Slice

Cheese

お問い合わせ

Slice

Cheese

お問い合わせ

ブログ一覧

/

CIS Controls v8 入門編

CIS Controls v8 入門編

2024/11/27

CIS
CIS

CIS Controls Version 8は、2021年に発表された最新のサイバーセキュリティ対策フレームワークで、クラウドコンピューティングやリモートワークなど現代のIT環境に対応した18の重要なセキュリティコントロールを提供しています。Center for Internet Security (CIS)が管理するこのフレームワークは、組織の規模に応じた実装グループを設定し、優先順位付けされたセキュリティ対策を実施するためのガイドラインを提供しています。


CIS Controls 8 とは?

CIS Controls Version 8は、Center for Internet Security (CIS)が開発したサイバーセキュリティフレームワークです。2021年に発表されたこのバージョンは、現代のIT環境に対応するよう設計され、18の重要なセキュリティコントロールと153の具体的なセーフガードを提供しています。

主な特徴:

  • クラウドコンピューティングやリモートワークなど、最新のテクノロジートレンドに対応

  • 組織の規模や特性に応じた3つの実装グループ(IG1、IG2、IG3)を定義

  • タスクベースのアプローチを採用し、誰が実行しても一貫した結果が得られるよう設計3

  • NISTサイバーセキュリティフレームワーク(CSF)2.0との整合性を強化

  • 「ガバナンス」機能の追加により、組織全体のセキュリティ管理を改善


ビジネス環境におけるCIS Controls 8の必要性

  • リスク軽減の効果:

    IG1の基本的な56のセーフガードを実装するだけで、主要なサイバーセキュリティリスクの70%以上を回避できるとされています。これは、限られたリソースでも効果的なセキュリティ対策が可能であることを示しています。

  • コスト効率の高い対策:

    優先順位付けされた対策により、組織は最も重要な脅威に集中してリソースを配分できます。これにより、セキュリティ投資の効率が向上し、コスト削減につながります。

  • コンプライアンス対応の支援:

    NISTサイバーセキュリティフレームワーク(CSF)2.0など、他の業界標準との整合性が強化されています。これにより、規制要件への対応が容易になり、法的リスクを軽減できます。

  • 最新の脅威への対応:
    クラウド、リモートワーク、IoTなど、最新のIT環境に対応した対策が含まれており、進化するサイバー脅威に効果的に対処できます。


18のセキュリティコントロール

CIS Controls Version 8では、組織のサイバーセキュリティを強化するための18の重要なセキュリティコントロールが定義されています。

18のセキュリティコントロール:

  1. インベントリと制御(エンタープライズ資産): 組織のすべてのデバイスを把握し、管理します

  2. インベントリと制御(ソフトウェア資産): 承認されたソフトウェアのみを使用し、不正なソフトウェアを防ぎます

  3. データ保護: 機密データの暗号化や適切なアクセス制御を実施します

  4. セキュアな構成(エンタープライズ資産とソフトウェア): システムとソフトウェアの安全な設定を維持します

  5. アカウント管理: ユーザーアカウントの作成、変更、無効化を適切に管理します

  6. アクセス制御管理: 最小特権の原則に基づいてアクセス権を付与します

  7. 継続的な脆弱性管理: 定期的な脆弱性スキャンと修正を行います

  8. 監査ログ管理: システムの活動を記録し、異常を検出します

  9. 電子メールとウェブブラウザの保護: フィッシングやマルウェアから防御します

  10. マルウェア対策: 最新のアンチウイルスソフトウェアを使用し、定期的に更新します

  11. データリカバリ

  12. ネットワークインフラストラクチャ管理

  13. ネットワーク監視と防御

  14. セキュリティ意識向上トレーニングとスキル

  15. サービスプロバイダー管理

  16. アプリケーションソフトウェアセキュリティ

  17. インシデント対応管理

  18. ペネトレーションテスト

今回のバージョン(v8)では、以前のバージョンにあったネットワーク系や無線通信系のコントロールが他のコントロールに吸収・統合されました。境界防御という考えよりも、リモートワークやゼロトラストの考えが浸透していることが伺えます。


18コントロールの詳細解説

  • インベントリと制御(エンタープライズ資産):組織のすべてのデバイスを把握し、管理します

  • インベントリと制御(ソフトウェア資産):承認されたソフトウェアのみを使用し、不正なソフトウェアを防ぎます

  • データ保護:機密データの暗号化や適切なアクセス制御を実施します

  • セキュアな構成:システムとソフトウェアの安全な設定を維持します

  • アカウント管理:ユーザーアカウントの作成、変更、無効化を適切に管理します

  • アクセス制御管理:最小特権の原則に基づいてアクセス権を付与します

  • 継続的な脆弱性管理:定期的な脆弱性スキャンと修正を行います

  • 監査ログ管理:システムの活動を記録し、異常を検出します

  • 電子メールとウェブブラウザの保護:フィッシングやマルウェアから防御します

  • マルウェア対策:最新のアンチウイルスソフトウェアを使用し、定期的に更新します


実装グループとセーフガード

18の主要コントロールの下に153の具体的なセーフガード(保護手段)が定義されています。これらのセーフガードは、具体的な実装手順が記載されており、組織は効率的にセキュリティ対策を実施できます。

