★☆★JNSAメールマガジン 第228号 2022.1.14☆★☆
2022/01/14 (Fri) 16:00
★☆★JNSAメールマガジン 第228号 2022.1.14☆★☆
こんにちは
JNSAメールマガジン 第228号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
株式会社ラック エンタープライズ事業部インフラソリューションサービス部
岡田享様にご寄稿いただきました。
【連載リレーコラム】
CIS Controls v8日本語訳から見たサイバーハイジーンの実践
株式会社ラック エンタープライズ事業部インフラソリューションサービス部
岡田享
米国CIS(Center for Internet Security)が発行しているCIS Controls(コ
ントロール)は、あらゆる規模の組織が活用できる、サイバーセキュリティ対
策の具体的なガイドラインです。IT環境の変化や攻撃の高度化に伴い、クラウ
ドコンピューティング・モビリティ・アウトソース(サプライチェーンリス
ク)・テレワーク・新しい攻撃手法への対応を加えたバージョン8が2021年5月
18日にリリースされました。
ラックでは、このCIS Controlsバージョン8を日本語に翻訳しました。
CIS Controlsのバージョン8(日本語版)は、米国CISのWebサイトからダウン
ロードできます。
CIS Controls Version 8(日本語版)のダウンロード
https://learn.cisecurity.org/cis-controls-download
セキュリティ対策、どこまでやる?CIS Controls v8日本語訳をリリース
https://www.lac.co.jp/lacwatch/people/20211025_002766.html
CIS Controlsは「18のコントロール」と「153の具体的なセーフガード(保護
手段)」で構成されています。ITの複雑化と攻撃手法の高度化に伴い、セキュ
リティソリューションも複雑化しています。
●18のコントロール
01 組織の資産のインベントリと管理
02 ソフトウェア資産のインベントリと管理
03 データ保護
04 組織の資産とソフトウェアの安全な構成
05 アカウント管理
06 アクセス制御管理
07 継続的な脆弱性管理
08 監査ログ管理
09 電子メールとWebブラウザの保護
10 マルウェアの防御
11 データ復旧
12 ネットワークインフラストラクチャ管理
13 ネットワークの監視と防御
14 セキュリティ意識向上スキルのトレーニング
15 サービスプロバイダーの管理
16 アプリケーションソフトウェアのセキュリティ
17 インシデントレスポンスと管理
18 ペネトレーションテスト
コントロール1 組織の資産のインベントリと管理
コントロール2 ソフトウェアのインベントリと管理
この2つは過去のバージョンから不動の2トップで、見えないものは守れない、
つまり可視化が重要と考えます。
コントロール3 データ保護
データの保存場所がオンプレミスからクラウド環境やSaaSと広がってきたこと
を受けて、アクセス制御の設定、暗号化・盗難防止策などを取り組むことが重
視されています。
コントロール15サービスプロバイダーの管理
新規のコントロールでありクラウドや外部サービスの利用が増加していること
から保護することが重要です。
153のセーフガード(保護手段)すべてを実装できることが理想ですが、あら
ゆる規模の組織が適切な優先順位でセキュリティ対策を実施できるよう、対象
となる企業を3つのグループ(IG)に分けています。
IG1(Implementation Group:実装グループ)は、IT資産や人員を保護するた
めのITおよびサイバーセキュリティのリソースが限られている中小企業です。
IG2は、システムが取り扱うデータの機密性やサービスのクリティカル度はIG1
に属する企業群より高くなり、自社内にITインフラの運用管理とITセキュリテ
ィを担当する部署を持つ大企業が該当します。
IG3は、データの機密性やサービスのクリティカル度は非常に高くなり、高度
なセキュリティ専門部門が必要となります。IG3は公的サービスを提供する企
業や業界規制遵守が求められる企業が該当します。
153あるセーフガード(保護手段)のポイント
1.規則、ルール作成がはじめの一歩
自社のセキュリティに対する方針・考え方を定めることが求められています。
2.技術的な保護手段はツールによる自動化がポイント
CIS Controlsにおける自動化は組織の資産を漏れなく把握することに主眼がお
かれています。
例えば、ハードウェア、ソフトウェアといった資産・構成情報の管理はツール
による自動化することが正確かつ新しい情報を維持することを推奨します。
3.モニタリング、ログ監視を実施すること
一度仕組みを入れたら安全ということではなく、監視することで仕組みが機能
していること、異常な動きがないことを確認することを求めています。
最後に、CISコントロールが有効に機能するかについて、実際の企業における
