この記事について
米国のCenter for Internet Security, Inc. (CIS)が提供する、サイバーセキュリティのための支援ツールやサービス群を小分けにして考察します。
今回のテーマは 「ラインナップの全体像を知る」 です。
この投稿の読者想定
組織のITセキュリティを体系的に強化すべく、CISのスイートを有効活用したいが、それぞれの違いや関係性がよくわからない(投稿者自身を含む)。
1. ラインナップの全体像
CISは多くのツール・サービスを提供していますが、先ずは全体像の把握が必要かと思います。Cybersecurity Tools and Resources の一覧を眺めましょう。
Image source: Center for Internet Security (CIS), "Cybersecurity Tools", licensed under CC BY-NC-SA 4.0.
表中、左端の列がCISの提供するツール・サービス群の名称です。CIS ControlsやCIS Benchmarks辺りはよく耳にするかと思いますが、ファミリーとして相互に依存関係を持つであろう、その他多くのものが提供されています。
2. 三つのニーズを理解する
個々のツール・サービスを追いかける前に、"三つのニーズ"を認識しておきましょう。この三軸において有効、且つアプローチの異なるものが様々に提供されているというわけです。
- Secure your Organization(組織をセキュアにする)
- Secure your Platforms(プラットフォームをセキュアにする)
- Track Specific Threats(特定の脅威を追跡する)
3. アプローチの形態、費用の違いを理解する
ツール・サービスとしてのアプローチ(形態)や費用も様々で、Availabilityの列からそれぞの属性を掴むことができます。文書系、WEBサービス、コンサルティングサービス、無償・有償など、色々あるようですね。
ちなみにリンク先の列名をクリックすると、列の要素に紐づくツール・サービスの絞り込みができます。
今回はライトにここまで。ありがとうございました。