継続的なセキュリティ対策の重要性と「CIS controls」について
みなさま、こんにちは。
社会のデジタル化に伴いセキュリティ維持に関する対策は、企業・組織にとって大変重要なものとなりました。
さらには、個人情報保護に関する法令の改正・施行などの影響もあり、各企業の社会的責任やビジネスリスクも増加しています。
このコラムでも以前からお伝えしていますが、セキュリティ対策は現状を正しく把握し、是正・改善を繰り返して安全な状態を継続していくというサイクルを回していく運用が必要です。
本日は、継続的なセキュリティ対策の重要性と、それを実践するための参考ガイドラインとして「CIS controls」のお話をお伝えしようと思います。
継続的なセキュリティ対策の重要性
皆様、継続的なセキュリティ対策と聞いてどのようなものを思い浮かべますか?
企業や組織、各個人において、そのイメージは必ずしも同じでは無いのではないでしょうか?
私のようなセキュリティ対策業界に従事している者としては、「継続的なセキュリティ対策」とは、以下のような状態を満たしている事だと考えています。
① 現状の対策状況、問題点が可視化されている事
② 新たなセキュリティリスクが発見された際に、迅速に気付ける仕組みが構築されている事
③ 問題点の是正・強化に関する優先順位・運用フローが整備されている事
④ 企業・組織内でこれらの意識が統一されており、対応可能である事現状の対策状況、問題点が可視化されている事
これまで、定期的な脆弱性診断を実施する事によって継続的な対策が出来ていると言えた時代もありましたが、サイバー攻撃等によるセキュリティ侵害がいつでも起こり得る現在の我々を取り巻くIT環境においては充分とは言えません。
このような背景から企業・組織におけるサイバーセキュリティ対策実装の具体的なガイドラインとして公開されているものが「CIS controls」です。
CIS controlsとは?
「CIS Controls」は、米国のセキュリティ非営利団体であるCIS(Center for Internet Security)が、サイバーセキュリティ対策として企業・組織が実践すべきことをまとめたガイドラインです。
※CIS(Center for Internet Security)とは、
米国国家安全保障局(NSA)、国防情報システム局(DISA)、米国立標準技術研究所(NIST)などの政府機関と、企業、学術機関などが協力して、インターネット・セキュリティ標準化に取り組む目的で設立された米国の団体です。
CISが改訂・管理している「CIS Controls」は、現在発生しているサイバー攻撃や近い将来に発生が予測される攻撃の傾向を踏まえ、多岐にわたる対策の中から、企業・組織が実施すべき対策と、その優先順位を導くためのベストプラクティスやアプローチを提示したフレームワークとして公開されています。
特に、サイバーセキュリティに関する技術的安全対策の分野に焦点が当てられていることが特徴で、日本企業でも参考にする企業が増えています。
昨年リリースされた「CIS Controls v8」が現在の最新版で、CISのサイトよりダウンロードが可能です。
参考:CIS Controls v8 ダウンロード
CIS(Center for Internet Security)
https://learn.cisecurity.org/cis-controls-download
CIS Controlsの具体的な内容としては、「3つのグループ」、「18のコントロール」と「153の対策」が提示されています。 。
3つのグループと18のコントロール
CIS controlsには、3つのグループと18のコントロールにおいて、153の具体的な対策が記載されています
■3つのグループ
CIS Controlsにおいては、企業・組織の規模に応じた最適な対策が出来るよう、保有している情報資産の価値や機密性などに合わせて3つのグループに分けて以下のように記載されています。
| IG1 | IG1の組織は、IT資産や人員を保護するためのITおよびサイバーセキュリティの専門知識が限られている中小企業です。 これらの組織はサービス中断を許容できる範囲が限られ ているため、最大の関心事は事業継続性です。 保護するデータの機密度は低く、主に従業員情報や財務情報が対象となります。 IG1に割り当てられた保護手段は、限られたサイバーセキュリティの専門知識で実施可能であり、標的型ではない一般的な攻撃を阻止することを目的としています。 また、通常こ れらの保護手段は、小規模またはホームオフィス向けの市販のハードウェア、ソフトウェアと連携して動作するように設計されます。 |
