コンプライアンスとフレームワーク
CIS Controls
別称: CIS Top 18, SANS Top 20(旧称)
定義
Center for Internet Security が維持する、最も一般的なサイバー攻撃から組織を守るための優先順位付きベストプラクティス管理策セット。
CIS Controls は、Center for Internet Security(CIS)が発行し、コミュニティによって維持される、優先順位付きサイバーセキュリティ管理策のフレームワークです。現行の v8.1 では 18 のコントロールと、それを細分化した 153 のセーフガード、および組織の規模・リスクに応じてスケールする 3 つの実装グループ(IG1・IG2・IG3)を定義しています。資産インベントリ、セキュアコンフィグレーション、アカウント管理、データ保護、インシデント対応など幅広い領域をカバーします。法的義務ではありませんが、実務的なロードマップとして広く利用されており、NIST CSF・ISO/IEC 27001・PCI DSS などとマッピングされ、複数フレームワーク準拠を効率化できます。
例
- 中小企業が IG1 セーフガードを採用して基礎的なセキュリティ プログラムを構築。
- ベンダーがマーケティング資料で自社製品を特定の CIS セーフガードにマッピング。
関連用語
NIST サイバーセキュリティフレームワーク
米国 NIST が公開した任意のリスクベース フレームワークで、サイバーセキュリティの成果を 6 つのコア機能に整理する。
ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS)の要求事項を定める国際規格で、組織は正式な認証を取得できる。
OWASP Top 10
OWASP Top 10 — definition coming soon.
セキュリティ統制
情報資産への脅威を予防・検知・対応するために用いられる、技術的・管理的・物理的な対策。
コンプライアンス
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。
システムハードニング
不要な機能の削除、設定の引き締め、安全な既定値の強制によりシステムのアタックサーフェスを縮小する取り組み。