ラックでCIS Controlsを使ってアセスメントしてみたら、どうだった？

米国CIS（Center for Internet Security）が発行しているCIS Controls（シーアイエス コントロールズ）は、あらゆる規模の組織が活用できる、サイバーセキュリティ対策の具体的なガイドラインです。最新版のバージョン8は2021年にリリースされ、ラックはこのバージョンの日本語の翻訳を担当しました。

CIS Controls Version 8（日本語版）のダウンロード

ラックでは、自社のセキュリティ対策を評価するために、最新のCIS Controlsを用いてアセスメントを行いました。この記事では、CIS Controlsのより具体的な活用事例とともに、新しくリリースする「CIS Controlsアセスメントサービス」についてもご紹介します。

CIS Controlsを用いたアセスメント事例

IT環境の急激な変化や攻撃の高度化に伴い、企業組織の情報セキュリティ担当者の管理領域は大きく広がっています。クラウドコンピューティングやモビリティ、サプライチェーン、テレワーク環境など様々なセキュリティ対策の必要性が生じています。CIS Controlsは、これらの環境変化に対応するために近年注目されているゼロトラスト・アーキテクチャを強く意識した構成となっており、そこに書かれているベストプラクティスを参考にすることで、クラウドやテレワーク時代のセキュリティ対策や新しい攻撃手法にも対応できます。

CIS Controlsの概要や構成の説明については「セキュリティ対策、どこまでやる？CIS Controls version8を翻訳」をご参照ください。

CIS Controlsを自社で使ってみよう

ラックでは以前からCIS Controlsを用いたセキュリティ対策や、セキュリティアセスメントの支援を行ってきました。2021年にはCIS Controls バージョン8の日本語化を担当し、ウェビナーなどでCIS Controlsを広めるための活動にも取り組んでいます。それらを受け、これまでに培ったCIS Controlsのノウハウを自社のセキュリティ対策評価にも活用する試みとして、ラックの情報システム部門に対してセキュリティアセスメントを実施することになりました。

CIS Controlsアセスメントの流れ

CIS Controlsでは、あらゆる規模の組織が適切な優先順位でセキュリティ対策を実施できるよう、評価対象となる組織を3つのグループ、IG1・IG2・IG3に分けています。ラックはその業務特性から、もっとも高いセキュリティ対策レベルが求められるIG3のグループを用いてアセスメントを実施しました。

実施にあたり、CIS Controlsの18のコントロール毎に分類された、153の具体的なセーフガード（保護手段）を記載したチェックシートを準備しました。そこに独自の評価基準や日本の企業文化に合わせたより具体的な対策例などを追加し、ラックオリジナルのチェックシートを開発しました。対策例はこれまでラックが多くのお客様に提供してきた他のコンサルティングサービスで使用しているものを参考にしています。

開発したチェックシートを用いて、私たちCIS Controlsアセスメントチームのセキュリティコンサルタントメンバーが情報システム部門に対してヒアリングを行うかたちでアセスメントを開始しました。アセスメントの流れは以下の通りです。

アセスメント結果から見えてきた課題

ヒアリング内容から課題を抽出し、ギャップ分析を行った結果、ラックでは以下のような評価と課題が見えてきました。

評価が高かった項目（括弧内の数字はコントロール番号）

• (03) データ保護
• (12) ネットワークインフラストラクチャ管理
• (14) セキュリティ意識向上とスキルのトレーニング
• (17) インシデントレスポンスと管理

ラックではSASEやEDRなど、先進的なセキュリティ対策ソリューションを既に導入している点や、自社SOCによって常時監視を行っている点などが高く評価され上記のような結果となりました。また、セキュリティ教育とインシデントレスポンス体制に関しては、セキュリティ専門ベンダとしては当然の結果と思われます。

評価が低かった項目（括弧内の数字はコントロール番号）

• (01) 組織の資産のインベントリと管理
• (02) ソフトウェア資産のインベントリと管理
• (09) 電子メールとWebブラウザの保護
• (15) サービスプロバイダの管理