セーフガードは、組織の規模や特性に応じて3つの実装グループ(IG1、IG2、IG3)に分類されています。CIS Controlsアセスメントでは、これら153のセーフガードを基にチェックシートを作成し、組織のセキュリティ状況を詳細に評価することができます。

実装グループ別の保護手段

  • IG1: 基本的なサイバーハイジーン。IT資源が限られた中小企業向け。主要なサイバーセキュリティリスクの70%以上を回避可能。

  • IG2: 自社内にIT運用管理とセキュリティ部署を持つ大企業向け。より高度な保護手段が推奨される。

  • IG3: 高度なセキュリティ専門部門が必要な公的サービス提供企業や規制遵守が求められる企業向け。最も包括的な保護手段が推奨される。


IG1の基本要素

Implementation Group 1 (IG1) は、CIS Controls Version 8で定義された基本的なサイバーハイジーンを表す最小限のセキュリティ基準です。IG1の実装により、主要なサイバーセキュリティリスクの70%以上を軽減できるとされています。限られたリソースでも効果的なセキュリティ対策の基盤を構築することができます。

IG1の主な特徴:

  • 限られたIT・サイバーセキュリティ専門知識を持つ中小企業向けに設計

  • 56の基本的なセーフガードで構成され、最も一般的な攻撃から組織を防御

  • 従業員と財務情報など、比較的低感度のデータ保護に焦点

  • ダウンタイムに対する許容度が低い企業に適している


IG2の拡張セキュリティ対策

IG2(Implementation Group 2)は、CIS Controls Version 8で定義された中間レベルのセキュリティ基準で、IG1の基本的な保護手段に加えて、より高度なセキュリティ対策を実装する組織向けに設計されています。

IG2の主な特徴:

  • IG1の56のセーフガードに加えて、74の追加セーフガードを含む、合計130のセーフガードで構成されています

  • 自社内にIT運用管理とセキュリティ部署を持つ大企業向けに適しています

  • より高度なデータ保護、ネットワークセグメンテーション、ログ管理などの対策が含まれています

NIST CSF 2.0との整合性が強化され、「ガバナンス」機能が追加されています。


IG3の高度セキュリティ対策 

Implementation Group 3 (IG3) は、CIS Controls Version 8で定義された最も包括的なセキュリティ基準です。IG3は、高度なセキュリティ要件を持つ大規模組織や重要インフラを運営する企業向けに設計されています。

IG3の主な特徴:

  • IG1とIG2の130のセーフガードに加え、23の追加セーフガードを含む、合計153のセーフガードで構成されています

  • サイバーセキュリティの異なる専門分野(リスク管理、侵入テスト、アプリケーションセキュリティなど)に特化した専門家を必要とします

  • 規制やコンプライアンス監督の対象となる機密情報や重要機能を扱う組織に適しています

  • 高度な標的型攻撃や新種の攻撃(ゼロデイ攻撃)からの防御と影響軽減を目的としています

IG3を実装する組織は、サービスの可用性と機密データの完全性を重視し、公共の福祉に大きな影響を与える攻撃に対して堅牢な防御態勢を構築することが求められます。


CIS Controlsの実装に必要な要件と手順

  • 経営層の支援:セキュリティ対策の重要性を理解し、必要なリソースを確保する経営層のコミットメントが不可欠です1。

  • セキュリティ専門チーム:組織の規模に応じて、IG1では基本的なIT知識を持つスタッフ、IG2・IG3ではより高度なセキュリティ専門家が必要となります。

  • 自動化ツール:資産管理、脆弱性スキャン、ログ分析などの自動化ツールを導入し、効率的かつ正確なセキュリティ対策の実施を支援します。

  • 文書化されたポリシーと手順:セキュリティ設定基準や対応手順を明確に文書化し、組織全体で一貫した対策を実施します。

  • 継続的な教育とトレーニング:従業員のセキュリティ意識を高め、最新の脅威に対応するための定期的な教育プログラムを実施します。


まとめ

CIS Controls Version 8は、現代のサイバーセキュリティ環境に適応した包括的なフレームワークとして、組織の規模や特性に応じた効果的な対策を提供しています。18の重要なセキュリティコントロールと153のセーフガードを通じて、組織は優先順位付けされたアプローチでセキュリティリスクを軽減できます。

特筆すべきは、基本的なIG1レベルの実装だけでも、主要なサイバーセキュリティリスクの70%以上を回避できる点です。さらに、NISTサイバーセキュリティフレームワーク(CSF)2.0との整合性強化や、「ガバナンス」機能の追加により、コンプライアンス対応も容易になりました。組織は、自社の状況に応じて適切な実装グループ(IG1、IG2、IG3)を選択し、段階的にセキュリティ態勢を強化していくことが可能です。CIS Controls 8の採用は、ビジネスの継続性と信頼性を確保し、進化するサイバー脅威に対する効果的な防御策となります。

代表取締役

|

岩城拓海

インターン

|

関谷尚子

お問い合わせ

Copyright © SliceCheese Inc. All Rights Reserved.