① 脆弱端点の削減(Attack Surface)
-
資産台帳を自動化し、未管理端末はNAC/MDMで遮断(“未管理=0”をKPI)。
-
外部公開RDP/SMB/SSHはゼロ。どうしても必要ならVPN+フィッシング耐性MFA(パスキー/AAL2)を必須化。NIST
-
高危険パッチSLA:重大7日以内、ゼロデイは24時間以内。
-
ローカル管理者権限を廃止、PAMでRMM/特権ツールを保護(最近RMM特権狙いのフィッシング増加)。ITmedia
② 東西トラフィック検査(Detect/Inspect)
-
データセンター/仮想基盤にNDRセンサー(SPAN/TAP)、DNS/HTTP/SMB/TLSの可視化。
-
重要ゾーンはマイクロセグメント化し、横移動の振る舞い検知を有効化。
-
CISAのStopRansomware推奨に沿って多層のDefense-in-Depthで監視点を増やす。CISA
③ 侵入後検知と隔離(Respond/Block)
-
EDR/XDR⇄NDR⇄NGFWを連携し、自動隔離/IOC封止をプレイブック化(初動5分以内に端点隔離)。CISA
-
サービスアカウント異常・ハニートークンで“正当アカウント悪用”を検知。
-
3-2-1-1-0バックアップ(オフライン/Immutable含む)+四半期ごとの復旧演習。NISTのランサムウェアRMで“計画の定期テスト”を要求。NIST Publications
運用KPI(最短で追う数値)
-
外部公開RDP=0、未管理端末=0、重大パッチ7日内適用率≥95%、EDRカバレッジ≥98%。
-
復旧RTO:1週間以内を目標(2025年調査で“1週間以内復旧”が半数超)。Cyber Security Asean
参考(記事の数値と最新アップデート)
-
ITmedia資料は「被害企業≈59%/復旧平均$2.73M/復旧1カ月超34%」を紹介(2024年版データに基づく)。ホワイトペーパー ダウンロードセンター+1
-
2025年版Sophosでは復旧平均は**$1.53Mへ低下、身代金支払いは49%**。改善傾向だが依然高コスト。Sophos News
