セキュリティ対策、どこまでやる？CIS Controls v8日本語訳をリリース

米国CIS（Center for Internet Security）が発行しているCIS Controls（シーアイエス コントロール）は、あらゆる規模の組織が活用できる、サイバーセキュリティ対策の具体的なガイドラインです。IT環境の変化や攻撃の高度化に伴い、クラウドコンピューティングやモビリティ、サプライチェーン、テレワーク環境などに対する、新しい攻撃手法への対応を加えたバージョン8が2021年5月18日にリリースされました。

ラックでは、このCIS Controls バージョン8を日本語に翻訳しました。CIS Controlsのバージョン8（日本語版）は、米国CISのWebサイトからダウンロードできます。この記事では、CIS Controlsのコンセプトと活用方法についてご紹介します。

CIS Controls Version 8（日本語版）のダウンロード

CIS Controlsとは何か

CIS Controlsは、米国のセキュリティ非営利団体であるCISが、企業がサイバーセキュリティ対策として取り組むべきことをまとめたガイドラインです。もともとは2008年にアメリカ国防総省（DoD）とアメリカ国家安全保障局（NSA）が外部脅威による情報漏洩を防ぐガイドラインとして策定を開始したのが始まりです。その後、SANS InstituteやCCSのもとで改訂を重ね、2015年からはCISが管理しています。

CISでは、CIS Controls以外にも様々なフレームワークやツールを提供しています。その中でもサイバーセキュリティ対策に取り組む企業が最初に参照すべきリソースがCIS Controlsです。CIS Controlsは、サイバー攻撃対策に焦点を当て、具体的に何をするべきかを、あらゆる規模の組織が利用できるように書かれています。現状の自社対策レベルを評価し、不足しているところや強化すべき箇所を整理できます。

具体的な実装のベストプラクティスについてはCISの他のドキュメントが参考になります。例えばCIS Benchmarks（ベンチマーク）はOSやミドルウエアの安全な設定に関するベストプラクティス集です。日々、CISとコミュニティがレビューを重ねているので対象となるソフトウエアも増加し、最新バージョンに適合するように更新されています。

CIS Controlsの構成と主なコンセプト

CIS Controlsには、「18のコントロール」と「153の具体的なセーフガード（保護手段）」が記載されています。ITの複雑化と攻撃手法の高度化に伴い、セキュリティソリューションも複雑化しています。CIS Controlsでは、あらゆる規模の組織が適切な優先順位でセキュリティ対策を実施できるよう、対象となる企業を3つのグループに分けています。

最初のグループ（IG1）は、IT資産や人員を保護するためのITおよび、サイバーセキュリティのリソースが限られている中小企業です。次のグループ（IG2）は、システムが取り扱うデータの機密性やサービスのクリティカル度はIG1に属する企業群より高くなり、自社内にITインフラの運用管理とITセキュリティを担当する部署を持つ大企業が該当します。最後のグループ（IG3）ではデータの機密性やサービスのクリティカル度は非常に高くなり、高度なセキュリティ専門部門が必要となります。IG3は公的サービスを提供する企業や業界規制遵守が求められる企業が該当します。

※ IG（Implementation Group）：実装グループ

18のコントロールにある「153の具体的なセーフガード（保護手段）」には、IG1からIG3のそれぞれのグループにおいて、その対策が推奨かどうか示されています。企業はこのマトリクスを利用することで、自社のセキュリティ対策が必要な水準に達しているかどうか、現状の対策レベルをアセスメントできます。そして不十分なセキュリティ対策については、対応の優先順位を決めて計画立案できるようになります。

CIS Controlsから感じ取った3つのメッセージ

個々のコントロールと具体的なセーフガード（保護手段）については資料をご覧いただくとして、ここでは私がCIS Controlsの翻訳を通じて感じた、CIS Controlsのメッセージを3つご紹介します。

