NIS 2」と呼ばれる欧州連合(EU)のネットワーク・情報セキュリティ指令の第2版は、2024年10月に加盟各国の国内法に組み込まれる予定の、更新されたサイバーセキュリティ規制の枠組みです。

加盟国が直面するサイバーセキュリティ上の課題や脆弱性の増大に対処するために策定されたNIS 2規制は、多くの組織に影響を及ぼすことになります。NIS 2指令は、欧州連合(EU)の経済および社会にとって不可欠な重要インフラやサービスを提供する中規模から大規模の公的・民間組織に課される要件を定めています。対象となる組織は、「必須(essential)」と「重要(important)」の2つのカテゴリーに分類されます。

以前の指令と比較して、改訂されたNIS 2指令は、サイバーセキュリティリスク管理およびインシデント報告に関する要件を厳格化し、対象となる組織の範囲を拡大するとともに、違反に対する罰則を強化しています。

NIS 2指令は、リスク管理、コーポレートガバナンス、インシデント報告、事業継続性の4つの主要分野にわたる要件を通じて、サイバーセキュリティの強化を目指しています。これら4つの包括的な分野を支援するため、同指令では、組織がリスクを管理するために実施しなければならない10の基盤となるセキュリティ対策を明記しています。 違反に対する罰則には、非金銭的救済措置、行政罰金、および経営陣に対する刑事制裁が含まれます。

NIS 2指令によれば、信頼性が高く、回復力があり、安全なDNSを維持・保全することは、インターネットの完全性を維持するために極めて重要であり、その継続的かつ安定した運用に不可欠です。しかし、ネットワークがますます複雑化し、クラウドへと拡大するにつれ、DNSの「唯一の真実の源」を維持することは、さらに大きな課題となっています。

DNS、DHCP、IPアドレス管理(これらを総称してDDIと呼ぶ)といった中核的なネットワークサービスを管理するための、統合され、自動化され、効率化されたアプローチは、特に保護ソリューションやネットワーク可観測性ツールと組み合わせることで、NIS 2の要件を満たすための堅牢な解決策となります。 これらのソリューションを組み合わせることで、リスク管理、インシデント対応、運用セキュリティ、報告義務など、指令の多くの要件に対応できます。

BlueCatの3つの製品、Integrity、Edge、およびInfrastructure Assuranceは、企業がNIS 2指令の要件に準拠するのに役立つ中核的な機能と特徴を備えています。マッピング表では、BlueCatの製品がNIS 2指令の各条項における具体的な要件への対応にどのように役立つかについて、詳細な説明が記載されています。

BlueCatの統合DDI、保護型DNS、およびネットワーク可観測性と健全性管理ソリューションを活用することで、組織はNIS 2の要件を満たすという義務により容易に対応できるようになります。

NIS 2指令の概要

ネットワーク・情報セキュリティ(NIS)指令は、2016年に欧州連合(EU)で制定された画期的なサイバーセキュリティ規制の枠組みです。

EUは最近、加盟国が直面するサイバーセキュリティ上の課題や脆弱性、特に重要インフラやサービスに関連する問題に対処するため、第2版となる指令(EU)2022/2555(通称NIS 2)を導入しました。 NIS 2は2023年1月に発効し、各加盟国は2024年10月17日までに、この改訂された指令を国内法に組み込む必要があります。

デジタルシステムへの依存度が高まり続けるにつれ、関連するリスクも増大しています。悪意ある攻撃者による悪用リスクや、重要セクターへのサイバー攻撃が社会に及ぼす潜在的な影響を考慮すると、セキュリティ体制の強化が求められます。NIS 2は、調整されたインシデント対応や報告から、サイバーセキュリティの防御体制や実践の強化に至るまで、ネットワークおよび情報セキュリティのあらゆる側面において、基盤を強化し、より強固なものにすることを目指しています。 相互接続性が高まっているということは、組織、国家、地域レベルでネットワークを形成する重要サプライチェーンを信頼し、それに依存できる必要があることも意味します。

Six NIS2 drivers highlighted with icons including threat landscape, sector scope, collaboration, and security measures

NIS 2指令の下、加盟国は以下の体制の構築または改善が求められています:

  • 国家サイバーセキュリティフレームワーク
  • 所管当局
  • 危機管理フレームワーク
  • コンピュータセキュリティインシデント対応チーム
  • 脆弱性データベース
  • 協力
  • リスク評価
  • レポート
  • 認証スキーム

以前の指令と比較して、改訂されたNIS 2指令は、サイバーセキュリティリスク管理およびインシデント報告に関する要件を厳格化し、対象となる組織の範囲を拡大するとともに、違反に対する罰則を強化しています。

NIS 2指令は私の組織にも適用されますか?

