最近、 「Center for Internet Security (CIS)」が「クリティカル セキュリティーコントロール トップ20」の新たな改訂版を発行しました。
元々SANS Institute(サンズ インスティテュート)によって開発されたこれらのコントロールは、組織の大小に関わらず広く利用されてきました。これら一連のコントロールを利用することで、組織はほとんどのサイバー攻撃を防ぐことができます。
前回のリリースでは、最初の6つのコントロールを利用するだけで85%の攻撃を防ぐことができ、20のコントロールすべてを利用すれば、97%超の攻撃を防げることが明らかになりました。
今回のリリースの主な目的の一つは、それぞれのコントロールのワークフローの間で互いに整合性が取れるようにすることです。内容的には既存の規定とほとんど変わらないコントロールにおいても、要件の順位の入れ替えが見られます。各コントロールに、要約バージョンのアセスメント、ベースラインの定義、修復、自動化があります。
さらに、前回の改訂版より文章が整理されました。以前のリリースより、的確な表現が用いられ、さらに理論的な表現になっています。広範囲のプラットフォームと攻撃に対応できるコントロールという観点から、素晴らしい改善点です。
ただ、コントロールをいかに実施するかについては、各組織、及び使用ツールにゆだねられています。そのため組織が単体で対応するのはなかなか困難でもあり、企業は、様々なコントロールの細部にわたってきめ細かなガイダンスを提供できるセキュリティーベンダーに頼る必要があります。
既存のコントロール多くのは従来のままでしたが、要件の重複を排除したり、表現を簡潔化して、整理しなおされています。
トップ6つの基本的なコントロールについては、変更はありませんでした(順序の入替りはあります)。これらのコントロールがほとんどの攻撃をブロックできていると言っても、間違いないでしょう。
これから数週間にわたって、各項目のコントロールをレビューし、要件一つ一つについて自分の考えを述べていきたいと思います。
By Travis Smith