Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

トラストプランの概要

トラストプランまたはスコアプランは、ネットワークエンティティのトラストスコアの計算方法を定義します。これは、各要素カテゴリの一連の信頼要素で構成されます。

また、定義

  • 変数カテゴリとレピュテーションカテゴリの各因子の寄与度値で、同じカテゴリの他の因子に対する因子の有意性を表します。

  • 変数カテゴリとレピュテーションカテゴリの寄与係数は、各カテゴリが合計信頼スコアに寄与する割合を定義します。

トラストスコアプランは、以下によってネットワークエンティティに適用されます

  • 計画によって定義された係数と、ネットワーク エンティティのそれらの要素の最新値に基づいて信頼スコアを計算します。

  • トラストスコア結果の生成と永続化。

寄与度値は、トラストスコアプランの信頼係数に関連付けられ、トラストスコアの計算に対する因子の寄与度を定義するために使用されます。貢献度の値がどのように使用されるかは、関連付けられている信頼要素の種類によって異なります。

トラストファクターには、暗黙の最大貢献度と実際の貢献度があります。カテゴリのパーセントスコアは、 (各因子の実際の貢献度の合計/最大貢献度の合計)* 100と決定されます。

全体的な割合スコアは、変数と評判の割合から導き出され、これらのカテゴリの貢献度に従って調整されます。

この初期リリースで提供されるコンプライアンス ベンチマーク ドキュメントは、Center for Internet Security (CIS) によって公開されたドキュメントに基づいています。

CIS統制実施グループ(IG)は、サイバーセキュリティの特性に基づいた部門です。各グループは、同様のリスクプロファイルとリソースを持つ組織が実装を目指すのが妥当であると評価されたサブセットを特定します。これらの IG は、さまざまな種類のビジネスに合わせてカスタマイズされた CIS コントロールの断面を表しています。各IGは、前のIGの上に構築されます。たとえば、IG2 には IG1 が含まれ、IG3 には IG1 と IG2 のすべてのコントロールが含まれます。

CISは、企業がIGから継承することにより、統制の標準化を優先することを推奨しています。企業は、IG1、次にIG2、それ以降のIG3にコントロールを実装する必要があります。IG1に含まれるコントロールは、成功に不可欠です。IG1 のサポートは、サイバーセキュリティ プログラムの一環として最初に行われることの 1 つと見なす必要があります。CISは、IG1を サイバーハイジーン 、つまり一般的な攻撃から防御するために実施する必要がある不可欠な保護と説明しています。

コンプライアンスの場合、IGは、各トラストファクターに対して適切な貢献を割り当てるためのガイダンス、またはベンチマーク文書のルールとして使用されます。

図1:トラストスコア生成プロセス Flow diagram of generating a trust score with components: trust score contributions, factors, plans, trigger, calculation, result, provide values, and source services.

関連資料