トップ 18 重要セキュリティコントロール: CIS ソリューション

Center for Internet Security とは？

CIS は、自ら構成ポリシー基準 (CPB) を作成する非営利団体です。貴社は、これらのガイドラインに従うことで、サイバーセキュリティやコンプライアンスの対策を強化できるようになります。本プロジェクトは、広く採用されている IT やセキュリティ製品向けに、業界標準のセキュリティ設定のベースラインを確立することを目的としています。さらに、CIS コントロールと呼ばれる一連の規定を公開しており、これらは随時、コミュニティの手続きで検証および更新されます。

‍

セキュリティコントロールの目的

名称からも分かるように、これらのコントロールはサイバーセキュリティを強化し、企業の IT 運用をリスクを極力抑えて管理するために設計されている。ハッキング、ネット上の危険、データ損失といった懸念を、CIS のセキュリティコントロールが軽減します。また、コンプライアンスおよびサイバーセキュリティのベストプラクティスに関する助言ともなっています。

より正確には、これらのパネルは、企業がプライバシープロセスを採用する根拠を示し、堅牢な枠組みを提供します。最も一般的な攻撃に対して最大限の安全を確保するには、18 のコントロールすべてを実施すれば十分です。

しかし、特に小規模な企業にとっては、これらを独自に把握するのは容易ではありません。そこで、CIS 18 コントロールの推奨は、対策を段階的に実施できるように助けとなります。多様な選択肢の中で、規模に関係なく全ての企業がプライバシー向上のための対策を講じることが可能です。

強調すると、CIS コントロールは、特定のサイバー攻撃を避ける方法を示すのではなく、企業内部のセキュリティシステムを守ることを重視しています。したがって、CIS の規定は 100% 完全かつ包括的というわけではなく、さらなるサイバーセキュリティ強化への出発点と位置付けるべきです。

‍

CIS コントロール V7 と V8

これらは、Center for Internet Security (CIS) により作成されたサイバーセキュリティのベストプラクティスのセットです。コントロール Version 7 は 2018 年にリリースされ、2020 年に更新されました。一方、CIS コントロール Version 8 は 2021 年にリリースされています。

両バージョンの主な違いは次の点です：

• Version 8 は Version 7 よりコントロール数が少ないが、重点が絞られ、優先順位が明確になっている。
• Version 8 は、進化する脅威や技術に適応する能力を含め、継続的なサイバーセキュリティの必要性を強調している。
• Version 8 は、クラウド利用や IoT など、最新のセキュリティ課題に対応するための新たなコントロールを導入している。
• Version 8 は、企業の目標、資産、脅威環境を考慮した、より体系的なリスク管理のアプローチを提供する。

各組織は、規模や種類を問わず、Version 7 と 8 の指針から利益を得ることができ、どちらを採用するかは貴社の要求事項やリスク耐性に依存する。

CIS 重要セキュリティコントロール

デバイスの監視担当者が誰かは問題ではなく、CIS V8 はデバイスが何をしているかにも着目している。今日の透過性が高く相互接続されたデジタル社会では、柵やガジェット、個別のセキュリティ機構の価値が低下している。こうした点を踏まえ、CIS V8 の基本原則が策定された。

CIS コントロール 1: 企業資産の把握と管理

企業の全資産（現地、社内、リモート、クラウドに接続するもの）の積極的な管理（把握、追跡、改善）は、守るべき資産全体を正確に理解するために不可欠です。これにより、不適切または管理が行き届いていない資産を見つけ出し、対処することができる。

対策

• 不正な資産に対処する手順を定期的に整備する。企業は、これらの資産を隔離、除去、またはリモート接続を遮断できる。
• アクティブ検出ツールで企業のネットワーク資産を把握し、毎日またはそれ以上の頻度で実施する。
• パッシブ検出手法を利用し、ネットワーク関連資産を特定する。最低でも週1回、もしくはそれ以上の頻度でスキャンを行い、資産一覧を更新する。

‍

CIS コントロール 2: ソフトウェア資産の把握と管理

ネットワーク上の全ソフトウェア (OS やアプリ) を徹底的に管理（把握、追跡、修正）し、認可されたものだけがインストール・実行されるようにする。これにより、未承認または管理外のソフトウェアのインストールや実行が防がれる。

対策

• 企業がライセンスを有するソフトウェアの一覧を作成し、定期的に更新する。URL、アプリストア、バージョン、導入方法、停止日、さらに名称、提供元、初回インストール・使用日、業務目的などの情報を含め、年2回以上確認する。
• 企業所有の資産で未承認のソフトウェアが使用されている場合は、撤去するか文書による例外許可を与える。月1回、または必要に応じてより頻繁に確認する。
• 可能な限り、ソフトウェア資産管理ツールを活用し、全ソフトウェアの把握を効率化する。

