インターネットセキュリティセンター(CIS)は、組織がセキュリティおよびコンプライアンスプログラムを改善できるようにする独自のベンチマークと推奨事項を開発する非営利組織です。 このイニシアチブは、すべての組織で一般的に見られるシステムセキュリティ構成の基本レベルを作成することを目的としています。
センターでは、ITインフラストラクチャを保護するための20の推奨事項を含むCIS Controlsバージョン7情報セキュリティガイドの新しいバージョンを紹介しています。
主な原則
推奨事項の作成は、グローバルITコミュニティのベストプラクティスとPCI、NIST、ISO、HIPAAの方法論の推奨事項を使用して、信頼できる結果を確保するための7つの主要な原則に基づいています。
- 進行中の攻撃、技術開発、およびIT技術要件の分析。
- 認証、暗号化、ホワイトリストアプリケーションに焦点を当てます。
- 他の方法論およびマニュアルとの比較。
- 言葉遣いの改善とチェックの概念の簡素化。
- 情報セキュリティ製品の開発と適用の基礎を確立する。
- より柔軟なアプリケーション(さまざまな組織向けに設計)の形式の変更の導入。
- フィードバックとボランティアとサポーターの推奨の使用。
CISコントロールの説明
重要なセキュリティ管理要素の説明には、ITインフラストラクチャ要素、構成、アクセス権、特権、システムログ、インシデントへの対応とチェックの開始の手段と手段の包括的なチェックが含まれます。
マニュアルの第7版では、要素は現代のサイバー脅威の状況を考慮した3つのカテゴリに分けられています。
ベーシック
このカテゴリには、組織の情報セキュリティを確保するために必要な推奨事項が含まれています。 このカテゴリには、次のアイテムが含まれます。
- 許可および許可されていないデバイスのインベントリ。
- 許可および許可されていないソフトウェアのインベントリ。
- 脆弱性管理ツール。
- 管理特権の使用。
- モバイルデバイス、ラップトップ、ワークステーション、およびサーバーの安全な構成。
- 監査ログの保守、監視、分析。
基本的な
このカテゴリには、高度なサイバーセキュリティテクノロジーの利点と使用を確保するためのベストプラクティスを適用するために必要な推奨事項が含まれます。 このカテゴリには、次のアイテムが含まれます。
- 電子メールとWebブラウザーの保護
- マルウェア保護
- ネットワークポートの制限と制御。
- データを回復する機能。
- ネットワークデバイスの安全な構成。
- 境界保護;
- データ保護;
- アクセス制御;
- アクセス制御無線ネットワーク。
- アカウント制御。
組織的
このカテゴリには、スタッフの意識を高め、レッドチーム/ブルーチームの運用を行うための情報セキュリティの確保に関連する組織プロセスと管理措置に焦点を当てた推奨事項が含まれます。 このカテゴリには、次のアイテムが含まれます。
- スタッフの意識の監視。
- アプリケーションソフトウェア制御;
- インシデント対応;
- 侵入テスト/レッドチーム。
これらの推奨事項により、組織の情報セキュリティを確保する問題を解決するための明確かつ優先的なガイドラインを作成することが可能になり、情報セキュリティポリシーの基礎として使用できます。