| IG2 IG1を含む) | IG2の組織は、ITインフラストラクチャの管理・保護責任者を雇用しています。 これらの組織は、職能やミッションに基づいて異なるリスクプロファイルを持つ複数の部門をサポートしています。 小規模な部署では、規制遵守の負担がかかる場合があります。 IG2の組織は、顧客や組織の機密情報を保管・処理していることが多く、短時間のサービス中断であれば耐えることができます。 侵害が発生した場合、社会的信用の低下が大きな懸念事項となります。 IG2に割り当てられた保護手段は、セキュリティチームが運用の複雑化に対処するのに役立ちます。 保護手段の中には、適切にインストールや設定を行うために、企業向けの技術や専門的な知識を必要とするものもあります。 |
| IG3 (IG1、IG2を含む) | IG3の組織は、サイバーセキュリティのさまざまな側面 (リスク管理、ペネトレーションテスト、アプリケーションセキュリティなど) を専門とするセキュリティ専門家を雇用し ています。 IG3の資産やデータには、規制やコンプライアンスの監視対象となる機密情報や機能が含まれています。 IG3の組織は、サービス可用性、および機密データの機密性と完全性を守る必要があります。 攻撃が成功すると、公共の福祉に重大な損害を与える可能性があります。 IG3に割り当てられた保護手段は、高度な攻撃者からの標的型攻撃を阻止し、ゼロデイ攻撃の影響を低減するものでなければなりません。 |
■18のコントロール
| 01:組織の資産のインベントリと管理 | 07:継続的な脆弱性管理 | 13:ネットワークの監視と防御 |
| 02:ソフトウェア資産のインベントリと管理 | 08:監査ログ管理 | 14:セキュリティ意識向上とスキルのトレーニング |
| 03:データ保護 | 09:電子メールとWeb ブラウザの保護 | 15:サービスプロバイ ダーの管理 |
| 04:組織の資産とソフトウ ェアの安全な構成 | 10:マルウェアの防御 | 16:アプリケーションソフトウェアセキュリティ |
| 05:アカウント管理 | 11:データ復旧 | 17:インシデントレス ポンスと管理 |
| 06:アクセス制御管理 | 12:ネットワークインフラ ストラクチャ管理 | 18:ペネトレーションテスト |
CIS controlsでは、153の要求事項に対して、グループごとにそれぞれ優先的な対応が推奨される項目が指定されています。
・IG1:153項目中、56項目
・IG2:153項目中、130項目
・IG3:153項目中、153項目(すべて)
これらを参考にする事で、計画的な対策立案が可能になります。
まとめ
CIS controlsは、IT環境の変化と共に改定されてきましたが、その原則については大きく変わっていません。
対策の優先順位をしっかりと意識し、実現可能な内容である事、また平時より万が一のセキュリティ侵害に備えておく事が重要と記載されています。
是非一度、ガイドラインに目を通していただく事を推奨します。
冒頭でもお伝えしましたが、M&Kでは以下の事が重要であると考えます。
① 現状の対策状況、問題点が可視化されている事
② 新たなセキュリティリスクが発見された際に、迅速に気付ける仕組みが構築されている事
③ 問題点の是正・強化に関する優先順位・運用フローが整備されている事
④ 企業・組織内でこれらの意識が統一されており、対応可能である事現状の対策状況、問題点が可視化されている事
近年のサイバー攻撃等に代表されるセキュリティ侵害の件数は、10年前と比較して約100倍以上になっていると報告されています。
攻撃手法も多種多様に進化し、業種・業態・企業規模に関わらず様々な企業・組織が悪意のある第三者の被害を受けています。
M&Kでは、CIS controlsに沿ったクラウド環境のアセスメント、情報セキュリティに関するコンサルティング、脆弱性診断、セキュリティソリューション導入支援など、企業のセキュリティ対策に関する課題に経験豊富なコンサルタント、エンジニアがご支援を行っております。
何かお悩みの点がございましたら、お気軽にご相談ください。
株式会社M&K 