NIS 2指令の大部分は、EUの経済および社会にとって不可欠な重要インフラやサービスを提供する中規模から大規模の公的・民間組織に課される責任と要件を規定しています。NIS 2では、対象となるセクターのリストが、元の指令のわずか7つから大幅に拡大されています。 NIS 2では、対象となる事業体は、規模と種類によって定義される「必須(essential)」と「重要(important)」の2つのカテゴリーに分類されます。

不可欠かつ重要なエンティティ

NIS 2 では、重要度の高いセクター(以下の重要度の高いセクターの一覧を参照)で事業を行う大規模組織が「重要事業体」と定義されています。 セクターによって多少の差異はありますが、NIS 2 では一般的に、従業員数が 250 名以上、かつ年間売上高が 5,000 万ユーロ以上、または年間貸借対照表総額が 4,300 万ユーロ以上の組織を「大規模組織」と定義しています。

重要事業体における重要度の高いセクターには、以下が含まれます:

  • エネルギー
  • トランスポート
  • 銀行および金融市場インフラ
  • 健全性
  • 飲料水および廃水
  • デジタルインフラストラクチャ
  • 情報通信技術(ICT)サービス管理(B2Bマネージドサービスプロバイダーおよびマネージドセキュリティサービスプロバイダー)
  • 行政
  • スペース

デジタルインフラストラクチャとは、ネットワーク運用に不可欠なサービスを指します。これには、インターネットエクスチェンジポイント(IXP)プロバイダー、DNSサービスプロバイダー、トップレベルドメイン名レジストリ、クラウドコンピューティングサービス、データセンターサービスプロバイダー、コンテンツ配信ネットワーク(CDN)、トラストサービス、公衆電子通信ネットワーク、および公衆利用可能な電子通信サービスが含まれます。

一方、「重要事業体」とは、少なくとも中規模以上の組織であり、かつ「必須」カテゴリーには該当しないその他の重要セクターで事業を展開している組織を指します。 ここでも、定義はセクターによって若干異なる場合がありますが、中規模の基準は、従業員数が50名以上であり、かつ年間売上高が1,000万ユーロ以上、または貸借対照表の総資産が1,000万ユーロ以上であることです。

その他の重要な組織にとって重要なセクターには、以下が含まれます:

  • 郵便および宅配サービス
  • 廃棄物管理
  • 化学物質の製造、生産、および流通
  • 食品の生産、加工、流通
  • 製造業
  • デジタルプロバイダー(検索エンジン、オンラインマーケットプレイス、ソーシャルネットワーク)
  • 調査

「必須(essential)」カテゴリーの最小規模要件を満たさない重要セクターの組織であっても、依然として「重要(important)」な事業体とみなされる点に留意することが重要です。

ご存知でしたか?

重要事業者は、臨時の監査や予防的な監視といった追加の監督要件の対象となり、違反時にはより高額な罰金が科されます。重要事業者に対する監督は、違反の証拠が確認された場合など、事後対応的なものとなります。

NIS 2における「必須」エンティティと「重要」エンティティ

SectorHeadcountAnnual turnoveroRBalance sheet total
Essential entity Essential entity
  • エネルギー
  • トランスポート
  • 銀行および金融市場インフラ
  • 健全性
  • 飲料水および廃水
  • デジタルインフラストラクチャ
  • ICT service management
  • 行政
  • スペース
250 employees€50 million€43 million
Important entity Important entity
  • 郵便および宅配サービス
  • 廃棄物管理
  • 化学物質の製造、生産、および流通
  • 食品の生産、加工、流通
  • 製造業
  • Digital providers
  • 調査

Plus, all sectors that fall under essential but are within the size threshold for important entities.

