米国CIS(Center for Internet Security)が発行しているCIS Controls(シーアイエス コントロール)は、あらゆる規模の組織が活用できる、サイバーセキュリティ対策の具体的なガイドラインです。IT環境の変化や攻撃の高度化に伴い、クラウドコンピューティングやモビリティ、サプライチェーン、テレワーク環境などに対する、新しい攻撃手法への対応を加えたバージョン8が2021年5月18日にリリースされました。
このCIS Controls バージョン8の日本語版が米国CISのWebサイトからダウンロードできます。この記事では、CIS Controlsのコンセプトと活用方法についてご紹介します。
CIS Controls Version 8(日本語版)のダウンロード
CIS Controlsとは何か
CIS Controlsは、米国のセキュリティ非営利団体であるCISが、企業がサイバーセキュリティ対策として取り組むべきことをまとめたガイドラインです。もともとは2008年にアメリカ国防総省(DoD)とアメリカ国家安全保障局(NSA)が外部脅威による情報漏洩を防ぐガイドラインとして策定を開始したのが始まりです。その後、SANS InstituteやCCSのもとで改訂を重ね、2015年からはCISが管理しています。
CISでは、CIS Controls以外にも様々なフレームワークやツールを提供しています。その中でもサイバーセキュリティ対策に取り組む企業が最初に参照すべきリソースがCIS Controlsです。CIS Controlsは、サイバー攻撃対策に焦点を当て、具体的に何をするべきかを、あらゆる規模の組織が利用できるように書かれています。現状の自社対策レベルを評価し、不足しているところや強化すべき箇所を整理できます。
具体的な実装のベストプラクティスについてはCISの他のドキュメントが参考になります。例えばCIS Benchmarks(ベンチマーク)はOSやミドルウエアの安全な設定に関するベストプラクティス集です。日々、CISとコミュニティがレビューを重ねているので対象となるソフトウエアも増加し、最新バージョンに適合するように更新されています。
CIS Controlsの構成と主なコンセプト
CIS Controlsには、「18のコントロール」と「153の具体的なセーフガード(保護手段)」が記載されています。ITの複雑化と攻撃手法の高度化に伴い、セキュリティソリューションも複雑化しています。CIS Controlsでは、あらゆる規模の組織が適切な優先順位でセキュリティ対策を実施できるよう、対象となる企業を3つのグループに分けています。
最初のグループ(IG1)は、IT資産や人員を保護するためのITおよび、サイバーセキュリティのリソースが限られている中小企業です。次のグループ(IG2)は、システムが取り扱うデータの機密性やサービスのクリティカル度はIG1に属する企業群より高くなり、自社内にITインフラの運用管理とITセキュリティを担当する部署を持つ大企業が該当します。最後のグループ(IG3)ではデータの機密性やサービスのクリティカル度は非常に高くなり、高度なセキュリティ専門部門が必要となります。IG3は公的サービスを提供する企業や業界規制遵守が求められる企業が該当します。
※ IG(Implementation Group):実装グループ
18のコントロールにある「153の具体的なセーフガード(保護手段)」には、IG1からIG3のそれぞれのグループにおいて、その対策が推奨かどうか示されています。企業はこのマトリクスを利用することで、自社のセキュリティ対策が必要な水準に達しているかどうか、現状の対策レベルをアセスメントできます。そして不十分なセキュリティ対策については、対応の優先順位を決めて計画立案できるようになります。
CIS Controlsから感じ取った3つのメッセージ
個々のコントロールと具体的なセーフガード(保護手段)については資料をご覧いただくとして、ここではCIS Controlsのメッセージを3つご紹介します。
平時のIT衛生管理(ハイジーン)の重要性
まず、最初に挙げるのはサイバーセキュリティ対策における「平時の衛生管理の重要性」です。サイバーセキュリティ対策において「平時の衛生管理」とは、「(PCなどの)アセットの把握と管理」、「(利用している)ソフトウエアの把握と管理」、「(保持している)データの把握と管理」、「(ソフトウエアやサービスの)安全な設定」、「アカウントの把握と管理」、「アクセス権の把握と管理」などです。このような当たり前の基本的なことをシッカリと着実に実施することが重要です。
先ほどの実装グループのうち、IG1は「基本的なサイバーハイジーン」であり、「すべての組織が適用すべきサイバー防御の基本的な保護手段のセット」と定義されています。「ハイジーン(Hygiene)」とは「衛生」という意味の英単語です。コロナ禍の感染予防策として「手洗い・うがい」、「マスク着用」、「ソーシャル・ディスタンス」などの平時の衛生管理をキチンと行うことの重要性を多くの方が認識したと思います。サイバーセキュリティ対策においても平時からの衛生管理が重要です。
CISの調査によると、IG1の対策を実装することで、マルウェア、ランサムウェア、Webアプリケーションハッキング、内部特権者の不正と過失、標的型攻撃などの主要なサイバーセキュリティリスクの70%以上を回避できるとされています。詳細については以下のレポートを参照ください。
