カート
  1. ホーム
  2. セキュリティコラム
  3. CIS Controlsとは?ビジネス環境の変化とセキュリティ対策に関する経営者の悩み

CIS Controlsとは?ビジネス環境の変化とセキュリティ対策に関する経営者の悩み

CIS Controlsとは?ビジネス環境の変化とセキュリティ対策に関する経営者の悩み
更新

近年、IT技術の進歩とデジタル化の流れにより、ビジネス環境は劇的に変化しました。孫子の「兵の形は水に象る」という言葉のように、ビジネス環境の変化に合わせてセキュリティ対策も柔軟に変化させていく必要があります。しかし、多くの経営者は、今のセキュリティ対策で大丈夫だろうか、何をすれば良いのか、どこから手を付けたら良いのか、情報セキュリティの知識を持った人材がいない、予算がない、時間がない、など様々な悩みを抱えています。そこで、世界中の企業や政府機関で採用されているのがCIS Controlsです。CIS Controlsは、【追加】優先順位が明確で実践的なセキュリティガイドラインです。本コラムでは、CIS Controlsの概要から18のコントロール詳細、実装方法まで解説します。

セキュリティ無料相談

目次

ビジネス環境の変化

はじめに、一昔前と比べてビジネス環境がどう変わったのかおさらいしてみましょう。

固定電話からスマートフォンへ

かつてビジネスにおけるコミュニケーション手段は固定電話が主流でしたが、現在ではスマートフォンが中心となっています。スマートフォンやタブレット端末の普及により、従業員はいつでもどこでも仕事ができるようになりました。さらに、個人所有のデバイスを業務に使用するBYODも普及し、個人端末のセキュリティ管理が重要になっています。

紙媒体からデジタルドキュメントへ

業務プロセスの見直しとともに紙媒体の資料がデジタル化され、DX化が進んでいます。デジタル化された資料はクラウドサービスを使って共有されるのが一般的になり、情報のアクセス性が向上し、業務効率が大幅に改善されました。しかし、デジタルデータの漏洩や不正アクセスのリスクも増加しています

オンプレミスからクラウドサービスへ

オンプレミスのシステムからクラウドサービスへの移行も進んでいます。以前は社内のシステムにあったデータも、今ではクラウドサービスを提供する外部企業のシステム内、場合によっては海外のサーバーに保存されることが一般的になり、データ保護の考え方も変わりました。クラウドサービスはコスト削減やスケーラビリティの向上といったメリットを提供しますが、同時にデータ保護やアクセス管理の課題も生じます。

オフィスワークからテレワーク、リモートワークへ

コロナをきっかけに、オフィスワークからテレワークやリモートワークへの移行も進みました。出社を前提とした押印文化は見直され、オンライン会議も日常的に行われるようになりました。テレワークやリモートワークは柔軟な働き方を提供しますが、同時にセキュリティの課題も伴います。

安全神話からゼロトラストへ

かつては「インターネットにつながっていないシステムは安全である」という安全神話が存在しましたが、近年ではゼロトラストモデルが注目されています。ゼロトラストは、すべてのアクセスを疑い、常に検証する考え方です。


このようにビジネス環境は劇的に変化しましたが、それに合わせて自社のセキュリティ対策は柔軟に変化できていますでしょうか。それでは、いよいよCIS Controlsについて解説します。

CIS Controlsの概要

CIS Controlsは、米国の非営利組織CIS(Center for Internet Security)によってまとめられたセキュリティガイドラインです。端的に言うと、「あらゆる組織が利用でき、最低限実施すべきセキュリティ対策とその優先順位が示されたガイドライン」です。世界各国のさまざまな分野のセキュリティ専門家が参加し、知見を提供しています。日本での認知度はそれほど高くありませんが、世界では多くの企業や組織が採用しています。特に、米国や欧州を中心に、政府機関や企業が積極的に導入しています。