‍

CIS コントロール 3: データの守り

データを識別・分類し、安全に管理、保管、そして最終的に廃棄するための手順や技術的対策を確立する。

対策

• データ管理体制を整え、常に最新の状態に保つ。データの所有、処理、保管、削除に関して企業全体の基準を考慮し、年1回または大きな変動時に記録を見直す。
• 社内のデータ管理システムを活用し、全データの一覧を作成・更新する。機微な情報も一定程度保持し、一覧は年1回、特に機微な情報に注意して確認・更新する。
• 各ユーザが参照すべき情報に応じた許可管理リストを整備し、社内およびクラウドのストレージ、データベース、ソフトウェアにデータ ACL や権限設定を適用する。

‍

CIS コントロール 4: 企業資産とソフトウェアの安全な設定

最終消費者向け製品（携帯端末、スマートフォン、ネットワーク機器、非コンピューター/IoT 製品、サーバなど）およびそれに対応するソフトウェアは、初めから安全な状態で設定され、その状態が維持されなければならない。

対策

• 企業資産およびフリーソフトは安全に設定し、文書も年1回または大きな企業変動時に更新する。
• ネットワーク機器も安全に設定し、文書は年1回または大きな変化時に見直す。
• 一定期間使用がない企業資産はロックする。一般 OS の起動許容時間は最大15分、モバイル端末は最大2分とする。

‍

CIS コントロール 5: アカウント管理

企業が利用する全てのハードウェアおよびソフトウェアに対し、管理者やサービスアカウントを含むあらゆるユーザーアカウントの作成とアクセス権の管理にシステムや資源を活用する。

対策

• 全ての企業アカウントの完全かつ最新の一覧を作成する。ユーザーも管理者も、氏名、ユーザー名、開始日・終了日、部署などの情報を記載し、四半期もしくはそれ以上の頻度で全アカウントの承認状況を確認する。
• 企業データは、各アカウントごとに別々のパスワードで守る。多要素認証対応の場合は14文字以上、そうでなければ8文字以上を推奨する。
• 使用されていないアカウントは、可能なら45日後に削除または無効化する。

‍

CIS コントロール 6: アクセス権管理

企業資産やソフトウェアに対するユーザー、管理者、サービスアカウントを作成し、適切な手順とツールでアクセス権を管理する。

対策

• 新規採用、権限付与、役割変更の際、利用者に企業資源へのアクセスを提供する手順（できれば自動化されたもの）を整備し、遵守する。
• 従業員の退職、権限剥奪、または職務変更時には、アカウントを即時に無効化する手順を整備する。記録維持のため、削除ではなく一時的に無効化する場合もある。
• 公開されている企業系および第三者のアプリに多要素認証を組み込み、ディレクトリサービスや SSO プロバイダーで MFA を実施する。

‍

CIS コントロール 7: 継続的な脆弱性管理

インフラ内の全企業資産のセキュリティ状況を監視し、脆弱性を修正して攻撃のリスクを低減する体制を整え、業界や政府の情報源から新たな脅威や弱点の情報に注視する。

対策

• 企業資産の脆弱性管理手順を詳細に整備し、年1回または大きな変化時に見直す。
• リスクに基づく修正戦略を策定し、定期的または必要に応じて更新する。
• 自動パッチ管理により、企業資産の OS 更新を月1回またはそれ以上の頻度で実施する。

‍

CIS コントロール 8: 監査ログ管理

攻撃の検知、把握、回復に利用できるイベントの監査ログを収集し、通知、確認、必要な期間保管する体制を整える。

対策

• 企業の記録要件を明示した監査ログ管理体制を整備し、収集、確認、保管を実施。記録は年1回または大きな変化時に見直す。
• 全企業資産が所定の監査ログ管理手法に沿って記録されているか確認する。
• 監査ログの保管場所に十分な容量を確保する。

‍

CIS コントロール 9: メールおよびウェブブラウザ保護

メールやウェブを介しての脅威を防ぎ検知することは、攻撃者が直接ターゲットに働きかける性質上、非常に重要である。

対策

• 企業ネットワーク内で、ベンダーが正式にサポートする最新バージョンのブラウザおよびメールクライアントのみを使用する。
• 全社ネットワークで DNS フィルタリングを活用し、危険なウェブサイトへのアクセスを遮断する。
• ネットワーク管理者は URL フィルタを実施し、定期的に更新して、企業資産がマルウェアや未承認のウェブサイトに接続しないよう対策する。

