CIS Controlsとは?

日本国内では知名度が低いものの、グローバルで普及しているCIS Controlsはどのようなフレームワークなのでしょうか?

ダウンロードはこちら CIS Controlsの実践におけるヒント

■CIS(Center for Internet Security)とは

CIS Controlsを作成したのは米国のCIS(Center for Internet Security)という団体です。
CISは、米国国家安全保障局(NSA:National Security Agency)、米国国防情報システム局(DISA:Defense Information Systems Agency )、米国立標準技術研究所(NIST:National Institute of Standards and Technology)などの米国政府機関や、企業、学術機関などの協力の元、インターネット・セキュリティ標準化に取り組む団体です。
また、CISはボランティアによる非営利団体であるため、特定の企業や製品を推奨することはなく、あらゆる組織にとって公平な立場で情報発信を行っています。

企業におけるサイバー攻撃対策のキーワードとして注目を集めているのが「Fog of More」すなわち「セキュリティ対策の選択肢が多すぎることによる混沌」です。
日本国内組織の27%が6-10社のセキュリティベンダーの製品を併用し、23%が11-20社の製品を併用していると「2019年版CISOベンチマーク調査」で明らかになっています。
サイバー攻撃対策だけで数十社の製品を導入・管理しようとしているのですから、各組織は霧(Fog)の中で路頭に迷うのは当然でしょう。

これまでセキュリティ業界や各組織は、“すべての脅威からの防御”を目指してきました。
これが、数十社のセキュリティ製品を導入したものの結局管理しきれず「サイバー疲労」に陥ってしまう元凶でした。
多すぎる選択肢による混沌に対し「絶対的な保護などない」という原則で作成されたのがフレームワーク「CIS Controls」です。

■CIS Controlsの特徴

CIS Controlsは、米国立標準技術研究所(NIST)のSP800-53で定義されている事項のサブセットで、「最初に最低限行わなければならない」ことに着眼してシンプルにまとめられたフレームワークです。

CIS Controlsが目指しているのは、「最も重要な攻撃から優先して組織を保護していく」という非常に現実的なゴールです。
CIS Controlsの冒頭でも「絶対的な保護というものはありえない」と言い切っていることからも、必ず実施すべき最低限の対策にフォーカスすることが最も効果的であると考えていることがよく分かります。
UMass President's officeのChief Information Security Officer であるLawrence Wilson氏はCIS Controls のリリースの中でこう述べています。

Prioritize set of actions to protect organizations against the best known and well known vectors.

組織を保護するためには、最も有名で広く知られている脅威に対する対策を優先すべきなのです。

■CIS Controlsの作成に関わった組織や専門家

実際に行われた攻撃に関する深い知識を持つ専門家を結集し、彼らの持つ効果的な防御策を組み合わせて作成されたのがCIS Controlsです。

CIS Controlsの作成に携わった専門家の所属組織は次のとおりです。
  • 米国国防総省
  • 米国エネルギー省の原子力研究所
  • 米国国土安全保障省の米国コンピュータ緊急対応チーム
  • 英国の重要インフラ保護センター
  • FBI
  • オーストラリア国防信号局
  • 政府および民間の侵入テスト実施機関
  • その他の法執行機関

CIS Controlsには、このような多数の組織の専門家の持つ、サイバー攻撃に関する実践的な知識が蓄積されています。

作成には多数の専門家が参加しているからこそ、CIS Controlsは最も一般的な攻撃に対して、“利用可能”かつ“最も効果的で具体的”な技術的対策が示されているフレームワークだとされています。

CIS Controlsをどのように理解するか?

CIS Controlsを含めあらゆるフレームワークを組織・企業で実践するには、社員各自がCIS Controlsを理解することが不可欠です。各組織でCIS Controlsの考え方を浸透するにはどのようにすべきでしょうか?

■CIS Controlsを実践するときの課題

「CIS Controls」が最も重要な攻撃から防御するためのフレームワークとは言え、原本は74ページにも及び、その内容は各組織が即活用できるものではありません。

また、CIS Controlsは米国内の組織向けに作成されたフレームワークであるため、日本国内の組織の仕組みに当てはめて再解釈する必要があります。


 

「CIS Controls の実践におけるヒント」の公開

この度ゾーホージャパン株式会社は、この「CIS Controls」を27ページにコンパクトにまとめた「CIS Controls の実践におけるヒント」を無料提供いたします。

CIS Controlsの「最初に最低限行わなければならないことに注力する」コンセプトそのままに、組織や企業の担当者が絶対に知っておくべきサイバー攻撃対策を中心に解説しています。
組織におけるサイバー攻撃対策において“社員のトレーニング”の重要性がますます増しています。
「CIS Controls の実践におけるヒント」は、各企業の社員が通常の業務の合間に参照するなど、セキュリティに関するトレーニングにもお使いいただけます。

■「CIS Controls の実践におけるヒント」の構成

CIS Controlsにおける対策には優先順位があり、特に「Basic」」に位置付けられるCIS Controls 1からCIS Controls 6までは必要不可欠であり、最初に実施されるべき対策とされています。

「CIS Controls の実践におけるヒント」では、CIS Controls で分かりにくい点をすべて洗い出し、どの対策が不可欠で優先順位が高いのか一目で理解できるように構成されています。

また、CIS Controlsでは「自社として何をすべきか」から「一人ひとりが何を行わなくてはならないか」へ課題が進化していると述べられています。
「CIS Controls の実践におけるヒント」が、「社員一人ひとりが行うべきこと」を全社で考えるきっかけとなれば幸いです。

おわりに

上述のLawrence Wilson氏はこうも述べています。

-Every industry should use this CIS controls because they going to help you and become more secure, and don’t forget that is the ultimate goal.(企業を助け企業の安全性をさらに高めること、それが最終ゴールであることを忘れないで)

「サイバー攻撃対策の選択肢が多すぎることによる混沌(Fog)」から抜け出し、企業の安全を確保するというゴール達成のために、「CIS Controls の実践におけるヒント」を是非ご活用ください。