CISクリティカルセキュリティコントロール

これらのコントロールが組織にどのように適用されるのか

CISクリティカルセキュリティコントロールとは

Center for Internet Security(CIS)は、重要なセキュリティ概念を実践的なコントロールに抽出することで既知の攻撃に対する組織の防衛力を高め、全体的なサイバーセキュリティの向上に役立つCISクリティカルセキュリティコントロール(CSC)を公開しています。

セキュリティ課題が進化するにつれて、それに対応するためベストプラクティスも進化します。セキュリティ業界においてCISは、効果的なサイバー防御のためのクリティカルセキュリティコントロール(旧称SANSトップ20クリティカルセキュリティコントロール)によって最新かつ具体的な推奨事項を提示し、企業がそれぞれのセキュリティ姿勢を向上させるのに役立つという点で高く評価されています。

CISクリティカルセキュリティコントロールの適用対象とは

全体的なセキュリティの向上を目的とした標準およびコンプライアンス規制の多くは業界特有のもので焦点が狭い場合がありますが、現在バージョン7となり7回の更新を経ているCIS CSCは、数多くの政府機関および業界リーダーの専門家が業界にとらわれず汎用的に適用できるよう作成したものです。

また、CISベンチマークでは、通常はリソースには限りがあり、優先度を設定しなければならないという点で組織が直面する現実も認識されています。このためCISでは、業界の種類に関わらず、コントロールを基本、基礎、組織の3つのカテゴリーに分類します。この標準の優先順位付けこそが、CIS CSC推奨事項が他のセキュリティコントロールやリストと異なる点です。他のコントロールやリストでは、必要な要素として優先順位付けについて言及する場合もありますが、具体的な推奨事項とするまでには至っていません。

CISクリティカルセキュリティコントロールはいくつあるのか

CISコントロールは全部で20個あり、リスト内の最初の6つが、サイバー防御の備えとしてすべての組織で実装されるべき「基本」コントロールとして優先されます。バージョン7における上位6つのCISコントロールは以下の通りです。

1) ハードウェア資産のインベントリとコントロール

2) ソフトウェア資産のインベントリとコントロール

3) 継続的な脆弱性管理

4) 制御された、管理者権限の利用

5) モバイルデバイス、ノートパソコン、ワークステーションとサーバーにおける、ハードウェアおよびソフトウェアの安全な構成

6) 監査ログの維持、監視と分析

各コントロールのスコープは幅広いものですが、適切なユーザーが適切な資産にアクセスできるようにし、すべてのシステムを最新かつ可能な限り堅固な状態に維持するという確固とした原則に基づいています。これら上位6つのコントロールにおけるCISガイダンスに従えば、たとえ組織が実装できるコントロールがこれらに限定されていても、素晴らしい利点を得られます。

トップ20のCISクリティカルセキュリティコントロールすべてのスコープは包括的です。堅牢なサイバーセキュリティ防御の実現に必要なものについて考えるとき、セキュリティは決して単なる技術的問題ではない、という見解に基づいており、CIS推奨事項にはデータやソフトウェア、ハードウェアだけでなく、人やプロセスも網羅されています。例えば、インシデント対応チームとレッドチームは双方とも、あらゆる堅牢でプロアクティブな防御計画の重要な要素であり、それぞれCISコントロール19と20で言及されています。

CISクリティカルセキュリティコントロールが他の基準とどう連携するのか

CISクリティカルセキュリティコントロールは、その他数多くのコンプライアンスとセキュリティ基準と相互互換性を持っているか、直接の相対関係を持っています。そうした基準には、NIST 800-53やPCI DSS、FISMA、HIPAAなど業界特有のものも含まれており、それらに従わなければならない組織は、コンプライアンスの補助にCISコントロールを利用できます。加えて、NISTサイバーセキュリティフレームワークは、組織のセキュリティ姿勢の整合化および強化のためによく採用される堅牢なツールで、推奨されるベストプラクティスの多くについてCIS CSCをベースラインとして利用しています。

セキュリティ姿勢の向上と、遭遇する可能性の最も高い攻撃ベクターに対する防御の強化を目指している組織にとって、CISクリティカルセキュリティコントロールはエクスポージャーのリスクを低減し、ほとんどの攻撃タイプの深刻度を緩和するための素晴らしいスタート地点となります。

Let Rapid7 Help You With All Your Compliance Needs

Learn More

We love to give you options. 

This page is also available in English!

Switch to English Continue in Japanese