セキュリティセミナーで「CIS Control」というものを学んだので、まとめてみます。
「どこから何を・・」という場合の考え方の指針と説明するときの支えに使えるかなと思いました。
1.CIS Controlsとは?
・Center for Internet Security(CIS)によって策定されたセキュリティガイドライン。
・サイバー攻撃から組織を守るための具体的な対策を提供。
・情報セキュリティの強化を目指す。
・現在はバージョン8.1が公開されている。
2.特徴
実際のサイバー攻撃のデータに基づいて設計されており、現実的で効果的なセキュリティ対策を提供している。これにより、組織はリソースを効率的に活用し、最も重要なセキュリティリスクに対処することができる。
3.ガイドラインが生まれた背景
米国防総省のセキュリティプロジェクト予算が増大しており、優先順位をつけるために、国家安全保障局がCISやSANSを呼んで、2008年に策定した。
4.対策の分類
| CIS Control | Contents | 日本語 |
|---|---|---|
| 1 | Inventory and Control of Enterprise Assets | 組織の資産の特定と管理 |
| 2 | Inventory and Control of Software Assets | ソフトウェア資産の特定と管理 |
| 3 | Data Protection | 情報持ち出し対策 |
| 4 | Secure Configuration of Enterprise Assets and Software | 組織で利用する機器やサービスのセキュアな構成や設定の維持 |
| 5 | Account Management | アカウント管理 |
| 6 | Access Control Management | アクセスコントロール管理 |
| 7 | Continuous Vulnerability Management | 脆弱性対応 |
| 8 | Audit Log Management | 監査ログの管理 |
| 9 | Email and Web Browser Protections | Eメールとブラウザの保護 |
| 10 | Malware Defenses | マルウェア対策 |
| 11 | Data Recovery | データ復旧 |
| 12 | Network Infrastructure Management | ネットワークインフラの管理 |
| 13 | Network Monitoring and Defense | ネットワークの監視と防御 |
| 14 | Security Awareness and Skills Training | 教育訓練 |
| 15 | Service Provider Management | さ^ビスプロバイダー管理 |
| 16 | Application Software Security | アプリケーション対策 |
| 17 | Incident Response Management | インシデント対応と管理 |
| 18 | Penetration Testing | ぺネスとレーションテスト |
(出典) 『CIS Critical Security Controls® Version 8.1』
5.参考文献