50 employees€10 million€10 million

規模にかかわらず適用が義務付けられる

NIS 2は、組織の規模にかかわらず、特定の組織に対して適用が義務付けられています。これには以下が含まれます:

  • 公衆電子通信ネットワークまたは公衆利用可能な電子通信サービスの提供者
  • 信頼できるサービスプロバイダー
  • トップレベルドメイン名レジストリおよびDNSサービスプロバイダー

また、当該事業体が加盟国において、重要な社会的または経済的活動の維持に不可欠なサービスの唯一のプロバイダーである場合、あるいは当該事業体のサービスの停止がシステミックリスクを誘発したり、公共の安全、セキュリティ、または健康に重大な影響を及ぼしたりする場合などには、小規模な組織に対しても適用が義務付けられます。 また、加盟国は、国や地域レベルでの特定の重要性に基づき、ある事業体を重要とみなすこともできます。

管轄権の決定

NIS 2の下では、必須および重要な事業体は、その事業体が設立されている加盟国の管轄下に置かれます。事業体が複数の加盟国でサービスを提供する場合、各加盟国の別個かつ並行する管轄下に置かれます。

しかし、NIS 2は、デジタルエンティティの境界が曖昧な性質も考慮に入れています。公衆電子通信ネットワークまたは公衆利用可能な電子通信サービスは、サービスを提供する加盟国の管轄下に置かれます。

以下の事業体は、主要事業所を置くEU加盟国の管轄下に属します。NIS 2では、主要事業所を「サイバーセキュリティリスク管理措置に関する意思決定が主に下される場所」、「サイバーセキュリティ運用が行われる場所」、または「EU域内に所在する従業員数が最も多い場所」と定義しています。これは以下の事業体に適用されます:

  • DNSサービスプロバイダー
  • トップレベルドメイン名レジストリ
  • ドメイン名登録サービスを提供する事業者
  • クラウドコンピューティングサービスプロバイダー
  • データセンターサービスプロバイダー
  • コンテンツ配信ネットワーク
  • マネージドサービスプロバイダーおよびマネージドセキュリティサービスプロバイダー
  • オンラインマーケットプレイス
  • 検索エンジン
  • ソーシャルネットワーク

サプライチェーンへの適用性

組織のサプライチェーンや、データストレージおよび処理サービスのプロバイダーなどのサプライヤーは、サイバーセキュリティにおいて重要な役割を果たしています。これまで何度も、悪意のある攻撃者がサードパーティの製品やサービスに影響する脆弱性を悪用し、組織のネットワークや情報システムのセキュリティを侵害するサイバー攻撃の被害に組織が遭ってきました。 NIS 2によれば、重要事業体および重要事業者は、調達する製品やサービスの全体的な品質と回復力、それらに組み込まれたサイバーセキュリティリスク管理措置、ならびにサプライヤーやサービスプロバイダーのサイバーセキュリティ慣行(安全な開発手順を含む)を評価・検討しなければなりません。 各組織は、直接のサプライヤーやサービスプロバイダーとの契約に、サイバーセキュリティリスク管理措置を盛り込むことが推奨される。

NIS 2の適用範囲に含まれる事業体の確定

2025年4月17日までに、加盟国は自国内においてNIS 2の適用範囲に該当する「必須」および「重要」な事業体を特定しなければなりません。組織は、自組織がNIS 2の適用範囲に該当するかどうかを判断し、適用範囲内のサービスを提供している加盟国を特定した上で、期限までに登録を行う必要があります。

ご存知でしたか?

対象範囲内の登録事業者は、加盟国の所管当局に基本的な組織情報を提出するほか、割り当てられたIPアドレス範囲の提出も義務付けられます。事業者が何らかの変更を行った場合、2週間以内に当局へその旨を通知しなければなりません。御社のIPアドレス管理ツールはどれほど堅牢であり、ルーティングまたは管理しているすべてのIPアドレス範囲を網羅していますか?

組織としては、NIS 2指令の文言を慎重に精査し、具体的な基準や閾値を理解した上で、自組織が同指令の適用範囲に該当するかどうかを判断することが重要です。

Timeline of NIS2 directive milestones from 2023 enforcement to 2025 essential entities deadline

図1. NIS 2の主要日程

NIS 2指令の主な要件と影響

NIS 2指令は、リスク管理、コーポレートガバナンス、インシデント報告、事業継続性の4つの主要分野にわたる要件を通じて、サイバーセキュリティの強化を目指しています。

サイバーセキュリティを強化するための4つの重点分野

リスク管理

組織は、サイバー脅威を最小限に抑えるために、包括的なリスク管理戦略を実施することが求められています。定期的なリスク評価を実施し、セキュリティポリシーを策定し、システムの完全性、機密性、可用性を保護するための措置を講じなければなりません。また、組織はセキュリティ対策の状況を継続的に監視・記録し、新たな脅威を迅速に特定して対処できるようにする必要があります。