‍

CIS コントロール 10: マルウェア防御

有害なソフトウェアが企業のコンピュータにインストールされたり、自動実行されたりしないように対策する。

対策

• 全企業用コンピュータにマルウェア対策をインストールし、定期的に更新する。
• 全企業資産でアンチマルウェアのシグネチャファイルが自動的に更新されるよう設定する。
• リムーバブルメディアの自動再生および実行を無効にする。

‍

CIS コントロール 11: データ復旧

攻撃前の安全な状態に企業資産を確実に戻すためのデータ復旧手順を構築し、維持する。

対策

• データ復旧手順を策定し、バックアップデータの安全性、復旧の優先度、復旧作業の範囲などを考慮しながら年1回または変動時に見直す。
• 重要な企業データは自動バックアップを実施し、少なくとも週1回、必要ならより頻繁に実行する。
• 復旧後の情報が元と同等の安全性を保つよう、暗号化リンクやデータの区分を活用する。

‍

CIS コントロール 12: ネットワークインフラ管理

ハッカーが無防備なネットワークサービスやアクセスポイントを利用できないよう、ネットワーク機器を設置・導入し、積極的に監視、報告、修正する。

対策

• 最新の安定版ソフトウェアやネットワーク・アズ・ア・サービス (NaaS) を利用し、最先端のネットワークインフラを維持する。ソフトウェアサポートの継続性確認のため、月ごとにバージョンをチェックする。
• ネットワークの安全な体制を整備し、セグメント化、最小権限、可用性の原則を徹底する。
• 暗号化された転送プロトコル（例：SSH や HTTPS）やインフラのバージョン管理を用いて、ネットワークを安全に監視する。

‍

CIS コントロール 13: ネットワーク監視と防御

企業のネットワーク構成およびユーザー全体に対し、完全な監視と防御体制を構築・維持するための手順とソフトウェアを稼働させる。

対策

• 業界全体の保護イベント監視、ログ相関、分析を統合し、管理負担を軽減する。SIEM の採用は効果的な実施に不可欠であり、セキュリティ相関警告を持つログ分析プラットフォームも有効である。
• 企業全体にエンドポイント侵入監視システムを展開する。
• 悪意あるネットワーク活動を検出できるシステムを導入し、NIDS や同様の CSP サービスを活用する。

‍

CIS コントロール 14: セキュリティ意識とスキル向上訓練

従業員のセキュリティ意識とスキルを向上させ、サイバー脅威への露出を低減するため、安全意識向上イベントを整備し、維持する。

対策

• セキュリティ教育プログラムを策定し、継続的に更新する。新規採用時やその後年1回の訓練を実施し、内容は大きな変動時も見直す。
• 従業員には、フィッシング、偽装、テールゲーティングなどのソーシャルエンジニアリングを見抜く方法を教育する。
• 多要素認証、パスワード作成、認証情報管理など、認証のベストプラクティスについても指導する。

‍

CIS コントロール 15: サービスプロバイダー管理

機微な情報を扱う、または重要な IT インフラを管理する第三者サービスプロバイダーのセキュリティ対策を評価する方法を策定する。

対策

• サービスプロバイダーの一覧を作成し、分類および社内の担当者を割り当て、一覧は年1回または大きな変化時に更新する。
• サービスプロバイダー管理の方針を策定し、識別、分類、一覧作成、評価、監視、無効化を含め、年1回または変動時に見直す。
• データの機微性、量、可用性、関連法規、固有リスク、軽減リスクなどを考慮し、サービスプロバイダーを分類し、年1回または大きな変化時に見直す。

‍

CIS コントロール 16: アプリセキュリティ

自社開発、社内ホスト、または外部購入のいずれであっても、企業で利用する全アプリのセキュリティライフサイクルを管理し、脆弱性が被害を及ぼす前に対策する。

対策

• アプリ開発プロセスの安全性を確保し、安定した状態を維持する。安全なアプリ設計基準、安全なコーディング技法、開発者教育、脆弱性管理、第三者コードの安全性、アプリセキュリティテスト手法などを取り入れ、年1回または変動時に記録を見直す。
• セキュリティの根本原因を特定し、開発チームが問題を包括的に解決できるよう原因分析を実施する。
• 利用する外部プログラムが最新かつ信頼できるか確認し、実績あるフレームワークやライブラリを選定、または事前に脆弱性を確認する。