CIS Controlsの歴史

CIS Controlsは、2008年に米国防衛産業基盤のデータ損失に対応するためにSANS Instituteによって初めて開発されました。当初は「SANS Top 20」として知られていましたが、2013年にCouncil on Cyber Securityに移管され、2015年にCenter for Internet Securityに移管されました。2021年5月にはv7.1からv8.0へのメジャーバージョンアップが行われ、最新の技術動向に対応するために刷新されました。2024年10月23日現在の最新バージョンはv8.1です。

v8.1では、NIST Cybersecurity Framework 2.0との整合性が強化され、「ガバナンス」という新しいセキュリティ機能が追加されました。また、資産分類が見直され、「ドキュメント」カテゴリが新設されるなど、より実用的な内容に進化しています。

CIS Controlsの特徴

どんな規模の組織でも適用可能

CIS Controlsは、組織の規模に関わらず適用できるように設計されています。中小企業から大企業まで、幅広い組織が利用可能です。

3つの実装グループに分類

組織の規模や求められるセキュリティレベルに応じて、CIS Controlsを利用する組織を3つの実装グループ(IG1, IG2, IG3)に分けています。

  • IG1:
    中小企業やITおよびサイバーセキュリティのリソースが限られている企業が該当します。
  • IG2:
    IG1の対策に加え、より高度なセキュリティ対策が必要な企業が該当します。自社内にITインフラの運用管理とセキュリティを担当する部署を持つ中堅企業が中心となります。
  • IG3:
    データの機密性やサービスの重要度が非常に高く、高度なセキュリティ専門部門が必要な企業が該当します。公的サービスを提供する企業や業界規制の遵守が求められる大企業が含まれます。

最低限のセキュリティ対策が明示

取るべき最低限のセキュリティ対策が明示されているため、どこから手を付ければよいかが分かりやすくなっています。

優先順位が明確

取るべきセキュリティ対策の優先順位が示されているため、リソースが限られている中小企業でも効率的に対策を進めることができます。

最新の技術動向に対応

クラウドサービスの普及やゼロトラスト化など、近年のビジネス環境の変化に合わせて、CIS Controlsの内容も更新されています。これにより、情報セキュリティの深い知識を持たない経営者やセキュリティ担当者でも、最新のセキュリティリスクに対応することができます。

他のフレームワークとの整合性

CIS Controlsは、NIST Cybersecurity Framework、ISO 27001、PCI DSS、HIPAA、GDPR、SOC 2など、主要なセキュリティフレームワークや規制要件とマッピングされています。これにより、複数のコンプライアンス要件に同時に対応することが可能です。

測定可能な対策

各セーフガードは測定可能なアクションとして定義されており、実施状況を客観的に評価できます。CIS Controls Self Assessment Tool(CIS CSAT)を使用することで、組織のセキュリティ成熟度を測定し、改善計画を立てることができます。

CIS Controlsの構成

CIS Controlsは、18のコントロール(主要項目)と153のセーフガード(管理策)で構成されており、それぞれの実装グループ(IG1, IG2, IG3)が取るべきセキュリティ対策(コントロールとセーフガード)が示されています。実装グループに対するコントロールとセーフガードの数は以下のとおりです。

実装グループ コントロール数 セーフガード数 備考
IG1 18 56 基本的なサイバーハイジーン※1
IG2 18 130 IG1+74
IG3 18 153 IG1+IG2+23

※1:IG1に該当するコントロールとセーフガードは、どんな組織でも最低限行うべきセキュリティ対策であり、「基本的なサイバーハイジーン」と呼ばれています。

CIS Controlsの18のコントロール詳細

CIS Controls v8.1は、18のコントロール(主要項目)で構成されています。各コントロールは組織のサイバーセキュリティを強化するための具体的な管理策を提供します。

コントロール1: 企業資産の管理

ネットワークに接続されるすべてのデバイス(PC、サーバー、モバイル端末、IoT機器)を把握し、許可されていない機器を検出・排除します。資産台帳を作成し、継続的に更新することで、攻撃対象領域を最小化します。


コントロール2: ソフトウェア資産の管理

インストールされているすべてのソフトウェアとアプリケーションを把握し、許可されたものだけが実行されるように制御します。ソフトウェアインベントリを維持し、サポート終了製品を特定して対処します。


