サイバーセキュリティ関連でおすすめできる公開文書や資料をまとめる

主な用途は自分用のメモです。気づいた資料を順次で追加・修正していきます。どんどん新しいレポートがでるため、更新困難になりました。2015年なかごろまでは更新していましたので、その時点までの情報をとして捉えてください。基本フリーか無料のものに限ります。

脅威レポート、定期レポート

数が増えたので別に記事を起こします。各社のサイバーセキュリティ脅威レポート　まとめ

セキュリティ対策技術、ポリシー

• SANS 20 Critical Security Controls
  • 5版（英語）　http://www.sans.org/critical-security-controls
  • 3.1版（日本語）　http://www.sans-japan.jp/resources/20controls.html
• Australian Signals Directorate - Strategies to Mitigate Targeted Cyber Intrusions
  • 防衛基盤整備協会 標的型サイバー侵入に対する軽減戦略ー軽減戦略の詳細
• NIST Special Publication 800-61
• Gartner マジッククアドラントレポート　⇒　検索すべし
• Open Security Architecture
• 情報セキュリティ市場調査報告書
• インターネット白書ARCHIVES
• 生活機器の脅威事例集

なお、セキュリティの技術やスキルをマッピングを自らするのはやめたほうがいい。成功した試しを聞いたことがない。そもそもマッピングというのは、勉強をする時間のない/する気のない幹部向けの作業。同じ時間があれば、新しい技術を勉強する方が100倍有意義な時間。リスト化をするのはギリギリOK。その際に網羅性は求めない方がいい。

人材育成・スキル

数が増えてきたのとメンテナンスの重要性を意識して別の記事を起こします。セキュリティ人材のスキルに関する公開文書・資料・報告書のまとめ

インシデントハンドリング

• CSRITマテリアル
• 情報セキュリティインシデントに関する調査報告書〜個人情報漏えい編〜

国家戦略

• サイバーセキュリティ戦略、重要インフラ行動計画　など

情報セキュリティに関しては、2000年に発生した官公庁HPの連続改竄以降、国が積極的に関与しています。日本国に存在する企業・個人は多かれ少なかれ国の戦略に影響されますので、読んでおいたほうがいいです。

法律・ガイドライン

別にまとめを作成しています。サイバーセキュリティに関する法律・ガイドラインまとめ

企業戦略、リスクマネジメント

• 「企業におけるサイバーリスク管理の実態調査2015」報告書について：IPA 独立行政法人 情報処理推進機構
• 企業における情報セキュリティ実態調査2014特設サイト | NRIセキュアテクノロジーズ株式会社
• 2017 Security 500: Backing the Business’s Reputation

脆弱性検査

• ファジングの手引き
• TCP/IPに係る既知の脆弱性に関する調査報告書
• ISASecure - IEC 62443-4-2 - EDSA Certification (In Japanese)

STIX/TAXII以外の攻撃パターン分類

• WASC THREAT CLASSIFICATION

関連リンク

• 無料で読める情報セキュリティ文書をまとめてみた - ろば電子が詰まっている