コーポレート・ガバナンス

管理機関は、それぞれの組織におけるサイバーセキュリティリスク管理プロトコルの監督および承認に責任を負います。また、それらが効果的に実施されていることを確保しなければなりません。さらに、管理機関はサイバーセキュリティ研修を受講することが義務付けられており、従業員に対しても同様の研修を提供すべきです。

インシデント報告

対象となる事業者は、重大なインシデントを速やかに関連当局に報告し、インシデントの性質および講じた緩和措置に関する詳細情報を提供しなければなりません。事業者は、サイバーインシデントを把握してから24時間以内に初期通知を、72時間以内に完全な報告書を、そして1か月後に最終報告書を提出しなければなりません。

事業継続性

各組織は、攻撃発生後の混乱を最小限に抑え、事業継続を確保することを目的として、インシデントへの対応および復旧方法を詳細に定めた戦略を策定することが求められています。

事業者が実施しなければならない基本的なセキュリティ対策

これら4つの包括的な分野を支援するため、本指令では、組織がリスクを管理するために実施しなければならない10のベースラインセキュリティ対策を明記しています。それらは以下の通りです:

  1. リスク分析および情報システムのセキュリティに関する方針
  2. インシデント対応
  3. バックアップ管理や災害復旧、危機管理などの事業継続性
  4. サプライチェーンのセキュリティ。これには、各事業体とその直接のサプライヤーやサービスプロバイダーとの関係に関するセキュリティ上の側面も含まれる
  5. ネットワークおよび情報システムの調達、開発、保守におけるセキュリティ(脆弱性の対応および開示を含む)
  6. サイバーセキュリティ・リスク管理措置の有効性を評価するための方針と手順
  7. 基本的なサイバー衛生対策とサイバーセキュリティ研修
  8. 暗号技術の使用、および必要に応じて暗号化に関する方針と手順
  9. 人事セキュリティ、アクセス制御ポリシー、および資産管理
  10. 多要素認証または継続的認証ソリューションの活用、音声・映像・テキスト通信のセキュリティ確保、および組織内における適切な場所での安全な緊急通信システムの導入

非遵守に対する制裁措置

NIS 2指令では、以前のバージョンに比べて、非準拠に対する罰則が大幅に強化されており、非金銭的救済措置、行政罰金、および管理機関に対する刑事制裁などが含まれています。

金銭的でない救済措置

NIS 2は、加盟国の監督当局に対し、コンプライアンス違反の事業体に対して、コンプライアンス命令、拘束力のある指示、セキュリティ監査実施命令、および当該事業体の顧客への脅威通知命令など、金銭的ではない是正措置を課す権限を与えています。

行政罰金

罰金の額は加盟国によって異なりますが、NIS 2指令では、必須および重要な事業体に対する罰金の上限額が定められています。

必須事業体と重要事業体に対する罰金

Fines for essential entitiesFines for important entities
A maximum fine of up to €10,000,000 or 2% of global annual revenue, whichever is higher.A maximum fine of up to €7,000,000 or 1.4% of global annual revenue, whichever is higher.

管理機関に対する刑事制裁

ITおよびセキュリティチームへの負担を軽減するため、NIS 2指令には、サイバーセキュリティインシデント発生後に重大な過失が証明された場合、経営陣に個人的な責任を問うことができる措置が含まれています。 監督当局は、組織に対し、違反事項の公表や、インシデントの責任者を特定する声明の発表を命じることができます。組織が重要事業体である場合、当局は役員に対し、管理職の職務を一時的に停止するよう命じることができます。

DNS:NIS 2下におけるセキュアなネットワークの中核要素

ドメインネームシステム(DNS)は、ネットワーク上のデバイス間での通信を可能にする階層的な命名システムです。最も一般的な用途として、人間が読みやすいドメイン名(bluecatnetworks.comなど)を、コンピュータが理解しやすいインターネットプロトコル(IP)アドレス(104.239.197.100など)に変換します。つまり、一連の数字を覚える必要なく、ウェブサイトに接続できるようにする仕組みです。DNS があれば、ウェブブラウザを開く際に必要なのは、ウェブサイトの名前だけとなります。

NIS 2指令によれば、「信頼性が高く、回復力があり、安全なドメインネームシステム(DNS)を維持・保全することは、インターネットの完全性を維持するための重要な要素であり、デジタル経済や社会が依存するインターネットの継続的かつ安定した運用に不可欠である」とされています。

