本記事はサイバー・セキュリティに関するニュースを集めた情報サイト 「IoT OT Security News」に掲載されている情報から セキュリティニュースを一部抜粋してご紹介するものです。
記事詳細は下部に記載のURLよりご覧ください。
2021/10/06 StateOfSecurity — サイバー・セキュリティにおける脆弱性管理は、資産を保護するために重要な役割を果たす、従来からのテクノロジーのひとつだ。そして、適切な脆弱性管理プログラムは、一連のデータ漏洩を回避する上で重要な役割を果たしている。CIS (Center for Internet Security) Control 07 は、成功する脆弱性管理プログラムを確立するための、最低限の必要条件を提供していく。
CIS Control 07 の主なポイント
CIS Control 07 の核心は、NIST や MITRE などの組織が提供する、これまでの標準への信頼にある。それは、サイバー・セキュリティの分野にいる者たちが、何年も前から耳にしてきた用語のことでもある。したがって、CVE/CVSS/SCAP/OVAL (Open Vulnerability and Assessment Language) などのキーワードが、このドキュメントの随所に出てくるが、それらが脆弱性管理プログラムの、すべてではないことに注意することも重要だ。この文書では、CVSS のようないくつかのシステムは、追加のデータにより補強されるべきだと述べている。この点が、継続的な脆弱性管理を計画する際に、考慮すべき重要な注意点となる。
CIS Control 07 から得られる最大のメリットは、対象となる脆弱性にパッチが当てられれば、その脆弱性を悪用することが出来なくなるということだ。脆弱性管理プログラムのプロセスが重要であり、継続的なサイクルになる理由である。