ちょこちょこ勉強した内容を残しておこう。

以下の本を試し読み中。なかなか実務にも使えそうな体系だった知識が得られそう。 https://www.amazon.co.jp/dp/475710376X/ref=cm_sw_em_r_mt_dp_U_GfSwDb7G152EH

セキュリティフレームワークにつて

組織でセキュリティ要件を満たすためにコントロールフレームワークを採用することになるよ。

セキュリティフレームワークはISO27001やNIST SP 800-53 Revision4 があるけれども いずれにしても次の性質がある。 １．一貫性 ２．測定可能 ３．標準化 ４．包括的 ５．モジュール化

NIST SP 800-53 Revision4 は１９のファミリーと２８５のコントロールで構成される。

個人的に逆に避けた方がいいんだなと解釈したアンチパターン

１．一貫性がなく、特定の手法や声の大きい人によってセキュリティ対策が変わる。 ２．測定ができないためにルールが守られているのか、ルールを策定した有用性もわからない ３．標準化がなされておらず比較ができない。指針がないので差を検知できない ４．包括的範囲が考慮されておらず組織固有の拡張性がない ５．モジュール化されておらず、部分的な変更ができない