1年2か月ぶりの投稿となりました。柊です。
あまりに仕事が忙しく、体力も気力もなくなってました…。
さて、相変わらずセキュリティやってます。
プライベートで勉強がてら「20 Critical Security Controls for Effective Cyber Defense」(以下、CSC)のv5.0の和訳をしていたので、CSCについてちょっと書いてみます。
CSCは、「SANS Institute」という、アメリカのワシントンD.C.に本部がある情報セキュリティの研究・教育機関が中心となって作成しているドキュメントです。
そのドキュメントには、これまでに確認されたサイバー攻撃や近い将来に発生するであろうサイバー攻撃に対して有効な、20のセキュリティ対策が記載されています。
正確には「20の分野の」といった方が良いかもしれませんね。v5.0では、小項目は182項目あります。
日本語版は、NRIセキュアテクノロジーズさんが作成されたv3.1のものがSANSのサイトで公開されているのですが、v5.0のものはまだ公開されていないです。そんなわけでセキュリティと英語の勉強を兼ねて、各小項目の和訳をしていたわけです。(英語でそのまま理解できるようになりたいです…)
各項目には「カテゴリ」という情報が付いていて、
①クイックウィン(適用が比較的容易で大きな効果がある対策)
②可視化/特定(攻撃の検知や特定をするための対策)
③構成/予防措置(攻撃を受けるリスクや被害範囲を小さくするための対策)
④高度(技術、コスト、人員などの理由から他に比べて適用が難しい対策)
の4カテゴリがあります。
普段、あまりこういった基準に触れる機会がないので、新鮮でした。CSCを使ってセキュリティ対策状況の評価とか改善とか、やってみたいですね。
■参考リンク
SANS - 20 Critical Security Controls(英語)
http://www.sans.org/critical-security-controls/
SANS Japan - 20 Critical Security Controls v3.1(日本語)
http://www.sans-japan.jp/resources/20controls.html
NRIセキュアテクノロジーズ - いま実施すべき20のサイバーセキュリティ対策
http://gartner-em.jp/srm2014/report/pdf/JSI14_SS1A_NRI-DL.pdf