‍

CIS コントロール 17: インシデント対応管理

方針、計画、手順、役割、訓練、連絡体制を含むインシデント対応能力を構築・維持するプログラムを策定し、攻撃に備え、検知、迅速に対応できる体制を整える。

対策

• 主要および補助の連絡担当者を設定し、社内外の関係者が連携してインシデント対応および復旧作業を実施する。外部業者利用時も社内担当を必ず設け、年1回または変動時に再評価する。
• 役割分担、規制遵守、情報共有などを含むインシデント対応手順を策定し、年1回または大きな変化時に更新する。
• 発生後は状況を詳しく調査し、教訓の抽出と対策により再発防止を図る。

‍

CIS コントロール 18: ペネトレーションテスト

攻撃者の目的や行動を模倣し、対策（人、手順、技術）の脆弱性を発見・利用することで、企業資産の有効性と耐性を検証する。

対策

• 企業の規模、複雑性、成熟度を考慮したペネトレーションテスト計画を策定し、対象範囲、頻度、制限、連絡先、内部フィードバック、振り返り要件などを含め、定期的に更新する。
• テストで発見された問題に対し、重大度と修正優先度を踏まえて企業の修正方針を適用する。
• テスト後は採用されたセキュリティ対策の有効性を検証し、必要に応じて変更検知ルール等を調整する。

実施グループとは？

Center for Internet Security の重要セキュリティコントロールは、リスク、ビジネス技術、防御策に関する専門的知見を統合し、効率的で分かりやすいセキュリティ改善の管理手法として広く認識されている。しかし、これらの示唆は、あらゆる規模・複雑性の企業が、立ち上げや重点配分においてさらなる支援を必要としていることを示している。

このため、実施グループ (IG) が設けられ、CIS コントロールの実施は IG ごとに優先順位が定められる。IG は、企業の規模に応じた3つのカテゴリーに分かれ、企業のリスク許容度や保有資産を考慮して対策を実行する。各 IG は、独自の対策群（旧 CIS サブコントロール）を設定しており、CIS コントロール v8 には153 のセキュリティ対策が含まれている。

全ての企業はまず IG1 から始めることが推奨される。IG1 は、一般的に入手可能な技術やプロセスで十分なセキュリティ効果を提供し、必要に応じた個別対応の基盤を築く。より多くの人員、知識、資本を持つ企業には、IG1 を補完する第2の対策群として IG2 が設けられる。残りの対策は IG3 にまとめられ、最終段階を構成する。

これらの IG を活用することで、あらゆる規模の企業が限られたセキュリティ資源を効果的に配分しつつ、CIS コントロールのプログラム、コミュニティ、補助ツールから恩恵を受けることができる。

• 実施グループ 1

全ての企業は、IG1 で定められた56の最低レベルのサイバーハイジーンを遵守するべきである。通常、IG1 の企業は小～中規模で、サイバーセキュリティや IT にかける予算が限られ、情報の取り扱いも低リスクである。

• 実施グループ 2

IG2 は、一定量の機微な情報とより豊富な資源を持つ企業向けに設計され、その74の対策は、IG1 の56の対策を拡充し、複雑な状況への対応を容易にする。特定の対策の導入や設定は、豊富な技術知識と企業レベルの資源が必要となる。IG2 の企業は、ITインフラやデータの監視・管理・保護を専任スタッフで行える余裕があり、情報漏洩が発生すれば、企業や顧客に関する機微な情報の取扱いから信頼が大きく低下する恐れがある。

• 実施グループ 3

IG3 の対象は、確立された企業で、従業員や顧客に関する非常に機微な情報を保持している必要がある。さらに23の追加対策が定められている。IG2 と比べ、IG3 の企業は大規模であり、ペネトレーションテスト、リスク管理、アプリ開発など多岐にわたるセキュリティ専門家を頻繁に採用している。これらの企業は、複雑な攻撃の回避・軽減や、ゼロデイ攻撃の影響を抑える能力が求められる。

‍

CIS 重要セキュリティコントロールとその他の基準

NIST 800-53、PCI DSS、FISMA、HIPAA などの規制遵守を求められる企業は、CIS コントロールを活用することで、これら他のコンプライアンスやセキュリティ基準と連動させることができる。さらに、NIST サイバーセキュリティフレームワークは、CIS CSC を基盤としたベストプラクティスを提示する有力なツールとして、企業のセキュリティ強化に寄与している。

CIS 重要セキュリティコントロールは、セキュリティ体制を強化し、主要な攻撃ベクトルに対する防御を固めようとする企業にとって、優れた出発点となる。