こんにちは、エンジニアのあっきーです。
最近は、California Consumer Privacy Act (CCPA)やNY SHIELD Actのような個人情報を守るための規制等でもITシステムの適切なセキュリティ対策が求められるようになり、IT担当者の方も自社のシステムの現在の対策は十分なのか、どこまで対策をとるべきかなど悩まれている方も多いのではないでしょうか?
そこで今回は、CIS Controlsをご紹介したいと思います。
CIS Controlsは、Center for Internet Securityが国際パブリックライセンスの元提供しているシステムやネットワークに関してどのような対策をとればよいかまとめられたフレームワークです。詳細はhttps://www.cisecurity.org/controls/をご参照ください。
CIS Controlsの特徴
CIS Controlsは、この記事を執筆している2020年6月19日時点ではバージョン7.1が公開されており、以下のような特徴があります。
特徴① IT専門家のコミュニティによるベストプラクティスである。
特徴② どのような対応をすればよいか、アクションがわかりやすい。
特徴③ なぜそのControlが重要なのかが記載されている。
特徴④ 対応するための手順やツールに関する概要も記載されている。
特徴⑤ 企業規模や状況に合わせて、どのControlに取り組むべきかの指針がある。
フレームワークというと概念的で実際のアクションはどうすればよいのか、困ることがありますが、CIS Controlsは何といっても取るべきアクションが具体的に書かれているのでわかりやすく、IT担当者やエンジニアにとってもとっつきやすい内容になっています。
CIS Controlsの内容
CIS ControlsはBasic, Fundamental, Organizationalの3つに区分され、20のControlと、それぞれのControlの中のSub-Controlから構成されています。
[Basic]
Basicの6つControlは、資産、権限、監視、ログ分析などの管理についての取り組むべきアクションが記載されています。
Control 1: Inventory and Control of Hardware Assets
Control 2: Inventory and Control of Software Assets
Control 3: Continuous Vulnerability Management
Control 4: Controlled Use of Administrative Privileges
Control 5: Secure Configuration for Hardware and Software on Mobile Devices, Laptops,
Workstations and Servers
Control 6: Maintenance, Monitoring and Analysis of Audit Logs
[Fundamental]
Fundamentalの10つのControlは、マルウェア対策やデータ保護などシステムで対応すべきアクションが記載されています。
Control 7: Email and Web Browser Protections
Control 8: Malware Defenses
Control 9: Limitation and Control of Network Port, Protocols and Services
Control 10: Data Recovery Capabilities
Control 11: Secure Configuration for Network devices, such as Firewalls, Routers and Switches
Control 12: Boundary Defense
Control 13: Data Protection
Control 14: Controlled Access Based on the Need to Know
Control 15: Wireless Access Control
Control 16: Account Monitoring and Control
[Organizational]
Organizationalの4つのControlは、組織として取り組むべきセキュリティ教育やセキュリティ対策のプログラムの構築などのアクションが記載されています。
Control 17: Implement a Security Awareness and Training Program
Control 18: Application Software Security
Control 19: Incident Response and Management
Control 20: Penetration tests and Red Team Exercises
それぞれのControlには、Sub-Controlがあり、例えば、Control 12: Boundary Defenseでは12個のSub-Controlが定義されていますが、最初の2つSub-controlは以下のようになっています。
(出典:CIS Controls V7.1 Page 42, https://learn.cisecurity.org/cis-controls-download)
Controlの内容と説明(Description)、対象となる資産の種類(Asset Type)やそのControlが特定、検知、保護、対応などように、どのセキュリティ機能(Security Function)に属するのかなどもまとめられています。
また、上記の特徴⑤に関連して、IGという考え方がバージョン7.1から導入されました。CIS ControlsのSub-Controlは合計で170以上あり、それをすべて実装するとなると相当のコストと労力がかかる為、企業規模や状況に合わせて対応することを推奨しています。
IGはImplementation Groupの略ですが、扱っている情報の重要度、企業規模、サイバーセキュリティ体制などを考慮した3グループに分けられています。簡単に言うと以下のようになります。
IG1:重要度の高い情報は取り扱っておらず、サイバーセキュリティに取り組む体制も
整っていない小規模組織
IG2:重要度の高い情報も取り扱っており、サイバーセキュリティに取り組む体制は
一部整っている中規模組織
IG3:重要性の高い情報を取り扱っており、サイバーセキュリティに取り組む体制も
整っている大規模組織
自社がどのIGに属するのかの判断もその企業のとらえ方次第ではありますが、あくまでIGとSub-Controlの実装の関係はCISが推奨する指針であるというレベルで理解いただくとよいかと思います。
CIS Controlsのおすすめの使い方
上記で説明したようにCIS Controlsは、理解しやすく、使いやすさも考慮されているフレームワークです。どのようなことが書かれているのか読んでみるだけでも参考になると思います。
筆者は、CIS Controlsを以下のように使うのをおすすめします。
セルフアセスメントをしよう!
自社のシステムが20のControlの中でどれが出来ていて、どれが出来ていないのかを確認し、出来ている場合は、Sub-Controlのどこまでできているのか把握しましょう。
CISのサイトにはCSAT(Controls Self-Assessment Tool)という無料で使えるツールも公開されています。
システム導入の際の指針にしよう!
取り組むべき対策が記載されているので、導入時はここまでの対策をとっておこうであるとか、次のステップでは、ここまでカバーしようなど段階的に取り組んだり、ロードマップやセキュリティ対策予算作成の指針として使いましょう。
今回は、セキュリティ対策のベストプラクティスをまとめたフレームワークのCIS Controlsをご紹介しました。すべてのControlを満たすことができれば、それにこしたことはありませんが、自組織がどのIGに属するかや、考えられるリスクを考慮しながらどの部分を強化すべきか等によって、優先度の高いControlから実装していくことがポイントではないかと思います。
IIJ America Incでは、セキュリティに関するご相談、脆弱性診断やペネトレーションテスト、標的型メール攻撃訓練等のサイバーセキュリティ対策ソリューションも提供しています。お電話での無料相談も受け付けておりますので、まずはお気軽にWebフォームにてお問い合わせください。