今日の企業は、複数のポリシー、規制、および法的なセキュリティフレームワークに準拠する必要があります。これらのフレームワークすべてに準拠することは、困難で時間のかかることです。サイバーセキュリティプログラムは、これらすべてを「マッピング」する方法を知っていれば、より効率的に機能します。
サイバーセキュリティ・コンプライアンスのための効率化
今日のITおよび情報セキュリティの専門家は、無数の規制枠組みを満たすことを使命としています。しかし、サイバーセキュリティの専門家の主な責務は、組織の資産やデータを攻撃から守ることです。真に効率的なアプローチは、コンプライアンス要件を満たしながら組織を保護します。ここで、CISコントロールとCISベンチマークが役立ちます。
フレームワークや標準は、通常、コンプライアンスを達成するために「何を」すべきかを説明しますが、CIS コントロールの組織的なポリシーとワークフロー、および CIS ベンチマークの詳細な設定チェックは、さらに数ステップ進んだものとなっています。たとえば、CIS コントロール 3.1 を実装することで、特定の CMMC、MITRE ATT&CK、NIST、および PCI DSS の要件にも準拠していることがわかります。
サイバーセキュリティ保護のグローバルスタンダード
CISコントロールとCISベンチマークは、世界のサイバー保護の業界標準として認められています。
- PCI はハードニングに CIS 規格を推奨
- DoD クラウドコンピューティング・セキュリティ要求事項ガイドは、STIGs 及び SRGs の代替として CIS ベンチマークを参照(セクション 5.5.1)。
- CIS コントロールは、全米知事協会および NIST によって参照されている。
- FedRAMP は、米国政府の構成ガイドラインが特定のプラットフォームで利用できない場合、CIS ベンチマークを掲載している。
- CIS コントロール及び CIS ベンチマークは、HIPAA セキュリティ規則を補完するものであり、 多くの同じ規定を含んでいる。
コンプライアンスのマッピングとトラッキングのためのツール
CISコントロールが一般的な業界フレームワークにどのようにマッピングされているか、CISコントロールナビゲーターでご確認ください。測定すべきフレームワークがわかったら、次のステップは、それらのフレームワークの優先順位付けと実装を管理することです。
CISコントロール自己評価ツール(CIS CSAT)および追加機能を備えたオンプレミス版CSAT Proにより、セキュリティチームはCISコントロールおよびサブコントロール(現在はセーフガードとして知られています)の実装を追跡し、優先順位をつけることができます。どのCISコントロールが組織に適用されるか、また、それらが割り当てられ、実装され、自動化され、文書化され、報告されているかどうかを判断することができます。また、他のセキュリティフレームワークとの整合性を図ることができます。