ラックはセキュリティ専門ベンダだけではなく、システムインテグレータの一面もあります。社内のシステムエンジニアの作業環境を優遇するがゆえに、デバイスやソフトウェアの使用に関して一部寛容な文化がありました。その結果が、上記のように脆弱な部分として表面化したかたちとなります。また近年は、開発業務や日常業務においてもクラウドサービスの活用が増えたことで管理が煩雑になっており、サービスプロバイダの管理も不完全である点が顕在化しました。

アセスメントチームは、これらの分析結果と対策提言を実施報告書としてまとめ、社内の関係者に対して報告会を実施しました。

情報システム部門ではこのアセスメント結果を受けて、評価の低かった部分に対して早急に対策の検討を行い、ソリューションを導入しながらデバイスやソフトウェアの管理の強化、クラウドサービスの管理や監視の強化などを実施しました。これら複数の施策を用いて半年ほどかけ、ラック社員が一丸となって対策強化に取り組みました。その結果、上記の評価が低かった項目は現在大きく改善されています。

ラックではこのCIS Controlsを用いたセキュリティ対策評価を定期的に行い、自社の脆弱な部分を洗い出し改善することで、セキュリティ対策の更なる強化を進めています。

実際にCIS Controlsを使ってみて ～情シス担当者のコメント～

CIS Controlsでアセスメントを実施してみて、情報システム部門の担当者からは以下のようなコメントをもらいました。

• 漠然と認識していた課題が、明確な指摘事項としてアウトプットされる点はよかった
• セキュリティ施策の決定には、情シス以外の部署との調整が必要不可欠であるため、説明資料としてアセスメント結果が使えた
• ペネトレーションテストと組み合わせることでヒアリングと実地の両面から課題が抽出でき、課題の優先度付けの説得力が増した

このようにCIS Controlsを用いたアセスメントは、自社のセキュリティ対策をあらゆる角度から評価することで、対策すべきポイントを見つけ出せます。また毎年など定期的にアセスメントを行うと、改善の度合いを可視化できます。ただし、CIS Controlsはグローバルなガイドラインなので、日本ではあまり馴染みのない表現が使われています。書かれている内容を正確に理解し、自社の対策状況と比較して評価することは難しく、活用するにはより専門的な知識と経験が必要です。

ラックの新サービス「CIS Controlsアセスメントサービス」

ラックではお客様がCIS Controlsを用いて、社内IT環境や提供サービス環境などのセキュリティ対策状況のアセスメントを行う場合に支援を行う「CIS Controlsアセスメントサービス」の提供を開始します。前述のラックオリジナルのチェックシートの提供はもちろんのこと、対策状況のヒアリングから課題を抽出し、分析結果を含むアセスメント実施報告書の作成までを、ラックのセキュリティコンサルタントがお客様に寄り添って支援いたします。

また、アセスメント結果から抽出された評価の低かった対策項目に対しては、ラックが提供するセキュリティソリューションやサービスをご提案します。机上だけの評価ではなく、より現実的で組織規模や実態に合わせた最適なセキュリティ対策を実現できます。

詳細は、「CIS Controlsアセスメントサービス」を参照ください。

CIS Controlsは、グローバルなITコミュニティにより開発されたガイドラインであることから海外では普及が進んでおり、日本国内でも海外に拠点を持つグローバル企業などを中心に活用が広がっています。ラックでは今後もCIS Controlsを活用して自社のセキュリティ対策やお客様へのコンサルティングサービスの提供を行い、お客様のビジネスの成長に貢献します。

CIS Controlsを用いた自社のセキュリティ対策チェックを検討されている方は、ぜひ「CIS Controlsアセスメントサービス」のご利用をご検討ください。またCIS Controls活用に関するお悩みやご相談等がございましたら、お気軽にお問い合わせください。