何から始めればいいかわからない…🤔 そんな悩みを解決するフレームワークをご紹介します。
はじめに:CIS Controlsってなに?🤔
CIS Controls(シー・アイ・エス・コントロールズ)は、米国の非営利団体CIS (Center for Internet Security) が作成・公開している、サイバーセキュリティ対策の「ベストプラクティス集」です。 たくさんの専門家が、実際に起きているサイバー攻撃を分析して、「これをやっておけば、よくある攻撃を防げる可能性が高いよ!」という具体的な対策をまとめてくれています。
もともとは「SANS Top 20」として2008年に登場し、その後CISに移管され、進化を続けてきました。最新バージョンは「v8.1」です (2024年6月リリース)。 このバージョンでは、クラウド利用の増加やテレワークの普及といった、最近の働き方や技術の変化に対応した内容になっています。
CIS Controlsの特徴 ✨
- 優先順位が明確:やるべき対策に優先順位がつけられているので、どこから手をつければ良いか分かりやすい!リソースが限られていても効率的に進められます。
- 具体的で実践的:「何をすべきか」が具体的に書かれているので、専門家でなくても理解しやすく、行動に移しやすいです。
- 常に最新:サイバー攻撃の手法やIT環境の変化に合わせて、継続的に更新されています。
- どんな組織にもフィット:企業の規模や業種に関わらず、参考にできるように作られています。
- 他の基準とも連携:NIST Cybersecurity Frameworkなど、他の有名なセキュリティ基準とも連携・マッピングされています。
CIS Controls v8.1 の構成:18のコントロールと実装グループ(IG) 🏢
最新のCIS Controls v8.1は、大きく分けて18個の主要な対策項目(コントロール)で構成されています。そして、それぞれのコントロールの中に、合計153個の具体的な対策(セーフガード)が含まれています。
さらに、組織の規模や使えるリソース、セキュリティレベルに応じて、取り組むべき対策の範囲を示す実装グループ (Implementation Groups / IG) という考え方があります。
- IG1 (基本的なサイバーハイジーン):
すべての組織がまず取り組むべき、基本的な防御策(56個のセーフガード)。中小企業や、IT・セキュリティ担当者が限られている組織向け。「必須のサイバー衛生」とも呼ばれます。まずはここから!💪 - IG2 (IG1 + α):
IG1に加えて、より多くの資産を管理し、複数の部門を持つような組織向けの対策。ITインフラ運用やセキュリティ担当部署がある中堅企業などが対象です。 - IG3 (IG1 + IG2 + α):
機密性の高いデータや重要なサービスを扱う、より大規模・複雑な組織向けの対策。専門的なセキュリティチームが必要となる場合が多いです。公的サービス提供企業や規制遵守が求められる大企業などが含まれます。
IG2はIG1の対策を含み、IG3はIG1とIG2のすべての対策を含みます。自社の状況に合わせて、どのIGを目指すか決めることが推奨されています。
18のコントロール一覧
v8.1では、以下の18個のコントロールが定義されています。
| No. | コントロール名 (日本語参考訳) | コントロール名 (英語) |
|---|---|---|
| 1 | 企業資産のインベントリと管理 | Inventory and Control of Enterprise Assets |
| 2 | ソフトウェア資産のインベントリと管理 | Inventory and Control of Software Assets |
| 3 | データ保護 | Data Protection |
| 4 | 企業資産とソフトウェアのセキュアな構成 | Secure Configuration of Enterprise Assets and Software |
| 5 | アカウント管理 | Account Management |
| 6 | アクセス制御管理 | Access Control Management |
| 7 | 継続的な脆弱性管理 | Continuous Vulnerability Management |
| 8 | 監査ログ管理 | Audit Log Management |
| 9 | 電子メールとWebブラウザの保護 | Email and Web Browser Protections |
| 10 | マルウェア防御 | Malware Defenses |
| 11 | データ復旧 | Data Recovery |
| 12 | ネットワークインフラストラクチャ管理 | Network Infrastructure Management |
| 13 | ネットワーク監視と防御 | Network Monitoring and Defense |
| 14 | セキュリティ意識向上とスキルトレーニング | Security Awareness and Skills Training |
| 15 | サービスプロバイダー管理 | Service Provider Management |
| 16 | アプリケーションソフトウェアのセキュリティ | Application Software Security |
| 17 | インシデント対応管理 | Incident Response Management |
| 18 | 侵入テスト (ペネトレーションテスト) | Penetration Testing |
※コントロール名はv8.1に基づいた参考訳です。正式な名称や詳細については、CISの公式サイトをご確認ください。
CIS Controlsを導入するメリット 👍
✅ セキュリティ対策の強化
最もよくある攻撃手法に基づいた対策を行うことで、効果的にサイバーリスクを低減できます。
✅ 対策の明確化と効率化
優先順位がついているため、「何からやるべきか」が明確になり、限られたリソースを有効活用できます。
✅ 現状把握と改善
自社の対策状況を評価(アセスメント)することで、弱点を発見し、改善計画を立てやすくなります。
✅ コンプライアンス対応
PCI DSSやHIPAAなど、他の規制や標準への対応にも役立ちます。
まとめ 🚀
CIS Controlsは、サイバーセキュリティ対策を進める上で非常に役立つ、具体的で実践的なガイドラインです。特に、何から手をつければ良いか分からないという組織にとっては、強力な道しるべとなるでしょう。
まずは自社の状況に合わせて、実装グループ(IG)を選び、基本的な対策(IG1)から始めてみることをお勧めします。CIS Controlsを活用して、サイバー攻撃に負けない、より安全なIT環境を構築していきましょう!😊
コメント