CIS Controlsとは?ビジネス環境の変化とセキュリティ対策に関する経営者の悩み
近年、IT技術の進歩とデジタル化の流れにより、ビジネス環境は劇的に変化しました。孫子の「兵の形は水に象る」という言葉のように、ビジネス環境の変化に合わせてセキュリティ対策も柔軟に変化させていく必要があります。しかし、多くの経営者は、今のセキュリティ対策で大丈夫だろうか、何をすれば良いのか、どこから手を付けたら良いのか、情報セキュリティの知識を持った人材がいない、予算がない、時間がない、など様々な悩みを抱えています。そこで、近年注目されているのがCIS Controlsです。CIS Controlsは、経営者の悩みを解決してくれる優れたガイドラインです。本コラムでは、CIS Controlsについて解説します。
目次
ビジネス環境の変化
はじめに、一昔前と比べてビジネス環境がどう変わったのかおさらいしてみましょう。
固定電話からスマートフォンへ
かつてビジネスにおけるコミュニケーション手段は固定電話が主流でしたが、現在ではスマートフォンが中心となっています。スマートフォンやタブレット端末の普及により、従業員はいつでもどこでも仕事ができるようになりました。さらに、個人所有のデバイスを業務に使用するBYODも普及し、個人端末のセキュリティ管理が重要になっています。
紙媒体からデジタルドキュメントへ
業務プロセスの見直しとともに紙媒体の資料がデジタル化され、DX化が進んでいます。デジタル化された資料はクラウドサービスを使って共有されるのが一般的になり、情報のアクセス性が向上し、業務効率が大幅に改善されました。しかし、デジタルデータの漏洩や不正アクセスのリスクも増加しています。
オンプレミスからクラウドサービスへ
オンプレミスのシステムからクラウドサービスへの移行も進んでいます。以前は社内のシステムにあったデータも、今ではクラウドサービスを提供する外部企業のシステム内、場合によっては海外のサーバーに保存されることが一般的になり、データ保護の考え方も変わりました。クラウドサービスはコスト削減やスケーラビリティの向上といったメリットを提供しますが、同時にデータ保護やアクセス管理の課題も生じます。
オフィスワークからテレワーク、リモートワークへ
コロナをきっかけに、オフィスワークからテレワークやリモートワークへの移行も進みました。出社を前提とした押印文化は見直され、オンライン会議も日常的に行われるようになりました。テレワークやリモートワークは柔軟な働き方を提供しますが、同時にセキュリティの課題も伴います。
安全神話からゼロトラストへ
かつては「インターネットにつながっていないシステムは安全である」という安全神話が存在しましたが、近年ではゼロトラストモデルが注目されています。ゼロトラストは、すべてのアクセスを疑い、常に検証する考え方です。
このようにビジネス環境は劇的に変化しましたが、それに合わせて自社のセキュリティ対策は柔軟に変化できていますでしょうか。それでは、いよいよCIS Controlsについて解説します。
CIS Controlsの概要
CIS Controlsは、米国の非営利組織CIS(Center for Internet Security)によってまとめられたセキュリティガイドラインです。端的に言うと、「あらゆる組織が利用でき、最低限実施すべきセキュリティ対策とその優先順位が示されたガイドライン」です。世界各国のさまざまな分野のセキュリティ専門家が参加し、知見を提供しています。日本での認知度はそれほど高くありませんが、世界では多くの企業や組織が採用しています。特に、米国や欧州を中心に、政府機関や企業が積極的に導入しています。
CIS Controlsの歴史
CIS Controlsは、2008年に米国防衛産業基盤のデータ損失に対応するためにSANS Instituteによって初めて開発されました。当初は「SANS Top 20」として知られていましたが、2013年にCouncil on Cyber Securityに移管され、2015年にCenter for Internet Securityに移管されました。2021年5月にはv7.1からv8.0へのメジャーバージョンアップが行われ、最新の技術動向に対応するために刷新されました。2024年10月23日現在の最新バージョンはv8.1です。