脅威や侵害のデータとMITRE ATT&CKの攻撃パターンを照らし合わせたCISによ
る分析によると、上位5種の攻撃に対してIG1つまりハイジーンと呼ぶ対応を実
施することで、70%以上の方が有効であると回答されました。これはCISを元に
した保護手段の実装が効果的であることを示しています。
出典:
https://insidecybersecurity.com/sites/insidecybersecurity.com/files/documents/2021/sep/cs2021_0177.pdf
すでにCIS Controlsをご利用の企業はバージョン8を元にした再点検を、これ
からご利用する企業はハイジーンの第一歩を踏み出してください。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://docs.google.com/forms/d/e/1FAIpQLSeG4doCP_Pu0kHVaJAwMjsMQNqCEceGLQULdBE7ABPEjmo7-A/viewform?entry.2051377352=%E7%AC%AC228%E5%8F%B7
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★日本セキュリティオペレーション事業者協議会(ISOG-J)
「GraphQL脆弱性診断ガイドライン」が公開されました。
https://isog-j.org/output/2021/graphqlguideline.html
★【メディア・会員限定】1月19日(水)社会活動部会主催 記者懇談会
テーマ:「log4shellは何故こんなに騒がれたのか?」
記者の方を対象にした懇談会です。会員企業の皆様もご参加いただけます。
★【会員限定】1月21日(金)社会活動部会主催 勉強会
テーマ:「オーストラリアのサイバーセキュリティ / ガイドラインとその背景」
講師:オーストラリア大使館主席商務官 坂治彦氏 他
・記者懇談会・勉強会ご参加希望の方はJNSA事務局まで。
【事務局からのお知らせ】
★「Network Security Forum」NSF2022
2022年3月8日、9日、10日に開催決定!!プログラム発表お待ちください。
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第228号
発信日:2022年1月14日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第228号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
株式会社ラック エンタープライズ事業部インフラソリューションサービス部
岡田享様にご寄稿いただきました。
【連載リレーコラム】
CIS Controls v8日本語訳から見たサイバーハイジーンの実践
株式会社ラック エンタープライズ事業部インフラソリューションサービス部
岡田享
米国CIS(Center for Internet Security)が発行しているCIS Controls(コ
ントロール)は、あらゆる規模の組織が活用できる、サイバーセキュリティ対
策の具体的なガイドラインです。IT環境の変化や攻撃の高度化に伴い、クラウ
ドコンピューティング・モビリティ・アウトソース(サプライチェーンリス
ク)・テレワーク・新しい攻撃手法への対応を加えたバージョン8が2021年5月
18日にリリースされました。
ラックでは、このCIS Controlsバージョン8を日本語に翻訳しました。
CIS Controlsのバージョン8(日本語版)は、米国CISのWebサイトからダウン
ロードできます。
CIS Controls Version 8(日本語版)のダウンロード
https://learn.cisecurity.org/cis-controls-download
セキュリティ対策、どこまでやる?CIS Controls v8日本語訳をリリース
https://www.lac.co.jp/lacwatch/people/20211025_002766.html
CIS Controlsは「18のコントロール」と「153の具体的なセーフガード(保護
手段)」で構成されています。ITの複雑化と攻撃手法の高度化に伴い、セキュ
リティソリューションも複雑化しています。
●18のコントロール
01 組織の資産のインベントリと管理
02 ソフトウェア資産のインベントリと管理
03 データ保護
04 組織の資産とソフトウェアの安全な構成
05 アカウント管理
06 アクセス制御管理
07 継続的な脆弱性管理
08 監査ログ管理
09 電子メールとWebブラウザの保護
10 マルウェアの防御
11 データ復旧
12 ネットワークインフラストラクチャ管理
13 ネットワークの監視と防御
14 セキュリティ意識向上スキルのトレーニング
15 サービスプロバイダーの管理
16 アプリケーションソフトウェアのセキュリティ
17 インシデントレスポンスと管理
