管理センターのホームページにあるセキュリティ スコア カードでは、利用可能なセキュリティ機能とベスト プラクティスに関するインサイトが得られるため、システム管理者が組織のセキュリティを評価および改善するのに役立ちます。
USM Content
セキュリティ スコアは、推奨事項と利用可能なセキュリティ機能に基づいて、組織のセキュリティ構成の現在のステータスを反映したものです。スコアが高いほどセキュリティ体制が強固であり、低い場合は改善が必要な領域があることを意味します。
スコアの算出方法
セキュリティ スコアは、組織のセキュリティに対する重要性と影響に基づいて、管理センター内のさまざまなポリシーと設定に加重スコアを割り当てることで決定されます。これらのポリシーと設定は、次の 4 つの主要カテゴリにグループ化されます。
- ID 管理
- アクセス管理
- セキュリティとガバナンス
- 高度なデータ セキュリティ
各カテゴリは包括的なセキュリティ戦略の重要な要素を反映しており、特定の領域を識別してそれに対処し、組織の全体的なセキュリティ構成を強化するのに役立ちます。スコアリングの詳細な内訳は、以下の表でご確認ください。
| 機能 | 説明 | カテゴリ | スコア |
|---|---|---|---|
| シングル サインオン (SSO) または SAML | ユーザー ログインのセキュリティを確保する | ID 管理 | 20 |
| ディレクトリ統合 (Entra ID または Okta) | 会社全体で一貫したアクセス制御を実現する | ID 管理 | 15 |
| 安全な共有 | 外部ユーザーに対してアイテムを安全に共有する | アクセス管理 | 15 |
アイテムをセキュリティで保護し、外部ユーザーに MFA を用いてサインインさせる | アクセス管理 | 10 | |
アイテムをセキュリティで保護し、外部ユーザーに SSO を用いてサインインさせる | アクセス管理 | 5 | |
API アクセス トークンの有効期限を会社のポリシーと一致させる | セキュリティとガバナンス | 10 | |
公開できるアイテムと、それらのアイテムにアクセスできるユーザーについてセキュリティを維持する | セキュリティとガバナンス | 10 | |
自動通知と更新が組織のドメインから送信されるようにして、電子メールの信頼性を高め、迷惑メール フォルダーに分類される電子メールを減らす | セキュリティとガバナンス | 5 | |
セキュリティ承認された制御をユーザーがダッシュボードに組み込めるようにする | セキュリティとガバナンス | 5 | |
シート内の自動化されたワークフローをトリガーおよび受信できるユーザーを制御する | セキュリティとガバナンス | 5 | |
Smartsheet 環境にアップロードできるファイルの種類を管理する | セキュリティとガバナンス | 5 | |
| データ エグレス ポリシー * | アイテムの保存とエクスポートに関するセキュリティを維持する | 高度なデータ セキュリティ | 15 |
| イベント レポート作成 * | Smartsheet 環境でユーザーが実行するアクションを監視する | 高度なデータ セキュリティ | 15 |
コンテンツの有効期限を設定し、保持期間が終了したアイテムを削除する | 高度なデータ セキュリティ | 10 |
* これらのポリシーは Smartsheet Safeguard の一部です。Safeguard がサブスクリプションに含まれていない場合、これらのポリシーはスコアに影響しません。Smartsheet Safeguard の詳細は、担当のアカウント マネージャーにお問い合わせください。
セキュリティ スコアを向上させる
セキュリティ スコアを向上させるには、上の表に記載されている推奨セキュリティ ポリシーを実施してください。これらのポリシーを有効化すると自動的にスコアに寄与し、セキュリティ スコアと組織の全体的なセキュリティ体制が向上します。
優れたスコアとはどのようなものか
「優れた」スコアというものは、組織固有のセキュリティ要件とビジネス ニーズによって異なります。セキュリティ スコアはガイドラインとして機能し、組織のセキュリティ体制を強化するのに役立つセキュリティ ポリシーを示します。ただし、すべてのポリシーがお客様の特定のユース ケースに関連するわけではありません。
目標は、組織のニーズとリスク許容度に合った最高のスコアを達成することです。100% に達することが必ずしも必要というわけではなく、セキュリティ担当者とビジネス関係者が協力して判断を下す必要があります。
ベスト プラクティスと推奨事項
自社で何が許容可能かを把握する
セキュリティ スコアは、管理センターで利用可能なセキュリティ制御を評価するための枠組みを提供します。これは、ユーザー、アイテム、ワークフローの安全性を評価する出発点です。会社のリスク プロファイルと業務の優先順位に基づき、100% に満たないスコアが許容される場合もあります。
どのデータが重要かを評価し、共有の許容範囲を定義する
Smartsheet では、メール アドレスを持つすべての人とアイテムを共有できるため、共同作業が簡素化されます。共有を組織内に制限する場合は、共有セーフ ポリシーを有効化し、承認された共同作業者の許可リストを作成します。
セキュリティをさらに強化するには、アイテムに対して [SSO が設定されたワーク アカウントを要求する] および [MFA を要求する] をアクティブ化します。これらのポリシーにより、外部の共同作業者は、アイテムにアクセスする前に SSO と MFA を使用して Smartsheet にサインインする必要があります。