DNSは、そもそもクエリの意図を疑うためではなく、クエリに正確かつ効率的に応答するために構築されました。その結果、DNSには固有の限界があり、サイバー攻撃の媒介として悪用される可能性があります。 DNS攻撃において、悪意のある攻撃者は、DNSサービスを提供するインフラを侵害しようとするか、あるいはDNSが本来持つ開放的な特性を悪用して、より広範な攻撃を仕掛けます。保護されていないネットワークに対する周到に計画されたDNS攻撃は、組織を機能不全に陥らせる可能性があります。

ネットワークがますます複雑化し、ハイブリッドおよびマルチクラウド環境へと拡大するにつれ、DNSの「単一の真実の源」を維持することは、さらに大きな課題となっています。

DNS、ダイナミックホスト構成プロトコル(DHCP)、およびIPアドレス管理(これらを総称してDDIと呼ぶ)を統合・自動化・効率化した管理アプローチは、特に保護型DNSやネットワーク可観測性ツールと組み合わせることで、NIS 2の要件を満たすための堅牢な解決策となります。

図2. DNS、DHCP、およびIPアドレス管理は、デジタルエンタープライズの核心をなす

統合型DDI

統合型DDIソリューションは、DNS、DHCP、およびIPアドレス管理(IPAM)機能を単一のプラットフォームに統合し、IPリソースとコアネットワークサービスに対する一元的な可視性と制御を提供します。統合型DDIは、以下の機能を提供することでNIS 2の要件をサポートします:

  • ネットワーク可視性の向上:DDI データを一元化・統合して把握することで、ネットワーク資産、その構成、および相互作用に関する包括的な可視性が得られます。これは、脆弱性を特定し、強固なネットワークセキュリティを確保するために不可欠です。
  • 自動化されたネットワーク管理:自動化により、人為的ミスのリスクを低減し、ネームスペース、IPアドレス、および関連サービスの管理効率を向上させ、設定の一貫性と安全性を確保します。
  • コンプライアンスと監査:統合型DDIプラットフォームには、多くの場合、監査およびロギング機能が備わっており、組織がネットワーク構成や変更に関する詳細な記録を維持するのに役立ちます。これにより、文書化、報告、説明責任に関するNIS 2の要件への準拠が容易になります。

保護型DNSソリューション

保護型DNSソリューションは、DNSトラフィックを監視・フィルタリングして悪意のあるクエリをブロックし、有害なサイトや攻撃者のコマンド&コントロールチャネルへのアクセスを防止することで、ネットワークセキュリティを強化します。NIS 2の要件を考慮する際、保護型DNSソリューションは以下の点で役立ちます:

  • 脅威の検知と緩和:DNSセキュリティソリューションには、いわゆる「プロテクティブDNS」と呼ばれる機能が備わっていることが多く、これはDNSクエリを分析し、悪意のあるドメインへの接続を緩和またはブロックするサービスです。既知の悪意のあるドメインやレコードへのアクセスをブロックすることで、プロテクティブDNSはサイバー脅威の早期検知と防止に役立ち、セキュリティインシデントのリスクを低減します。
  • インシデント対応:プロテクティブDNSソリューションは、DNSトラフィックに対する詳細な可視性を提供し、異常や潜在的な脅威の迅速な特定とインシデント対応を可能にします。
  • コンプライアンスと報告:DNSクエリおよびレスポンスのログ記録と監視は、NIS 2への準拠に必要な記録の維持に役立ち、規制当局への報告を円滑にします。

ネットワークの可観測性と健全性

ネットワーク可観測性およびヘルス管理ソリューションは、ネットワークインフラストラクチャの安全性、信頼性、および回復力を確保することに重点を置いています。NIS 2の要件を満たすのに役立つネットワーク可観測性およびヘルス管理機能には、次のようなものがあります:

  • 継続的な監視と評価:これらのツールは、ネットワークの脆弱性やセキュリティポリシーの遵守状況を継続的に監視し、悪用される前に問題を特定して是正するのに役立ちます。
  • 耐障害性と冗長性:ネットワーク可観測性およびヘルス状態監視ソリューションは、適切な冗長性を備えた耐障害性の高いネットワークインフラストラクチャの設計と維持を支援し、インシデントやサービス停止時でも重要なサービスが利用可能な状態を維持します。
  • インシデント対応と復旧:これらのソリューションは、効果的なインシデント対応と復旧のためのツールとプロセスを提供し、運用上またはセキュリティ上のインシデント発生後、組織が迅速に通常の運用を再開できるようにします。

こうしたソリューションや機能は、総合的にNIS 2指令の多くの要素に対応しています。これらは、以下の点において、実践可能かつ実証可能な有用性を提供します:

