CISの重要セキュリティ対策とは?

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

CIS Critical Security Controlsは、サイバーセキュリティの実践、原則、防御行動の集合体です。CIS(Center for Internet Security)は、組織が現代のサイバーセキュリティのニーズを理解し、それを満たすためのフレームワークや基準を提供する団体で、CISが提供しています。

一言で言えば、CISコントロールズは、組織が現代のデジタル脅威を特定、予測、対応するために使用できる推奨事項です。マルウェア、ランサムウェア、その他のサイバーセキュリティの問題は、時間の経過とともに、より危険で多様なものとなっているため、現代では特に重要なものとなっています。

CISコントロールズは、非公式なコミュニティプロセスを用いて継続的に更新されています。このように、CISコントロールズは、企業、政府機関、学術機関など、さまざまな現代の組織にとって、常に適切で使いやすいものとなっています。CISコントロールズは、適切に活用することで、以下のようなメリットをもたらします:

  • 企業のサイバーセキュリティ上の弱点発見を支援する
  • サイバーリスクの追跡を支援する
  • セキュリティを最大化するための効果的な防御手段を提供する
  • その他多数

CISコントロールズにより、企業は各サイバーディフェンス戦略を実施するための実装グループを割り当て、サイバー攻撃の可能性と有効性を減らすことができます。特に中小企業にとっては、最新の情報セキュリティとサイバーハイジーンアプローチの重要な要素になります。しかし、CISベンチマークは、リスク管理の出発点であり、インターネットセキュリティのすべてを網羅するガイドではないと考えたほうがよいでしょう。

CIS Controlsの最新版とは?

2021年5月18日、CISは「CISコントロールズ」の最新版を発売しました: バージョン8または「v8」です。このバージョンのCIS Controlsは、2021年の世界的なRSAカンファレンスで世界に公開されました。

更新の目的は、刻々と変化し、進化するサイバーランドスケープにおいて、Controlsを適切なものに保つことでした。また、可能な限り簡素化されています。現在、各コントロールのセーフガードやガイドラインでは、可能な限り1つのアクションやアプローチだけを求めています。これは明確で、多くの解釈を必要としません。その結果、CISコントロールズv8は、これまで以上に親しみやすく、理解しやすいものとなっています。

さらに、Version 8は、誰がControlsを実行しても、タスクベースです。誰がさまざまなデバイスを管理するかではなく、アクティビティごとにCISコントロールを組み合わせ、統合しています。全体として、サイバーセキュリティの専門家の間ですでに広く採用されている、重要な改善です。

CIS Controls v8とv7の違い

CIS Controls v8とv7の大きな違いは、v8では全体的にコントロールが少なくなっていることです。これは、以前のコントロールの一部が統合された結果です。

例えば、CIS コントロール 4 は、以前は “管理者権限の管理” と呼ばれていました。コントロール14の「Need to Knowに基づくアクセスの制御」とともに、コントロール4とコントロール14は、新しいバージョンのコントロール6「アクセス制御管理」に統合されました。

これは、管理5と管理11、それぞれ「機器の安全な構成」と「ネットワークの安全な構成」でも起こりました。この2つのコントロールは、新しいコントロール4「企業資産およびソフトウェアの安全な構成」に統合されました。

最後の2つの変更点は、コントロールリストの優先順位において、いくつかのコントロールの位置づけが変更されたことです。コントロール13の「データ保護」は、コントロール3になりました。一方、コントロール16「アカウントの監視と制御」は、コントロール5「アクセス制御管理」に変更されました。

要するに、CISコントロールズリストのv8は、20のコントロールズから18のコントロールズとなりました。これは、合理化され、使いやすく、理解しやすく、NIST CSFのような他のサイバーセキュリティフレームワークとより正確に対応し、組織を保護しようとするサイバーセキュリティ担当者にとって全体的に優れています。

