« 帝国データバンク 上場企業の会計監査人異動動向調査( 異動の3社に1社が三大法人から中小・個人に) | Main | Security, time after time 北野さんのブログ・・・ »

2009.08.26

SANS 20 Critical Security Controls - Version 2.1

 こんにちは、丸山満彦です。米国政府のセキュリティの基準にNISTのSP800-53がありますが、それを実現するための重要な20のコントロールを示したもののようですね。。。
 これを自動化するためのツールも募集している?ようですね。。。
 J-SOXでもそうですが、コントロールの自動化は重要なポイントです。人間によるコントロールのほうが柔軟性があり、効果的なコントロールとなる場合も多いですが、人間のコントロールは、ITによる自動化されたコントロールと比べると
 ・ばらつきが大きい
 ・同じ作業をする場合に効率が悪い
というデメリットがあります。
 業務の標準化を行い、その中コントロールを標準化し、標準化したコントロールを自動化していく。最後に人間によるコントロールで押えを行う。というのが、効果的なコントロールの基本設計といえますね。。。
 
 さて、セキュリティの基本的な対策は、
・権限のある人のみが必要最低限の権限を行使できる
 状況を作り出すことです。
 そのためには、情報へのアクセス制御が重要となります。この点からセキュリティ対策を考えていけば自然と必要なセキュリティ対策が見えてくると思います。。。

 
 
■SANS
・2009.08.12 20 Critical Security Controls - Version 2.1
=====
Critical Controls Subject to Automated Collection, Measurement, and Validation:

01. Inventory of Authorized and Unauthorized Devices
02. Inventory of Authorized and Unauthorized Software
03. Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers
04. Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
05. Boundary Defense
06. Maintenance, Monitoring, and Analysis of Security Audit Logs
07. Application Software Security
08. Controlled Use of Administrative Privileges
09. Controlled Access Based on Need to Know
10. Continuous Vulnerability Assessment and Remediation
11. Account Monitoring and Control
12. Malware Defenses
13. Limitation and Control of Network Ports, Protocols, and Services
14. Wireless Device Control
15. Data Loss Prevention

Additional Critical Controls (not directly supported by automated measurement and validation):

16. Secure Network Engineering
17. Penetration Tests and Red Team Exercises
18. Incident Response Capability
19. Data Recovery Capability
20. Security Skills Assessment and Appropriate Training to Fill Gaps
=====

|

« 帝国データバンク 上場企業の会計監査人異動動向調査( 異動の3社に1社が三大法人から中小・個人に) | Main | Security, time after time 北野さんのブログ・・・ »

Comments

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/46032906

Listed below are links to weblogs that reference SANS 20 Critical Security Controls - Version 2.1 :

« 帝国データバンク 上場企業の会計監査人異動動向調査( 異動の3社に1社が三大法人から中小・個人に) | Main | Security, time after time 北野さんのブログ・・・ »