シナリオ4：StellarTechは、コネクテッドワールドに革新的なソリューションを提供するテクノロジー企業です。同社のポートフォリオには、画期的なモノのインターネット（IoT）デバイス、高性能ソフトウェアアプリケーション、最先端の通信システムなどが含まれています。絶えず進化するサイバーセキュリティ環境とデジタルレジリエンス確保の必要性に対応するため、StellarTechはNIS2指令の要件に基づくサイバーセキュリティプログラムの策定を決定しました。同社は、これらの要件を確実に実装するために、経験豊富な情報セキュリティマネージャーであるNickを任命しました。Nickは、StellarTechの組織構造を徹底的に分析することから実装プロセスを開始しました。Nickは、StellarTechが専門分野や業務機能に基づいて部門を区分し、明確な役割分担と責任分担を可能にする、明確に定義されたモデルを採用していることに着目しました。
NIS 2指令の要件への準拠を確保するため、ニックと彼のチームは資産管理システムを導入し、資産管理ポリシー、目標設定、そしてそれらの目標を達成するためのプロセスを策定しました。資産管理プロセスの一環として、当社はシステムの範囲内にあるすべての資産を特定、記録、維持管理します。
リスクを効果的に管理するため、同社はリスク管理、リスク評価、リスク対応、リスク受容、リスクコミュニケーション、意識向上とコンサルティング、リスク監視およびレビューの各プロセスを規定する範囲とパラメータの定義を含む構造化アプローチを採用しています。このアプローチにより、過去および現在のサイバーセキュリティ活動に基づいたサイバーセキュリティ対策（教訓や予測指標を含む）を適用することが可能になります。ステラテックの全社的なリスク管理プログラムは、財務リスクと同様に扱う上級管理職が監視する目標と整合しています。予算はリスク状況に応じて編成され、各事業部門はシステムレベルのリスクを強く認識しながら経営ビジョンを実行しています。同社はリアルタイムの情報を共有し、より大規模なエコシステムにおける自社の役割を理解し、リスク理解に積極的に貢献しています。進化する脅威へのステラテックの迅速な対応と、プロアクティブなコミュニケーションの重視は、サイバーセキュリティの卓越性とレジリエンスへの同社の献身を示しています。
先月、当社は包括的なリスク評価を実施しました。このプロセスにおいて、IoTデバイスを標的とした高度なサイバー侵入に関連する潜在的な脅威を特定しました。この脅威は理論的には発生する可能性はあるものの、当社の堅牢なセキュリティ対策、過去のインシデント発生のないこと、そして既存の強力なサイバーセキュリティ対策を鑑み、現実化する可能性は極めて低いと判断されました。
NISTフレームワークの観点から、StellarTechは社内におけるリスク管理対策の実装レベルに基づいてどの実装層に該当しますか？シナリオ4を参照してください。

シナリオ6：Solicure社は、必須医薬品の製造・販売を専門とする大手製薬会社です。厳格な規制と厳しい品質基準が求められる業界で成功を収めているSolicure社は、NIS2指令の要件を遵守するために積極的な対策を講じています。この積極的なアプローチにより、デジタルレジリエンスが強化され、製品提供の継続的な卓越性が確保されています。
昨年、サイバー攻撃によりソリキュアの研究開発業務が中断され、医薬品製剤に関する機密情報の漏洩の可能性が懸念されました。ソリキュアは、サイバーセキュリティチーム主導で直ちに調査を開始し、攻撃者の手口を把握し、被害を評価し、侵害源を迅速に特定するための技術データを収集しました。さらに、侵害を受けたシステムを隔離し、攻撃者をネットワークから排除するための対策を実施しました。さらに、長期的なセキュリティ強化の必要性を認識し、ソリキュアはNIS 2指令の要件に準拠するための包括的なセキュリティ対策を実施しました。これには、サイバーセキュリティリスク管理、サプライチェーンセキュリティ、インシデント対応、危機管理、サイバーセキュリティ危機対応計画などが含まれます。
ソリキュアの危機管理戦略に基づき、最高情報セキュリティ責任者であるサラは、サイバーレジリエンス強化のための包括的な訓練計画策定を主導しました。この計画は、組織の意思決定者が効果的なサイバーセキュリティ脅威軽減に必要な知識とスキルを習得できるよう、適応性と包括性を重視して設計されました。さらに、危機管理計画の有効性を高めるため、ソリキュアは危機対応の構造化を優先するアプローチを採用しました。
Solicureのサイバーセキュリティリスク管理アプローチの重要な側面は、人材のセキュリティに重点を置いていました。医薬品の機密性を考慮し、同社は従業員の経歴を最優先に考慮しました。その結果、Solicureは新入社員に対して、犯罪歴の調査、前職の職務内容の調査、身元照会、採用前薬物検査などを含む厳格な評価プロセスを導入しました。
NIS 2の要件を満たすため、Solicure社は事業継続戦略を業務に組み込みました。救命医薬品および重要なヘルスケア製品のリーディングプロバイダーであるSolicure社は、生産および流通の中断が患者の生命を脅かす可能性のある大きなリスクに直面していました。徹底的な調査と経営管理の専門家との協議を経て、同社は主要拠点の重要な業務を強化するために、セカンダリ拠点を活用することを決定しました。Solicure社は、事業継続管理戦略に加え、災害発生時にITインフラストラクチャを復旧・保護し、医薬品の継続的な供給を確保するための一連の手順を策定しました。
このシナリオに基づいて、次の質問に答えてください。
Solicure は新入社員の評価プロセス中に次のどのスクリーニング レベルを実施しましたか?

