社内とプロダクト、両方のセキュリティを統括的にみていくセキュリティチームを最近立ち上げました。

そのセキュリティチームの中で、まずは何をしていくかと議論した結果、CIS Controlsを使ってセキュリティ対策を強化していこうとなりました。¹ www.cisecurity.org

CIS Controlsとはセキュリティ対策のリストです

CIS ControlsとはCISという組織が作ってくれている、セキュリティ対策に関するリストです。これらの対策リストをレベル別に実施することで、ある程度のセキュリティリスクは回避できますよ、というものです。

詳しい説明は以下の記事がわかりやすかったです。

今回CIS Controlsを採用した背景には、自分たちのチームにはセキュリティを専門とするメンバーがいない為、何から手をつけていいか分からない、という状況があります。なのでCIS Controlsのようにある程度まとまったリストを使って、対策を行えるというのは、非常に心強いです。

CIS ControlsのIG1を目指して

CIS ControlsにはIG1やIG2、IG3のように、各項目にレベルが付けられています。その会社の置かれている状況や規模ごとに、ここまでは対策しましょうね、というレベルです。

まずはIG1の項目を全て埋めて行くことになるのですが、これがなかなかに難しい。本当に世の中の会社はこれをちゃんとできているのか？と問いたくなるレベルで難しい項目があったりします。

まぁ現実だと、運用面とセキュリティリスクのバランスを見て、一部例外を設けるなどの対策は施すべきかなとは思ってます。

とはいえ、まずはIG1及び必要な箇所のIG2、IG3を目指して、チームで頑張っていきたいなと考えてます。

セキュリティ対策何すればいいか分からない方は、一度CIS Controlsを参考にしてみるといいと思います。会社によっては合う合わないなどあるかもしれませんが、セキュリティ対策というのは先手でやらないと意味がないので、早めに対応したいものですね。

最近データ分析基盤チームの立ち上げや、今回のセキュリティチームの立ち上げなど、何かとやることが増えてきたへんてこでした。

ちなみに採用チームの立ち上げもおこなったので、そのこともまたいつか書けたらいいな。

最近、セキュリティ、データ分析基盤、採用、プロダクトマネジメントをやってるけど、これらをやる職種って一般的になんて言うんだろう
— へんてこ (@henteko07) 2022年6月24日