CISと重要セキュリティ管理策とは?
インターネットセキュリティセンター(CIS)は、公共部門と民間部門の両方に向けた実用的なサイバーセキュリティガイダンスを作成することで知られる非営利団体です。CISの最も影響力のある貢献は、CIS重要セキュリティ管理策です。これは、組織がリスクを軽減し、レジリエンスを向上させ、最も一般的な種類のサイバー攻撃から防御できるように設計された、優先順位付けされたベストプラクティス集です。
これはサイバーセキュリティのロードマップのようなものと考えてください。次に何をすべきかを推測するのではなく、CISはどこから始め、何に焦点を当て、どのように進捗状況を追跡するかを示します。
CIS管理策は、組織の規模、複雑さ、利用可能なリソースに応じて、3つの実装グループ(IG1~IG3)に分類されています。
- IG1:基本的なサイバー衛生 – 小規模またはリソースが限られた組織向け。
- IG2:中程度の複雑さまたは規制圧力のある組織向けの推奨プラクティス。
- IG3:専任のセキュリティチームによる、高価値ターゲットに対する高度な保護対策。
各グループには、リスクプロファイルに合わせてカスタマイズされたコントロールのサブセットが含まれています。この階層型アプローチにより、組織は適切なペースと規模でコントロールを導入しやすくなり、時間の経過とともにセキュリティ体制を強化していくことができます。
CIS実装グループ1(IG1)とは?
IG1は、ITを日常業務に活用するあらゆる組織にとっての基盤であり、「必須」リストです。ランサムウェア、フィッシング、内部不正、基本的なマルウェアなど、最も一般的な攻撃に対する有効性に基づいて厳選された56の安全対策で構成されています。
IG1の主な特徴:
- ITおよびセキュリティリソースが限られている組織向けに設計されています。
- 市販ツールによる導入の容易さを重視します。
- 運用継続性と基本的な防御に重点を置きます。
IG1を導入する組織は、小中学校、地方自治体、非営利団体、中小企業など、攻撃者の標的となる頻度が高いにもかかわらず、十分な準備が整っていない組織が多くあります。
CIS Control2:ソフトウェア資産のインベントリと管理
CIS Control2は、存在を知らないものを保護できないため、非常に重要です。この管理策は、組織が使用中のすべてのソフトウェアの正確かつ最新のインベントリを維持し、承認されたソフトウェアのみを実行できるようにすることに重点を置きます。
IG1では、以下のように分類されます。
| セーフガード説明 | IG1 | 要件 |
| 2.1 | 承認されたすべてのソフトウェアの最新インベントリを維持する | 必須 |
| 2.2 | 承認されたソフトウェアのみがインストールされ、実行されるようにする | 必須 |
| 2.3 | 自動化ツールでソフトウェアを追跡する | 必須 |
| 2.4 | 承認されていないソフトウェアや古くなったソフトウェアに迅速に対処 | 必須 |
| 2.5 | アプリケーションのホワイトリストを実装する IG1 では必須ではありません | 必須ではありません(IG2 で初登場) |
PC Matic:Control2 IG1(そしてそれ以上)との連携
PC Maticは、プロアクティブな保護を基盤とした米国発のサイバーセキュリティソリューションです。多くのツールが検知と対応に重点を置いているのに対し、PC Maticはモデルを逆転させ、デフォルトで拒否するホワイトリスト機能を用いて脅威の実行を阻止します。
PC MaticがIG1のControl2の要件にどのように適合しているかを見てみましょう。
2.1 – ソフトウェアインベントリ
PC Maticは、すべてのエンドポイントにインストールされているアプリケーションのリアルタイムインベントリを自動的に作成・管理します。このインベントリには、ソフトウェア名、バージョン、インストールパス、実行ステータスが含まれており、すべて中央ダッシュボードからアクセスできます。
2.2 – 承認済みソフトウェアの使用を強制
ホワイトリスト機能は厳密にはIG2のコントロールですが、PC Maticではデフォルトで有効化されています。信頼できる検証済みのソフトウェアのみが実行でき、管理者はルールをグローバルまたはデバイスごとに管理できます。つまり、IG1の組織は、ベースラインを超えるレベルの保護を実現できます。
2.3 – 自動化ツールの活用
PC Maticは、一元的なポリシー管理と継続的なソフトウェア監視により、IT部門の負担を最小限に抑えながら自動化要件を満たします。新規インストール、不正なソフトウェア、および変更は自動的にフラグ付けされます。
2.4 – 不正ソフトウェアへの対応
PC Maticは、不正なアプリの実行をブロックし、管理者にリアルタイムアラートを送信し、すべてのアクティビティをログに記録します。これにより、完全なSOCがなくても、チームは迅速な可視性と対応能力を得ることができます。
2.5 – 組み込みのアプリケーション許可リスト
IG1レベルでは必須ではありませんが、PC Maticは導入初日から完全な許可リスト機能を提供します。「実力以上の成果」を目指し、IG2への対応を開始したい組織のために、この機能は既に組み込まれています。
まとめ
CISコントロールは、組織にサイバーセキュリティを強化するための実践的で段階的なロードマップを提供します。
IG1は、特に中小企業や地方自治体にとって、達成可能で大きな効果を発揮するように設計されています。
コントロール2は基礎的なものであり、実行中のものを把握し、それが適切に実行されていることを確認することです。
PC Maticは、IG1のコントロール2に準拠しているだけでなく、それを超えており、通常は上位のフレームワークでのみ提供される自動化、適用、許可リスト機能を提供します。
複雑さを排除して成果を求める組織にとって、PC Maticは強力でコンプライアンスを遵守し、先進的な選択肢となります。
原文:Elevating Cyber Hygiene: A Detailed Look at CIS Control 2 and How PC Matic Aligns (July 30, 2025 / Jessica Molden)
