CSC(Critical Security Control)の動向
当分は、CIS(The Center for Internet Security)のCSC(Critical Security Control)を解説していきます。
本コントロールが何であるかは、他のサイトでもきちんと書かれているため、本ブログでは当面省略します。(気が向けば触れたいと思います)
セキュリティコンサルタントとして仕事をしていく中で最近感じていることですが、日本クライアントの要求として、ISO27001やNIST SP800-53といった幅広い領域をカバー可能なルールを全般的に行い、その上で、攻撃者目線の(リスクの高い順の)CSCを別途取り込んでいくことが増えております。
そこで、業務知識としてCSCを学ぶ上で、1コントロールずつきちんと解説されている日本語サイトを探したところ、手頃なサイトが見つからなかったため、忘備録を兼ねて、整理していこうと思います。
次回からは、CSC1「ハードウェアのインベントリ管理」を解説していきます。
以下のリンクからCIS CSCの最新情報を取得することができます。(英語)
https://www.cisecurity.org/critical‐controls.cfm
日本語訳についてはNRI Secure様が行ってくださっております。
https://www.cisecurity.org/wp-content/uploads/2017/03/CIS-CSC_v6.1_Japanese_Final_r1.pdf
また、本ブログは以下のライセンス条項を遵守いたします。