Critical Security Controls

「Critical Security Controls ver.5.1」の日本語翻訳版を米国CISのWebサイトにて公開しています。

米国CIS(Center For Internet Security)のサイトにて、NRIセキュアテクノロジーズの翻訳による「The Critical Security Controls」の翻訳版を公開しています。

長年にわたり、多くのセキュリティ基準や要件のフレームワークが、システムと重要データへのリスクに対処するために開発されてきました。しかし、それらの努力のほとんどは、コンプライアンス事項に関する報告に多くの時間を費やすもので、常に進化する攻撃に対して実効的な対策になっているとは言い難いものでした。これが2008年に、国家安全保障局(NSA)によって重要な課題であると認識され、実際の脅威に対するセキュリティの向上に大きな影響力を与えるであろうコントロールを順位付けするために、「攻撃とその防御対策」を結びつけるアプローチによる取組みを開始しました。その後、SANS Instituteのコーディネーションの下に、政府機関、民間企業から数多くの専門家が参加し、この取組みはコンソーシアムとして急速に成長していきました。こうしてまとめられた推奨コントロールは、2013年にその管理と維持をグローバルな非営利団体である「Council on CyberSecurity(the Council)」に移管されています。

Critical Security Controlsは、情報セキュリティ対策とコントロールの優先付けされたベースラインを示したコンセンサスドキュメントです。APTなどの高度な攻撃を含めて現在までに認識されている攻撃と、近い将来に発生が懸念される攻撃を阻む上で、有効であると考えられる技術的なセキュリティコントロールに焦点をあてています。
各コントロールで定義されたアクションは、米国立標準技術研究所(NIST)のSP800-53で総合的に定義されている事項のサブセットで、大統領令(Executive Order)13636に対応した「サイバーセキュリティフレームワーク」を含むNISTの取組みに代わるものではありません。あくまで「最初に最低限行わなければならない」ことに注力し、シンプルにすることを理念として作成されています。
上位のコントロールを実践することによって、情報セキュリティにかけるコストを大幅に削減でき、効果が目に見えて改善されるでしょう。
ぜひご活用ください。

 

ページトップへ▲