  • リスク管理:統合型DDI、保護型DNS、およびネットワーク可観測性とヘルス状態管理ソリューションは、可視性の向上、脅威の検出、および自動化された予防を通じて、リスクの特定と軽減を支援します。
  • インシデント対応:これらのソリューションは、サイバーセキュリティインシデントの迅速な検知、対応、報告を行うツールを提供し、効果的なインシデント対応を支援するとともに、復旧までの平均時間(MTTR)を短縮します。
  • 運用セキュリティ:ネットワーク管理の自動化と一元化により、これらのソリューションは一貫性があり、最新かつ安全な設定を保証し、脆弱性を低減して運用セキュリティを強化します。
  • 報告義務:これらのソリューションのログ記録および監査機能は、NIS 2に基づく報告義務の履行を支援し、組織が必要に応じて当局に必要な情報を提供できるようにします。

NIS 2指令の要件を満たすのに役立つBlueCat製品

BlueCatの3つの製品、Integrity、Edge、およびInfrastructure Assuranceは、企業がNIS 2の要件に準拠するのに役立つ中核的な機能と特徴を備えています。

完全性

Integrityは、大企業向けの統合DDI管理プラットフォームです。最も複雑なネットワークインフラストラクチャ全体にわたるDDIの可視性と制御を簡素化・統合します。RESTful APIを基盤とするIntegrityは、DDI管理のあらゆる側面を自動化します。 Integrityは、BlueCat Address ManagerとBlueCat DNS/DHCP Server(BDDS)で構成されています。Address ManagerはIPアドレス管理を実行し、主要なDNSおよびDHCP管理プラットフォーム(クラスターまたは単一ノード)として機能します。 要件、アーキテクチャ、導入規模に応じて、BDDSは単一インスタンスまたはクラスタとして構成され、権威DNSおよび/またはDHCPサービスを選択的に提供します。各コンポーネントは柔軟性が高く、物理環境または仮想環境のいずれにも展開可能です。

Integrityのアプリケーションアドオンである「Cloud Discovery & Visibility」は、オンプレミスおよびマルチクラウド環境の全範囲を検出するとともに、そのデータをAddress Managerにストリーミングし、最新情報を提供します。

エッジ

Edgeは、ネットワーク、セキュリティ、クラウドという3つの主要分野において、標準的なDDIインフラストラクチャにIP転送、検出、解決、およびセキュリティ機能を追加します。Edgeは、ネットワークのエッジに展開されたサービスポイントを通じて高度なDNS機能を提供する、軽量でクラウド管理型のソフトウェアソリューションです。

  • ネットワークにおいて、Edgeはサービスポイントによるインテリジェントな転送機能を活用し、条件を設定してクエリを適切な宛先に誘導します。
  • セキュリティ面において、Edgeは悪意のあるクエリのブロック、ポリシーの適用、最先端の脅威データフィードからのインテリジェンスを提供する高度な脅威対策機能を備えています。
  • クラウド環境において、ネットワークチームは「Cloud Resolver」を活用することで、複雑なクラウド環境全体にわたるDNSクエリを容易に解決できます。

Edgeは、脅威への対処、ネームスペースの競合の解決、および組織のポリシーに基づいたクエリ応答遅延の最適化を行うための、インテリジェントな制御レイヤーを提供します。これらのフレームワークに直接対応することで、Edgeはユーザーがセキュリティおよびコンプライアンス要件を満たすことを支援します。

インフラストラクチャ・アシュアランス

Infrastructure Assuranceは、Integrity、ファイアウォール、ロードバランサーを含むネットワークおよびセキュリティインフラストラクチャに対し、プロアクティブな可観測性、トラブルシューティング、および是正措置を提供します。隠れた問題を特定し、自動診断を実施し、専門家が推奨する是正手順を提案します。

詳細な可視性と自動化により、ネットワークの障害を未然に防ぎ、メンテナンスや高可用性の検証といったタスクを効率化するとともに、ベストプラクティスに基づいて重要なデータを効率的に分析します。主な機能は以下の通りです:

図3. 統合されたDDI、保護型DNS、およびネットワーク可観測性・健全性ツールは、NIS 2の要件を満たすための堅牢な解決策となります。

NIS 2 関連記事と BlueCat 製品の対応表

NIS 2指令は9つの章に分かれており、各章は連番の条項で構成され、加盟国および公的・民間組織に適用される事項を網羅しています。

ChapterTitleArticles
IGeneral Provisions1–6
IICoordinated Cybersecurity Frameworks7–13
IIICooperation at Union and International Level14–19
IVCybersecurity Risk-Management Measures and Reporting Obligations20–25
VJurisdiction and Registration26–28
VIInformation Sharing29–30
VIISupervision and Enforcement31–37
VIIIDelegated and Implementing Acts38–39
IXFinal Provisions40–46