CIS Controlsの特徴
どんな規模の組織でも適用可能
CIS Controlsは、組織の規模に関わらず適用できるように設計されています。中小企業から大企業まで、幅広い組織が利用可能です。
3つの実装グループに分類
組織の規模や求められるセキュリティレベルに応じて、CIS Controlsを利用する組織を3つの実装グループ(IG1, IG2, IG3)に分けています。
- IG1:
中小企業やITおよびサイバーセキュリティのリソースが限られている企業が該当します。 - IG2:
IG1の対策に加え、より高度なセキュリティ対策が必要な企業が該当します。自社内にITインフラの運用管理とセキュリティを担当する部署を持つ中堅企業が中心となります。 - IG3:
データの機密性やサービスの重要度が非常に高く、高度なセキュリティ専門部門が必要な企業が該当します。公的サービスを提供する企業や業界規制の遵守が求められる大企業が含まれます。
最低限のセキュリティ対策が明示
取るべき最低限のセキュリティ対策が明示されているため、どこから手を付ければよいかが分かりやすくなっています。
優先順位が明確
取るべきセキュリティ対策の優先順位が示されているため、リソースが限られている中小企業でも効率的に対策を進めることができます。
最新の技術動向に対応
クラウドサービスの普及やゼロトラスト化など、近年のビジネス環境の変化に合わせて、CIS Controlsの内容も更新されています。これにより、情報セキュリティの深い知識を持たない経営者やセキュリティ担当者でも、最新のセキュリティリスクに対応することができます。
CIS Controlsの構成
CIS Controlsは、18のコントロール(主要項目)と153のセーフガード(管理策)で構成されており、それぞれの実装グループ(IG1, IG2, IG3)が取るべきセキュリティ対策(コントロールとセーフガード)が示されています。実装グループに対するコントロールとセーフガードの数は以下のとおりです。
実装グループ | コントロール数 | セーフガード数 | 備考 |
---|---|---|---|
IG1 | 18 | 56 | 基本的なサイバーハイジーン※1 |
IG2 | 18 | 130 | IG1+74 |
IG3 | 18 | 153 | IG1+IG2+23 |
※1:IG1に該当するコントロールとセーフガードは、どんな組織でも最低限行うべきセキュリティ対策であり、「基本的なサイバーハイジーン」と呼ばれています。
CIS Controlsを実装するためのステップ
実装グループの選択
自社の組織の規模や求められるセキュリティレベルに応じて、実装グループ(IG1, IG2, IG3)のいずれかを選択します。
アセスメントの実施
該当する実装グループのセーフガードに対して、自社でどの程度対策ができているかをアセスメントします。これにより、現在のセキュリティ対策状況を把握することができます。
不足している対策の特定
アセスメントの結果、不足している対策や改善すべき対策が明らかになります。これにより、優先順位をつけて対策を進めることができます。
具体的な対策の実施
特定された不足対策に対して、具体的なセーフガードを実施していきます。例えば、資産の管理、データ保護、アカウント管理、継続的な脆弱性管理など、基本的な対策を講じることで、サイバー攻撃から自社を守ることができます。
継続的な改善
セキュリティ対策は一度実施すれば終わりではありません。PDCAサイクル(Plan-Do-Check-Act)を回して改善を続けることが重要です。
まとめ
CIS Controlsは、あらゆる組織が利用できる、最低限実施すべきセキュリティ対策とその優先順位を示したガイドラインです。 そのため、情報セキュリティの深い知識を持たない経営者やセキュリティ担当者でも、何から手を付ければ良いのか、どの対策を優先すべきかを明確に理解でき、 限られたリソースを最も重要なセキュリティ対策に集中することが可能です。さらに、CIS Controlsは最新の技術動向に合わせて定期的に更新されているので、 IT技術の進歩によるビジネス環境の変化にも柔軟に対応できます。このように、CIS Controlsは様々なメリットをもたらすので、自社の組織で是非ご活用ください。