こんにちは。柊です。
突然ですが、先日紹介したCritical Security Controls for Effective Cyber Defense(CSC)のバージョン5.0について、簡単に説明するシリーズを開始してみます。
いつまで続くかわかりませんが、興味ある方はお付き合いください。
記載内容に間違い等があっても責任は取れませんので、ぜひ原典に当たってくださいね!
※公開後も、適宜内容をアップデートしたいと思っています。
構成としては、まずコントロール(大項目)を説明します。これだけで1記事にします。
そして、そのあとサブコントロール(小項目)を説明します。各サブコントロールが1記事なので、1記事あたりの分量は少なくなると思います。
では、CSC 1から行ってみましょう!
■コントロールについて
・CSC 1: Inventory of Authorized and Unauthorized Devices
■サブコントロールについて
・クイックウィン:3 CSC1-1 、CSC1-2 、CSC1-3
・可視化/特定:1 CSC1-4
・高度:1 CSC1-7
■柊のコメント
まず最初のコントロールは、組織ネットワーク上の機器管理ですね。これは、許可された機器だけが組織の資産にアクセスするために実施が必要とされています。
「inventory(インベントリ)」という単語には、「目録」や「棚卸し」といった意味がありますね。
組織ネットワークに持ち込まれたパッチ未適用のノートPCや、デモンストレーション用のシステム、一時的なテスト用システム、ゲスト用ネットワーク、BYODなどにも気をつける必要があると書かれています。
BYOD(bring your own device)については、単純に私物機器を組織ネットワークに直接つなげている企業などはほとんどなく、暗号化や仮想化されたアプリを利用して組織ネットワークにアクセスしているケースが多いのではないかと思います。そういった場合は、機器の管理というよりもアカウントの管理が重要になりますね。
なお、アカウントの管理については、CSC 12やCSC 16に記載されています。
■出典
SANS - 20 Critical Security Controls(英語)
http://www.sans.org/critical-security-controls/
SANS Japan - 20 Critical Security Controls v3.1(日本語)