平時のIT衛生管理（ハイジーン）の重要性

まず、最初に挙げるのはサイバーセキュリティ対策における「平時の衛生管理の重要性」です。サイバーセキュリティ対策において「平時の衛生管理」とは、「（PCなどの）アセットの把握と管理」、「（利用している）ソフトウエアの把握と管理」、「（保持している）データの把握と管理」、「（ソフトウエアやサービスの）安全な設定」、「アカウントの把握と管理」、「アクセス権の把握と管理」などです。このような当たり前の基本的なことをシッカリと着実に実施することが重要です。

先ほどの実装グループのうち、IG1は「基本的なサイバーハイジーン」であり、「すべての組織が適用すべきサイバー防御の基本的な保護手段のセット」と定義されています。「ハイジーン（Hygiene）」とは「衛生」という意味の英単語です。コロナ禍の感染予防策として「手洗い・うがい」、「マスク着用」、「ソーシャル・ディスタンス」などの平時の衛生管理をキチンと行うことの重要性を多くの方が認識したと思います。サイバーセキュリティ対策においても平時からの衛生管理が重要です。

CISの調査によると、IG1の対策を実装することで、マルウェア、ランサムウェア、Webアプリケーションハッキング、内部特権者の不正と過失、標的型攻撃などの主要なサイバーセキュリティリスクの70％以上を回避できるとされています。詳細については以下のレポートを参照ください。

CIS Introduces v2.0 of the CIS Community Defense Model

サイバーセキュリティ対策の自動化

次に挙げるのは、サイバーセキュリティ対策の「自動化」です。CIS Controlsでは各コントロールの「手順と対策」において、サイバーセキュリティ対策の実装と自動化を可能にするプロセスとテクノロジーについて説明が記載されています。

ここでCIS Controlsが意図している「自動化」はオートメーションというより、ツールなどを使うことで正確な情報を収集し、再現可能性を担保することを意識しているようです。先に記載した平時のIT衛生管理で必要な事（PC、ソフトウエア、アカウント、アクセス権の把握と管理）を着実に繰り返し実施していくためには何らかの自動化ツールが不可欠でしょう。

最新の話題と安定性のバランス

最後に挙げるのは「最新の話題と安定性のバランス」です。IT環境の複雑化と攻撃手法の高度化に伴い、セキュリティソリューションも複雑化してきています。CIS Controlsでは新しい防御技術に目を向ける一方で、あまりに複雑で新しすぎるソリューションについては「真新しいおもちゃ」として除外すると宣言しています。こうした「最新と安定のバランス」がCIS Controlsが支持される理由の1つではないかと考えます。

サイバーセキュリティ対策に関する最新の話題として、「ゼロトラストセキュリティ」に関心が集まっています。バージョン8では「ゼロトラスト」という明確な表現は出てきませんがクラウドの活用やリモートワークを意識した内容になっています。バージョン6（またはそれ以前）のCIS Controlsを使用している場合は、可能な限り早くバージョン8への移行計画を開始することが推奨されています。クラウド活用が進んでいる今こそ、スタンダードをバージョン8に切り替えるべきではないかと考えます。

さいごに

CIS Controlsは、サイバーセキュリティ対策を考えていくうえでユーザー企業とベンダー企業の共通言語であり、共通の基準になります。ラックでは、CIS Controlsを用いたアセスメントの支援や、CIS Controlsに基づくサイバーセキュリティ対策をご提案しています。クラウドやテレワークを推進する中で、自社のセキュリティ対策が必要十分か検討したい方は、ぜひお気軽にお問い合わせください。

ウェビナー動画

目からウロコ！「CIS Controls 大解剖！」
～DXを支えるサイバー攻撃対策のベストプラクティス～

CIS Controlsの最新版v8の日本語訳を務めたラックが、CIS ControlsやCISが提唱する「サイバーハイジーン（IT衛生管理）」という考え方を解説するとともに、CIS Benchmarkを活用したクラウド環境の堅牢化（ハードニング）の具体的な手法についてもご紹介します。 この機会にセキュリティ対策の基準とITによる実装を繋ぐ便利なフレームワークを体感ください。