CISコントロールズ一覧

ここでは、18の明確な原則、実践、推奨事項を含む、新しく洗練されたCIS Controls v8リストの詳細な内訳を紹介します。

コントロール1 – 企業資産のインベントリおよびコントロール

最初のコントロールは、企業の資産を積極的に管理することです。その目的は、サイバーセキュリティチームが特定のビジネスにおけるすべての資産を正確に把握し、それに応じて資産を監視および保護できるようにすることです。このコントロールでは、「資産管理」を、すべての企業資産の目録を作成し、追跡し、発見されたら修正することと定義しています。これには、ユーザーデバイス、IoT(Internet of Things)デバイス、サーバーなどのほか、企業インフラに接続されているハードウェア資産も含まれます。

コントロール2 – ソフトウェア資産のインベントリおよびコントロール

コントロール2は、ソフトウェア資産の保護とインベントリ化(カタログ化、整理)に重点を置いています。デジタル攻撃者は、古いソフトウェアやパッチ未適用のソフトウェアを攻撃して、企業システムにリモートアクセスすることが多いからです。この管理では、脆弱性のあるソフトウェア、特にウイルス対策ソフトウェアの更新とパッチ適用を行うことが多くあります。そして、組織が保有するソフトウェア資産を1つ1つ調べ、アップデートやデジタルセキュリティの侵害がないかをチェックすることも含まれます。この場合、未承認のソフトウェアを削除し、ソフトウェア資産の新しい包括的なインベントリーを維持することが多くあります。

コントロール3 – データ保護

現代の企業は、クラウド、企業内、エンドユーザーのデバイスなど、さまざまな場所でデータにアクセスし、保存しているため、データ保護コントロールは極めて重要です。コントロール3では、以下の5つの “W “に焦点を当てることを求めています:

  • 企業がどのようなデータを扱い、保管しているか
  • データへのアクセス権を持つ人
  • データが保存される場所とアクセスされる場所
  • データの削除が必要な場合
  • データの保護が必要な理由

このコントロールに従うことで、企業は欧州のGDPRのような最新のデータプライバシーに関する法律や規制を遵守することができます。例えば、最新のデータインベントリーの維持、データフローの文書化、不要になったデータの安全な廃棄、輸送中および組織内の「静止」または保存中の機密データの暗号化などが挙げられます。

コントロール 4 – 企業資産とソフトウェアの安全な構成

コントロール4は、すべての企業のソフトウェアとハードウェア資産を安全に設定することに重点を置いています。ほとんどの資産は事前に設定されていますが、中には設定されていなかったり、企業のセキュリティが不十分な状態で設定されていたりする場合があります。このCISコントロールでは、企業の資産とソフトウェアを個別に設定し、組織のセキュリティポリシーに準拠するようにすることを推奨します。これには、エンドユーザーのデバイスにファイアウォールをインストールすることが含まれる場合があります。また、特定の状況下でエンドユーザーデバイスにデバイスロックアウトを適用する場合もあります。いずれにせよ、このコントロールでは、すべての段階で複数のセキュリティ層を使用することを重視しています。

コントロール5 – アカウント管理.

アカウント管理コントロールは、有効で盗まれたユーザー認証情報による不正なハッカーアクセスを防ぐことを目的としています。特に、管理者アカウントは重要な権限を持つことが多くありますが、マルウェアやランサムウェアの攻撃を受けやすいため、注意が必要です。コントロール5は、企業環境におけるユーザーアカウントの可視化を要求し、誰がどの認証情報を所有し、どこに異なる認証情報が割り当てられているかを常に把握するよう企業に助言しています。このCISコントロールが推奨するアカウント管理方法には、固有のパスワードの使用、休眠アカウントの無効化、現在使用されているすべてのサービスアカウントのインベントリーの維持などがあります。

コントロール6 – アクセスコントロールの管理

アクセスコントロール管理は、組織内で異なるアカウントが持つべきアクセス権の種類に焦点を当てるものです。このコントロールでは、すべての企業は最小特権の原則に従うべきであり、すべてのユーザーには職務に必要な最小レベルのアクセスが与えられます。このコントロールでは、アクセスコントロールの一元化、役割ベースのアクセスコントロールの使用、管理者アクセスに多要素認証(MFA)を要求する(例:管理者権限にパスワードと指紋を要求する)などの対応が頻繁に推奨されます。

