CIS Controlsとは
CIS Controls(CIS Critical Security Controls)は、米国の非営利団体Center for Internet Security(CIS)が策定した、優先度付きのサイバーセキュリティ対策ガイドラインです。既知の攻撃手法に対して「何を最初にすべきか」を具体的に示す実践的なフレームワークであり、限られたリソースで最大のセキュリティ効果を得たい企業に最適です。
最新版はv8.1(2024年6月公開)で、NIST CSF 2.0に合わせてGovern(統治)セキュリティ機能が追加されました。
v8.1の変更点
| 変更点 | 内容 |
|---|---|
| Govern機能の追加 | NIST CSF 2.0に合わせてガバナンスセキュリティ機能を追加。ポリシー、プロセス、手順の文書化を重視 |
| NIST CSF 2.0マッピングの更新 | セキュリティ機能のマッピングをCSF 2.0に整合 |
| アセットクラスの追加 | Documentationアセットタイプ(ポリシー、プロセス、手順)を新設 |
| 用語の明確化 | 「plan」「process」「sensitive data」等の用語定義を拡充 |
18のコントロール
| CIS# | コントロール名 | 概要 |
|---|---|---|
| 1 | エンタープライズ資産のインベントリと管理 | ネットワーク上の全デバイスを把握・管理 |
| 2 | ソフトウェア資産のインベントリと管理 | 許可・未許可のソフトウェアを把握・管理 |
| 3 | データ保護 | データの分類、暗号化、アクセス制御 |
| 4 | エンタープライズ資産・ソフトウェアのセキュア構成 | デバイスとソフトウェアのセキュリティ設定の標準化 |
| 5 | アカウント管理 | ユーザーアカウントのライフサイクル管理 |
| 6 | アクセス制御管理 | 最小権限の原則に基づくアクセス制御 |
| 7 | 継続的な脆弱性管理 | 脆弱性の継続的な発見・評価・修正 |
| 8 | 監査ログ管理 | セキュリティイベントのログ収集・保管・分析 |
| 9 | メール・Webブラウザの保護 | メールとブラウザ経由の攻撃を防御 |
| 10 | マルウェア防御 | マルウェアの防止・検知・修正 |
| 11 | データ復旧 | バックアップと復旧プロセスの確立 |
| 12 | ネットワークインフラ管理 | ネットワーク機器の安全な構成・管理 |
| 13 | ネットワーク監視・防御 | ネットワークトラフィックの監視と異常検知 |
| 14 | セキュリティ意識向上・スキル教育 | 従業員向けセキュリティ教育・訓練 |
| 15 | サービスプロバイダー管理 | 外部サービス提供者のセキュリティ管理 |
| 16 | アプリケーションソフトウェアセキュリティ | ソフトウェア開発のセキュリティ |
| 17 | インシデント対応管理 | インシデント対応計画の策定・訓練・改善 |
| 18 | ペネトレーションテスト | 定期的な侵入テストによるセキュリティ検証 |
3つの実装グループ(IG)
CIS Controlsの最大の特徴は3段階の実装グループ(IG)で、組織の規模とリスクに応じて段階的に対策を進められる点です。
| IG | 対象 | セーフガード数 | 概要 |
|---|---|---|---|
| IG1 | IT専任者が限られる企業 | 56 | 「サイバー衛生」の基本。全企業が最低限実施すべき対策 |
| IG2 | IT/セキュリティ担当がいる企業 | IG1+74=130 | IG1に加えて運用の複雑さに対応する追加対策 |
| IG3 | セキュリティ専門チームがいる企業 | IG2+23=153 | 高度な脅威に対応する包括的な対策 |
💡 まずIG1から
IG1は「最小限のリソースで最大のリスク削減を達成する56のセーフガード」です。IT専任者がいない企業でも実装可能な対策で構成されており、CIS Controlsの出発点として最適です。
NIST CSF 2.0との対応
CIS Controls v8.1はNIST CSF 2.0の6つのセキュリティ機能(Govern / Identify / Protect / Detect / Respond / Recover)にマッピングされています。CSFが「何を達成すべきか」を示し、CIS Controlsが「具体的に何をすべきか」を示す関係です。
導入の進め方
| Step | アクション |
|---|---|
| 1 | 自社のIGレベルを決定(IG1 / IG2 / IG3) |
| 2 | CIS Controls自己評価ツール(CIS CSAT)で現状を評価 |
| 3 | ギャップのあるセーフガードを優先度順に実装 |
| 4 | 定期的に再評価し、次のIGレベルを目指す |
まとめ
CIS Controls v8.1は18コントロール・153セーフガードを3段階のIG(実装グループ)で優先度付けしたサイバーセキュリティ対策ガイドラインです。まずIG1の56セーフガードから着手し、段階的にIG2・IG3へ進めましょう。