以下の表では、BlueCatの製品がNIS 2指令の各条項に定められた具体的な要件への対応にどのように役立つかについて、詳細に説明しています。

NIS 2 articleBlueCat productHow it helps
Chapter I, Article 3, Essential and Important Entities
4. For the purpose of establishing the list referred to in paragraph 3, Member States shall require the entities referred to in that paragraph to submit at least the following information to the competent authorities: (b) the address and up-to-date contact details, including email addresses, IP ranges and telephone numbers;IntegrityVisibility of full IP footprint and namespaces, including public and private clouds, automated network discovery, and a single source of truth that stretches across all network footprints. Cloud Discovery & Visibility removes the need for manually updating managed ranges.
EdgeEdge’s Cloud Resolver gives full visibility into any cloud changes related to zones, virtual private clouds, or delegations, no matter how much they churn. Changes are automatically synchronized to Integrity’s core IP address management functionality.
Chapter IV, Article 20, Governance
2. Member States shall ensure that the members of the management bodies of essential and important entities are required to follow training, and shall encourage essential and important entities to offer similar training to their employees on a regular basis, in order that they gain sufficient knowledge and skills to enable them to identify risks and assess cybersecurity risk- management practices and their impact on the services provided by the entity.Infrastructure AssuranceContinuous measurement of security, performance, and configuration metrics, cross-referenced with benchmark data defined by internal policies or external standards.
Chapter IV, Article 21, Cybersecurity Risk-Management Measures
Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks posed to the security of network and information systems which those entities use for their operations or for the provision of their services, and to prevent or minimise the impact of incidents on recipients of their services and on other services.IntegrityFull operational management of DDI-related tasks and services across native and hybrid footprints. Cloud discovery and visibility, early detection, and prevention of threats.
EdgeIntelligent and protective DNS that incorporates threat feeds with enumeration and resolution across churning assets or ephemeral entities.
Infrastructure AssuranceAuto-triage and root-level diagnosis of issues—like errors, misconfigurations, vulnerabilities, and downtime—as soon as they occur, with contextual awareness of related issues.
2. (b) incident handlingIntegrityDigital asset lookup (IP prefixes or namespaces, including user-defined fields for arbitrary assets or tags). Forward and reverse resolution, including event enrichment for manual or automated investigation (via APIs plus integrations with security information and event management (SIEM) tools). Blocking and policy enforcement.
EdgeIntelligent DNS, including DNS firewalling, threat feeds for real-time blocking, deep querying for identifying malicious or infected nodes, and protective policy enforcement. DNS forensics and investigation.
Infrastructure AssurancePerforms auto-triage, issues alerts for detected anomalies, and provides recommended remediation steps that IT or security teams can follow to resolve identified issues.
2. (c) business continuity, such as back- up management and disaster recovery, and crisis managementIntegrityApplication layer clustering, crossover high availability pairs, database replication, and, if required, manual system failover.
EdgeCloud-based management service with as many service points as desired for architectural redundancy and resiliency.
Infrastructure AssuranceHealth and capacity checks, external critical services and dependencies checks, high availability readiness, automated configuration backups, and misconfiguration identification.
2. (d) supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providersEdgeProtection against an exploit’s payloads, particularly for command-and-control channels, leveraging threat feeds, block lists, and domain generation algorithm detection.
Infrastructure AssuranceDetection of anomalies and common vulnerabilities and exposures (CVEs) across multi-vendor environments, including auto-triage, reporting, and alerting.
2. (f) policies and procedures to assess the effectiveness of cybersecurity risk-management measuresEdgeReporting on potential distributed denial- of-service attempts and ability to isolate potentially infected user endpoints due to types of DNS queries and related data. These reports and data bolster or highlight the efficacy of other security devices, policies, or procedures.
Infrastructure AssuranceOngoing reporting and alerting on vulnerabilities and related proliferation across security infrastructure. Analysis using Mitre’s CVE database and NIST’s National Vulnerability Database.
2. (h) policies and procedures regarding the use of cryptography and, where appropriate, encryption;EdgeBlock DNS over HTTPS resolvers with threat feeds or custom block lists.
2. (i) human resources security, access control policies and asset managementIntegrityPrimary asset management for IP prefixes and addresses, namespaces, and zones, including role-based access control for managing DDI assets and services.
2. (i) human resources security, access control policies and asset managementIntegrity
Supports single sign-on (SSO) via SAML 2.0 and acts as a service provider for SSO.
Edge
Custom policy enforcement for intelligent DNS resolution based on source IP, site, or content.
2. (j) the use of multi-factor authentication or continuous authentication solutions, secured voice, video and text communications and secured emergency communication systems within the entity, where appropriate.Edge
Supports configuration as a service provider in a SAML 2.0 federation, enabling an SSO user experience.
Chapter IV, Article 23, Reporting Obligations
4. Member States shall ensure that, for the purpose of notification under paragraph 1, the entities concerned submit to the CSIRT or, where applicable, the competent authority
(d) a final report not later than one month after the submission of the incident notification under point (b), including the following:
4. (d) (i) a detailed description of the incident, including its severity and impact;IntegrityProvides the underlying IP, digital asset management, and service logs for incident investigation and event enrichment across multiple systems. Without an IP address management tool and related fresh DNS entries, incident logs lack context and meaning.
EdgeIntelligent DNS with extensive logging and deep querying allows for DNS forensics when rebuilding timelines and actions for digital events across an enterprise (including across private or public clouds).
Infrastructure AssuranceCustomizable dashboard for top 10 alerts to prioritize troubleshooting efforts based on the severity and frequency of identified issues.
4. (d) (ii) the type of threat or root cause that is likely to have triggered the incident;IntegrityProvides core services and the context around netblocks, prefixes, namespaces, zones, and individual resource records to make sense of IPs, hostnames, and services throughout an organization.
EdgeWith historical DNS query and response logging and deep DNS forensics capabilities, incident investigations can look deeper and further into what led to flows and connections being made.
Infrastructure AssurancePerforms observability based on triggers like performance metrics, security flaws, or configuration drift. Once a trigger condition is met, auto-triage follows a root cause analysis workflow to surface related issues and determine the cause(s).
4. (d) (iii) applied and ongoing mitigation measures;IntegrityDetect and block DNS-based threats and mitigate security risks associated with DNS hijacking and cache poisoning, DHCP snooping, and IP address conflicts.
EdgeOngoing and intelligent mitigation delivered via DNS using ongoing threat intelligence feeds, automated blocking, SIEM integrations, policy enforcement, and machine learning (applied to evasion techniques like domain generation algorithms).
Infrastructure AssuranceCodified domain expertise and community-contributed experience are used to auto-triage and recommend remediation steps, mitigating the risk of major outages for detected issues.

