早速、CIS Controlsについて解説していきたいと思います。
かなりがっつりと書かれた文章なので、読み解くのに時間がかかりますね。
ただ、かなり力にはなるので、興味がある方は是非ともこの記事と実際の本文も読んでみてください。
また、内容については個人的な見解も含まれていますので、認識が異なる場合はご教示いただけますと幸いです。
CIS Control 1:ハードウェア資産䛾インベントリとコントロール
このコントロール目的としては以下となっています。
また、このコントロールが重要な理由として以下に纏めますと。
・攻撃者は攻撃対象のIPアドレス帯に対して常にスキャン(調査)を行い、新規システムや保護(管理)されていないシステムがないかを調べている。
・特にノートPCやBYODによって持ち込まれた個人所有のデバイスに関心がある。(それらはセキュリティの更新が行われていない可能性や既に侵害されている可能性があるため)
・攻撃者が既に内部アクセス権を保持していた場合、次の標的や踏み台(ピボットポイント)を物色する。
・これらを防ぐためには、企業ネットワークに接続する追加システム(デモシステム、一時的テストシステム、ゲストネットワークなど)を慎重に管理または隔離する必要がある。
となっています。
また、上記について実際にどのような対応をすればいいのかについて、以下の表が用意されています。
次に上記点を踏まえて個人的な考察を行っていきます。
CIS Control 1の検討(考察)
内容については、一般的なセキュリティの管理でよく聞く内容かと思います。(出来ているか否かはここでは考えていません。)
「アクセスする端末は管理しましょう」であったり、「端末の情報を常に最新にするようにしましょう」等。
ただ、個人的に気になる内容としては「ツールを使用して」というところが気になる点です。
特にアクティブな資産管理ツールを使用する等はある程度の予算を出してツールなりを購入しないといけないのではないでしょうか?(フリーでいいのがあればマジで教えてください。)
大手企業や潤沢な資金がある組織であれば導入を検討できると思いますが、小規模な組織(例えば10人以下等)ではそのツールは導入できるのでしょうか。少し疑問に残ります。
運用コストもかかりますし、ある程度稼働もかかるでしょう。
逆に少人数の社員全員に対し目が届く組織については、NWにアクセスする端末の管理はエクセル等のファイルで持っていた方が稼働やコストの上でも優秀だったりするのではないかなと。。。
※ITやセキュリティに強い人が多い組織ばかりではないので
商用のツールを使用すればいい結果はもちろん出ると思いますが、組織の売り上げを考えた内容にしなければ経営自体が上手くいかなくなる可能性があります。
※売上げ2000万の組織で1000万のツールは導入しませんよね・・・
もちろんだからといって何もしないのは全然ダメです。
各組織のリソースや予算、人数に合った良い方法を考えることが非常に重要です。
そういえばCISA等の試験ではこういった内容の問題も出てたな~と思いだしました。
自組織の状態を鑑みて対応方法をそれぞれ検討する必要がありますね。
一度皆様の所属している組織の状態を確認してみては如何でしょうか。
アクセス許可リストや資産の棚卸をするだけで、かなり現状が分かるかと思います。(もしかしたらコストダウンもできるかも!)
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント