2021年12月23日 / 最終更新日 : 2021年12月23日 Yuko_Asai 脅威インテリジェンス

CIS クリティカルセキュリティコントロール(CSC):その趣旨と実装方法

この記事はBitSight社のブログを翻訳したものです。

原題:CIS Critical Security Controls: What Are They and How Can You Meet These Standards?

https://www.bitsight.com/blog/cis-security-controls

サイバー脅威が進化し、ビジネスモデルが変化を続ける中、成熟したサイバーセキュリティプログラムを維持することは難しい取り組みです。それには、組織が現在使用しているセキュリティツールと手法の有効性を確認しなければなりません。ソフトウェアの設定ミスやシステムへのパッチ適用が遅れただけで、脆弱性はいとも簡単にIT環境へと侵入してしまいます。

この取り組みをサポートするのが、Center for Internet Security(CIS)です。CISは、組織がサイバーセキュリティプログラムの有効性を自己評価するための基準を提供しています。18の項目から成るCIS Critical Security Controls(CSC)は、変貌する脅威に対抗すべく、毎年改訂されています。

CIS クリティカルセキュリティコントロール(CSC)とは

CISが規定する18のコントロールは、企業を3つの実装グループ(IG)に分類しています。IGでは、各企業のリスクプロファイルと利用可能なリソースに基づいて実装すべき保護手段が定められており、これをセーフガード(旧称はCISサブコントロール)と呼びます。

たとえばIG1では、最も一般的な攻撃に対する基本的なサイバー衛生対策が規定されています。これは、規模にかかわらず、すべての組織が実装すべき内容となっています。その1つが、全デジタル資産のインベントリ作成です。これにより、セキュリティチームは監視・保護が必要な資産の全体像を把握できるようになります。対象となる資産には、エンドユーザーデバイス、ネットワークデバイス、IoTデバイス、サーバー、クラウド環境、リモートマシンなどがあります。他にも、データ保護、セキュアな設定、アカウント管理、アクセスコントロール管理、継続的な脆弱性管理などに関するベストプラクティスが含まれています。

IG2では、IG1の内容に加えて、ソフトウェア不正使用の制限、携帯型エンドユーザーデバイスのリモートワイプ機能、データフローの文書化、セキュアなネットワーク認証など、サイバー防御対策が追加されています。これは、異なるリスクプロファイルを持つ複数の部門がITインフラを共有する環境において、重要な基準となります。 IG3は、高度な攻撃を防止または減災し、機密性の高いデータを保護することを目的とします。これには、データ損失防止、ロールベースのアクセスコントロール、ワークスペースの分割といったベストプラクティスが含まれています。

CIS クリティカルセキュリティコントロール (CSC)の推奨事項を満たすには

CSCは明確で分かりやすい基準ですが、実際に実装するとなると、その進捗状況を評価・監視する方法が必要になります。というのは、このコントロールは一般的な脅威の検討と対策を目的とするものであるため、実装にギャップがあるとリスクにさらされる恐れがあるからです。

BitSightにお任せください。BitSight for Security Performance Management(SPM)に新たに加わったControl Insightsは、セキュリティコントロールの現状を素早く評価し、CIS CSC実装の進捗状況を測定します。改善が必要な場合には、ギャップの是正と適切なセーフガード導入に役立つ具体的な方法を提案します。

Control Insightsには、使いやすさを重視した設計が採用されています。ダッシュボードでは、「要改善」や「許容可」など、各セキュリティコントロールの有効性を一目で確認できます。また、問題領域をドリルダウンすれば、根本原因、具体的な理由、修正方法などを取得することも可能です。

たとえば、ソフトウェアの設定ミスを特定することは容易ではありません。このような脆弱性は、実際にサイバー侵害やパフォーマンスの問題が発生するまで見過ごされがちです。Control InsightsとSPMを組み合わせることで、脆弱な設定を自動的かつ継続的に監視し、セキュリティプログラムをCIS Contorls(この場合、CIS Control 4)に準拠した状態へと戻すための推奨事項を確認できます。

また、手作業で行う必要はなく、CIS CSCのベストプラクティスに基づいて組織のセキュリティ態勢を自動で評価できます。 サイバーリスクをプロアクティブに特定および修正し、CIS基準に基づいたセキュリティコントロールを実装する方法についてBitSightがご説明します。

サイバーセキュリティレーティング「BitSight」
カテゴリー
脅威インテリジェンスハイライト
Silobreaker Update

前の記事

Silobreaker Update 2021年12月23日
2021年12月23日
脅威インテリジェンス

次の記事

ランサムウェアの攻撃リスクを評価するには
2021年12月23日