シナリオ8：FoodSafe Corporationは、オーストリア・ウィーンに拠点を置く著名な食品製造会社で、風味豊かなスナックから職人技が光るデザートまで、多様な製品の製造を専門としています。同社はNIS2指令の対象となる規制環境で事業を展開しているため、食品製造プロセスの完全性とセキュリティを確保するために、様々なサイバーセキュリティテスト手法を採用しています。
FoodSafe Corporationは、効果的な脆弱性評価プロセスを実施するために、脆弱性評価ツールを活用し、サーバーやワークステーションなどのネットワークホストにおける脆弱性を検出しています。さらに、FoodSafe Corporationは、明確なテスト目標を定義し、検出フェーズにおいて経営陣の承認を得るよう、綿密な取り組みを行っています。この体系的なアプローチにより、明確な目標に基づいた脆弱性評価が実施され、経営陣が積極的に関与し、評価プロセスを支援することで、サイバーセキュリティの卓越性に対する同社のコミットメントが強化されています。
FoodSafe Corporationは、NIS 2指令に準拠し、内部評価に続いてパートナーによる追加監査を実施することで、監査を中核業務に組み入れています。これらの監査の有効性を確保するため、同社は業務分野、手順、およびポリシーを綿密に特定しました。しかし、FoodSafe Corporationは、内部コンプライアンス監査プロセスの一環として、体系的な監査スケジュールを使用していませんでした。FoodSafeの組織図には監査チームの役割が明確に示されていませんが、内部監査プロセスは適切に構成されています。監査人は、確立されたポリシーと手順を熟知し、ワークフローを包括的に理解します。監査人は従業員との議論を深めることで洞察力を高め、重要な詳細を見落としがないようにしています。
その後、FoodSafe Corporationの監査員は、社内で必要な変更と改善を行うための基盤となる包括的な報告書を作成します。また、監査員は、不適合や改善の機会に対応する行動計画のフォローアップも行います。
同社は最近、新製品とサービスを追加することで提供範囲を拡大しましたが、これはサイバーセキュリティプログラムに影響を与えました。そのため、サイバーセキュリティチームはこれらの追加機能を既存のフレームワークに安全に統合し、適応させる必要がありました。FoodSafe Corporationは、製品の品質と運用効率を確保するために、監視および測定プロセスを強化することに尽力しています。その際、同社は対象ユーザーを慎重に検討し、監視および測定結果の報告に適した方法を選択しています。これには、レポートにグラフィック要素を追加し、エンドポイントにラベルを付けるなど、より明確で直感的なデータ表示を提供することで、組織内での意思決定の改善を促進することが含まれます。
シナリオ8によると、内部監査員は不適合や改善の機会に応じて行動計画をフォローアップします。これはベストプラクティスと一致していますか？

サイバーセキュリティ状況認識に関する連邦市民保護メカニズムにおける委員会の役割は何ですか?

次のチームのうち、ルールを確立し、例外を特定し、新たなリスクを検出することで、既存の脅威を継続的に管理しているのはどれですか?