コントロール7 – 継続的な脆弱性管理

コントロール7は、サイバーセキュリティのベストプラクティスとして重要な脆弱性管理プログラムの確立を支援する一連のガイドラインです。このコントロールでは、組織は、企業資産に対するデジタル脅威を事前に評価し、追跡するための計画を作成することになります。コントロール7には、修復プロセスの設計と実装、アプリケーションとオペレーティングシステムのパッチ管理の自動化、包括的な脆弱性管理プロセスの作成と実装などの推奨事項が含まれています。

コントロール8「監査ログ管理

監査ログ管理コントロールは、HIPPAなどの規制遵守ガイドラインに含まれているため、最も重要なCISコントロールの1つです。組織は、監査ログを収集、管理、監視、分析する必要があります。このコントロールでは、監査ログを定期的に収集、レビューし、標準化された監査ログ管理プロセスを確立することを推奨しています。また、サイバーセキュリティチームがデジタル脅威や攻撃を最初に検知したときに、迅速かつ即座に特定し対応できるように、時間同期の標準化も有効です。

コントロール9 – 電子メールとウェブブラウザの保護

電子メールとWebの保護は極めて重要であるため、Control 9には、これらのベクトルから来る攻撃から組織を保護するための推奨事項と手順が含まれています。その推奨される安全策には、不要なファイルタイプのブロック、サポートされているメールクライアントとウェブブラウザの使用を推奨することなどが含まれます。また、すべての電子メールサーバーにマルウェア対策を施し、外部のWebトラフィックにDNSフィルターを適用することも推奨しています(必要に応じて、ネットワークベースのURLフィルターも)。

コントロール10 – マルウェアディフェンス

マルウェアは最も古く、最も一般的なサイバーセキュリティの脅威の1つであるため、Control 10ではマルウェアの阻止に特化した内容となっています。マルウェアはさまざまな活動や目的に使用されるため、CIS Control for itでは、基本的かつ効果的なマルウェアの防御について説明します。例えば、マルウェア対策スキャンを組織全体で自動化し、最新のマルウェア対策ソリューションを使用し、リムーバブルメディアの自動再生および自動実行機能を無効にする、などが挙げられます。これらは、特にサイバーセキュリティの専門家にとっては初歩的なことに思えるかもしれませんが、ITセキュリティの初心者にとっては良いステップです。さらに重要なことは、組織全体のセキュリティを強化するための簡単な方法であるということです。

コントロール11 – データリカバリー

コントロール 11では、マルウェア攻撃や自然災害、さらには誤って削除してしまった場合などにデータを失う可能性があるため、データ復旧に焦点を当てました。そのため、組織は重要なデータを回復するための計画を立てる必要があります。このCISコントロールは、データ復旧のガイドラインを提供しています。特に、自動データバックアッププロセスを作成し、維持することが重要です。データバックアッププロセスを確保した上で、重要なデータが永久に失われないように、復旧データの分離、データ復旧プロセスの作成、復旧データの定期的なテストなどを推奨します。このコントロールは、小規模な企業でも簡単に実施できるため、最初に活用することができます。

コントロール12「ネットワークインフラ管理

ネットワークインフラ管理は、ほとんどのネットワークインフラが、潜在的なハッカーにとって広範で広大な攻撃対象であることを認識しています。コントロール 12 は、新しくインストールされたソフトウェアプログラムや新しいハードウェアのデフォルトパスワードが弱いなど、ソフトウェア資産や新しいハードウェアに内在するセキュリティ上の欠陥を是正しようとするものです。ネットワークインフラの更新、ネットワークの認証・認可・監査(AAA)の一元化、リモートデバイスのVPNの使用など、セキュリティに関するアプローチを推奨します。特に、従業員が頻繁に外出するような組織では、脆弱なWi-Fiネットワークに定期的に接続する必要があるため、最後のヒントは重要です。

コントロール13 – ネットワークの監視と防御

コントロール13は、ネットワークの監視と防御を全体的な方法でアプローチし、あらゆる種類の攻撃を監視し防御するために、さまざまなプロセスやツールを使用するよう組織に求めています。このコントロールの最大の推奨事項は、セキュリティイベント警報の一元化とネットワーク侵入検知システムの使用です。これらのアプローチを実施した後、組織はリモートアクセスのアクセス制御を管理し、常にネットワークトラフィックフローのログを取得する必要があります(これは、サイバーセキュリティ担当者が脅威を事後的に特定するのに役立ちます)。さらに、あらゆる種類のマルウェア攻撃を監視、検出、防止するためには、人間がいかに重要であるかを指摘し、自動検出プログラムやファイアウォールに過度に依存しないよう、企業に伝えています。