コントロール3: データ保護

重要データを特定し、分類し、適切に保護します。データの暗号化、アクセス制御、バックアップ、安全な廃棄方法を実装します。


コントロール4: 企業資産とソフトウェアの安全な設定

すべてのハードウェアとソフトウェアを安全に設定します。デフォルトのパスワードや設定を変更し、不要な機能やサービスを無効化します。


コントロール5: アカウント管理

ユーザーアカウント、管理者アカウント、サービスアカウントを適切に管理します。強力なパスワードポリシーを適用し、休眠アカウントを定期的に削除します。


コントロール6: アクセス制御管理

権限の付与、変更、削除を適切に管理します。多要素認証(MFA)を実装し、職務に基づいた最小権限の原則を適用します。


コントロール7: 継続的な脆弱性管理

システムとアプリケーションの脆弱性を定期的にスキャンし、優先順位を付けて修正します。パッチ管理プロセスを確立し、自動化を検討します。


コントロール8: 監査ログ管理

セキュリティイベントを記録し、一元管理します。ログを定期的にレビューし、異常な活動を検出します。最低90日間のログ保持が推奨されます。


コントロール9: メールとWebブラウザの保護

フィッシング攻撃やマルウェアからメールとWebブラウジングを保護します。SPF、DKIM、DMARCを実装し、悪意のある添付ファイルやURLをブロックします。


コントロール10: マルウェア対策

マルウェア対策ソフトウェアを導入し、定期的に更新します。振る舞い検知型のソリューションを検討し、自動実行機能を無効化します。


コントロール11: データ復旧

定期的にバックアップを実施し、復旧手順をテストします。バックアップデータを本番環境から分離し、ランサムウェア攻撃に備えます。


コントロール12: ネットワークインフラの管理

ネットワーク機器を最新の状態に保ち、安全に設定します。ネットワークをセグメント化し、ネットワーク図を維持します。


コントロール13: ネットワークの監視と防御

侵入検知・防御システム(IDS/IPS)を導入し、ネットワークトラフィックを監視します。異常なアクティビティを検出し、対応します。


コントロール14: セキュリティ意識とスキルトレーニング

従業員に対して定期的なセキュリティ教育を実施します。フィッシング訓練、パスワード管理、データ取り扱いに関するトレーニングを提供します。


コントロール15: サービスプロバイダー管理

外部委託先やクラウドサービスプロバイダーのセキュリティを評価します。契約にセキュリティ条項を含め、定期的に監査します。


コントロール16: アプリケーションソフトウェアのセキュリティ

開発段階からセキュリティを組み込みます。脆弱性診断を実施し、セキュアコーディングの実践を推進します。


コントロール17: インシデント対応管理

インシデント対応計画を策定し、定期的に訓練します。インシデント対応チームを編成し、役割と責任を明確にします。


コントロール18: ペネトレーショントレスト

定期的にペネトレーションテストを実施し、セキュリティ対策の有効性を検証します。発見された脆弱性を修正し、再テストを行います。

CIS Controlsを実装するためのステップ

実装グループの選択

自社の組織の規模や求められるセキュリティレベルに応じて、実装グループ(IG1, IG2, IG3)のいずれかを選択します。

アセスメントの実施

該当する実装グループのセーフガードに対して、自社でどの程度対策ができているかをアセスメントします。これにより、現在のセキュリティ対策状況を把握することができます。

不足している対策の特定

アセスメントの結果、不足している対策や改善すべき対策が明らかになります。これにより、優先順位をつけて対策を進めることができます。

具体的な対策の実施

特定された不足対策に対して、具体的なセーフガードを実施していきます。例えば、資産の管理、データ保護、アカウント管理、継続的な脆弱性管理など、基本的な対策を講じることで、サイバー攻撃から自社を守ることができます。

継続的な改善

セキュリティ対策は一度実施すれば終わりではありません。PDCAサイクル(Plan-Do-Check-Act)を回して改善を続けることが重要です。

実装を支援するツール

CISは、実装を支援するために以下のツールとリソースを提供しています。

Copyright © 2023-2025 ALSOK CO., LTD. All rights reserved.

PAGE
TOP