18 ペネトレーションテスト
コントロール1 組織の資産のインベントリと管理
コントロール2 ソフトウェアのインベントリと管理
この2つは過去のバージョンから不動の2トップで、見えないものは守れない、
つまり可視化が重要と考えます。
コントロール3 データ保護
データの保存場所がオンプレミスからクラウド環境やSaaSと広がってきたこと
を受けて、アクセス制御の設定、暗号化・盗難防止策などを取り組むことが重
視されています。
コントロール15サービスプロバイダーの管理
新規のコントロールでありクラウドや外部サービスの利用が増加していること
から保護することが重要です。
153のセーフガード(保護手段)すべてを実装できることが理想ですが、あら
ゆる規模の組織が適切な優先順位でセキュリティ対策を実施できるよう、対象
となる企業を3つのグループ(IG)に分けています。
IG1(Implementation Group:実装グループ)は、IT資産や人員を保護するた
めのITおよびサイバーセキュリティのリソースが限られている中小企業です。
IG2は、システムが取り扱うデータの機密性やサービスのクリティカル度はIG1
に属する企業群より高くなり、自社内にITインフラの運用管理とITセキュリテ
ィを担当する部署を持つ大企業が該当します。
IG3は、データの機密性やサービスのクリティカル度は非常に高くなり、高度
なセキュリティ専門部門が必要となります。IG3は公的サービスを提供する企
業や業界規制遵守が求められる企業が該当します。
153あるセーフガード(保護手段)のポイント
1.規則、ルール作成がはじめの一歩
自社のセキュリティに対する方針・考え方を定めることが求められています。
2.技術的な保護手段はツールによる自動化がポイント
CIS Controlsにおける自動化は組織の資産を漏れなく把握することに主眼がお
かれています。
例えば、ハードウェア、ソフトウェアといった資産・構成情報の管理はツール
による自動化することが正確かつ新しい情報を維持することを推奨します。
3.モニタリング、ログ監視を実施すること
一度仕組みを入れたら安全ということではなく、監視することで仕組みが機能
していること、異常な動きがないことを確認することを求めています。
最後に、CISコントロールが有効に機能するかについて、実際の企業における
脅威や侵害のデータとMITRE ATT&CKの攻撃パターンを照らし合わせたCISによ
る分析によると、上位5種の攻撃に対してIG1つまりハイジーンと呼ぶ対応を実
施することで、70%以上の方が有効であると回答されました。これはCISを元に
した保護手段の実装が効果的であることを示しています。
出典:
https://insidecybersecurity.com/sites/insidecybersecurity.com/files/documents/2021/sep/cs2021_0177.pdf
すでにCIS Controlsをご利用の企業はバージョン8を元にした再点検を、これ
からご利用する企業はハイジーンの第一歩を踏み出してください。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://docs.google.com/forms/d/e/1FAIpQLSeG4doCP_Pu0kHVaJAwMjsMQNqCEceGLQULdBE7ABPEjmo7-A/viewform?entry.2051377352=%E7%AC%AC228%E5%8F%B7
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★日本セキュリティオペレーション事業者協議会(ISOG-J)
「GraphQL脆弱性診断ガイドライン」が公開されました。
https://isog-j.org/output/2021/graphqlguideline.html
★【メディア・会員限定】1月19日(水)社会活動部会主催 記者懇談会
テーマ:「log4shellは何故こんなに騒がれたのか?」
記者の方を対象にした懇談会です。会員企業の皆様もご参加いただけます。
★【会員限定】1月21日(金)社会活動部会主催 勉強会
テーマ:「オーストラリアのサイバーセキュリティ / ガイドラインとその背景」
講師:オーストラリア大使館主席商務官 坂治彦氏 他
・記者懇談会・勉強会ご参加希望の方はJNSA事務局まで。
【事務局からのお知らせ】
★「Network Security Forum」NSF2022
2022年3月8日、9日、10日に開催決定!!プログラム発表お待ちください。
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <http://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第228号
発信日:2022年1月14日
発 行:JNSA事務局 sec@jnsa.org
*************************************