コントロール14「セキュリティ意識とスキルのトレーニング

コントロール14は、人間に焦点を当てたCISコントロールであり、ユーザーの危険な行動や怠惰な行動が、企業のデータ漏洩を引き起こす可能性があることを強調しています。このコントロールでは、セキュリティ意識向上プログラムの作成と継続的な維持を推奨し、従業員がソーシャル・エンジニアリング攻撃を認識し、不注意で雇用主が脆弱になるのを防ぐことを支援します。また、認証のベストプラクティスの使用、強力なパスワードの作成、セキュリティインシデントや侵害の認識と報告などを従業員に指導することも推奨します。

コントロール15 – サービスプロバイダー管理

現代の多くの企業は、ベンダー、フリーランサー、サービスプロバイダーなどのサードパーティーと連携しており、これらのサードパーティーはすべて、組織のネットワークに新たなセキュリティ脅威をもたらす可能性があります。サービスプロバイダ管理は、企業のITシステムにアクセスする外部パートナーの監査とセキュリティ確保に重点を置いています。セキュリティプロバイダーの分類、サービスプロバイダーとの契約におけるセキュリティ要件の設定、重要なシステムへのサービスプロバイダーのアクセスの評価と監視などを推奨しています。このようにして、企業は、サードパーティーベンダーや他の組織が、せっかくのITセキュリティを損なうことを防ぐことができます。

コントロール16 – アプリケーションソフトウェアのセキュリティ

コントロール16は、アプリケーションソフトウェアのセキュリティ確保をテーマとしています。アプリケーションソフトウェアには、認証の弱さ、コーディングミス、またはその他の安全でないソフトウェア設計などの主要なセキュリティ脆弱性が存在する場合があります。このコントロールでは、サードパーティ製ソフトウェアアプリのインベントリを作成し、コードレベルのセキュリティチェック(プログラムのコードを一行ずつ読んで潜在的な欠陥を特定するなど)を実施するなど、重要なアプリケーションを保護するための明確かつ実行可能なフレームワークを提供します。また、アプリを安全に作成するための開発者のトレーニングや、根本原因分析のセキュリティチェックの実施も含まれます。

コントロール17 – インシデントレスポンス管理

CISの17番目のコントロールは、デジタル脅威やその他のセキュリティインシデントへの対応に焦点を当てています。このコントロールは、侵害が発生した後にハッカーのアクセスを制限し、その時点での被害を最小限に抑えることを目的としています。包括的でわかりやすいインシデント対応計画を文書化し、セキュリティインシデントの閾値の設定、インシデント対応演習の実施、インシデント対応の役割と責任の分担などのアクションを実行することに重点を置いています。セキュリティ担当者は、セキュリティ侵害が発生した際に効果的かつ迅速に行動するために、どこに行き、何をすべきかを知っておく必要があるからです。

コントロール18 – ペネトレーションテスト

CISの最後のコントロールであるControl 18は、ペネトレーションテストを通じて、サイバー犯罪者が侵入する前に脆弱性を特定することに関係しています。侵入テストは、組織が自社の弱点を特定し、悪用される前にその問題を修正するための措置を講じるのに役立ちます。このコントロールでは、特に、侵入テストプログラムの作成と維持、および外部侵入テストの定期的な実施を推奨しています。各テスト後、企業は特定された脆弱性を修正し、これらの欠陥が何度も出現するのを防ぐ方法を開発することが重要です。

まとめ

このように、CIS Critical Security Controlsは、すべての組織が活用できる重要なフレームワークとサイバーセキュリティの実践のグループです。CISコントロールズによって、企業はデジタルインフラと顧客データを現代の進化するサイバー脅威から安全に保つことができます。

原文:What Are CIS Critical Security Controls? (Nick Buikema, 2023/04/20)

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る