今後の見通し

デジタルサービスとその安全な運用は、社会の基盤にとって極めて重要です。しかし、相互依存性が高まるにつれて、リスクも増大します。重要セクターにおける不可欠かつ重要な組織を保護するという私たちの責任を果たすためには、これまで以上に説明責任と協力が求められています。

BlueCatの統合DDI、保護型DNS、およびネットワーク可観測性と健全性管理ソリューションを活用することで、組織はNIS 2の要件を満たすという課題に立ち向かうことができます。

脅威が進化し、規制が複雑化するにつれ、組織はサイバーセキュリティ戦略を継続的に適応させていく必要があります。BlueCatのような高度なソリューションの統合は、セキュリティの維持およびNIS 2や将来の規制への準拠において極めて重要となります。

BlueCatがNIS 2の要件を満たすためにどのように役立つか、詳細をご覧ください。

本書は一般的な概要をまとめたものであり、情報提供のみを目的としており、専門的な助言や「ネットワークおよび情報セキュリティ指令(NIS 2)」の要件に関する詳細な分析に代わるものではありません。 BlueCat製品がNIS 2に関連する広範なコンプライアンス取り組みにどのように貢献できるかについて説明していますが、適用されるすべての法令および規制への準拠を確保する責任は、当社製品のユーザーに帰属します。 当社の製品ドキュメントポータルに掲載されているBlueCat製品の全機能をご確認の上、NIS 2への準拠を含め、ご意図する目的にBlueCat製品が適切かどうかについては、社内外の専門アドバイザーにご相談ください。

DNSを活用してNIS 2への準拠を簡素化する準備はできていますか

統合型DDIと保護型DNSが、NIS 2のサイバーセキュリティ義務を効果的に満たすためにどのように役立つかをご覧ください。

📣  Now live: Explore BlueCat Horizon, our SaaS-first Intelligent NetOps platform.