CIS Introduces v2.0 of the CIS Community Defense Model
サイバーセキュリティ対策の自動化
次に挙げるのは、サイバーセキュリティ対策の「自動化」です。CIS Controlsでは各コントロールの「手順と対策」において、サイバーセキュリティ対策の実装と自動化を可能にするプロセスとテクノロジーについて説明が記載されています。
ここでCIS Controlsが意図している「自動化」はオートメーションというより、ツールなどを使うことで正確な情報を収集し、再現可能性を担保することを意識しているようです。先に記載した平時のIT衛生管理で必要な事(PC、ソフトウエア、アカウント、アクセス権の把握と管理)を着実に繰り返し実施していくためには何らかの自動化ツールが不可欠でしょう。
最新の話題と安定性のバランス
最後に挙げるのは「最新の話題と安定性のバランス」です。IT環境の複雑化と攻撃手法の高度化に伴い、セキュリティソリューションも複雑化してきています。CIS Controlsでは新しい防御技術に目を向ける一方で、あまりに複雑で新しすぎるソリューションについては「真新しいおもちゃ」として除外すると宣言しています。こうした「最新と安定のバランス」がCIS Controlsが支持される理由の1つではないかと考えます。
サイバーセキュリティ対策に関する最新の話題として、「ゼロトラストセキュリティ」に関心が集まっています。バージョン8では「ゼロトラスト」という明確な表現は出てきませんがクラウドの活用やリモートワークを意識した内容になっています。バージョン6(またはそれ以前)のCIS Controlsを使用している場合は、可能な限り早くバージョン8への移行計画を開始することが推奨されています。クラウド活用が進んでいる今こそ、スタンダードをバージョン8に切り替えるべきではないかと考えます。
ー2021/12/12追記ー
■CIS Controls v8で見直されたコンセプトの変更
①「リスク管理」ではなく「情報保護」
v7.1までは「Sub Controls」という表現が使われていたが、v8では「Safeguards」という表現に変わっている。Safeguardsとすることで、より情報を保護する意味合いが強調され、リスクをコントロールするための管理策のままでは、情報保護の実効性が得られないと考えたのではと推察できる。これまでは、管理策としてこういう活動が必要だという記載であったのを「どのように物事を管理していくのか」と踏み込んだ記述になっているのもガイドとしての価値が向上したと考えられる。
②管理策を統合し、抽象度を上げて保護策のカテゴリ数や項目数を減少
カテゴリ数は20から18に減少している。より重要なものが分かるように、また、使いやすいように見直された。
保護策の項目数も171→153に減少、要求事項が少なくなったというより、冗長な記述となっていた個所は統合されており、やや抽象的な表現となっている。例えば、v7.1の「特権IDのログイン失敗ログの検知」や「特権アカウントの追加の通知」という項目は、v8ではまとめて「詳細なログを集める」のような記載となっている。そのため、活用にあたっては、保護策の実施や適用状況の評価に際して自ら評価環境を理解するとともにリスクを特定する必要がある。抽象度が高い保護策は、組織内で行われるべき具体的な対策を自ら考え、その妥当性を評価することになる。この点は、これまでより正しく活用するための難易度を上げたとも考えられる。
③Basic ControlsからBasic Cyber Hygieneに
v7.1ではトップレベルの#1から#6をBasic Controls(基礎的対策)とし、基礎的対策を行うことがサイバー攻撃による侵害のリスクを85%低減されるとされていた。
v8ではBasic Cyber Hygiene(サイバーセキュリティ確保のための基本となる事前対策)として、18のカテゴリそれぞれに、どんな組織も必ず、先行して取り組むべきという推奨保護策が記述されている。53と限定的でより簡単に組織が具体的なセキュリティ対策のための活動に取り組みやすくなっている。
④ネットワークの内と外を区別しない
ゼロトラストアーキテクチャでも強調されていることではあるが、CIS Controls v8においても、インターネットと社内LANを区別する境界防御の表現はなくし、"Network Monitoring and Defense"に変更されている
⑤単なる自動化では不十分、保護策が連携され機能している状態が必要
CIS Controls v8では、2017年に米調査会社フォレスター・リサーチ社により再定義されたZero Trust extended(ZTX)の7つの項目のうち、「Automation and Orchestration(自動化と調和)」を発展させ、Align(連携)という概念が強調されている。CIS Controlsでは、ツールを使ってシステム的にリスク対応策を実装し、常時繰り返し可能、かつ、抜け漏れなくリアルタイムにサイバー攻撃から組織を保護することを推奨してきた。自動化と調和を強調した保護策連携について、最新の事例を挙げると、ネットワーク上のサンドボックスのアラート情報をAPI連携してエンドポイントの管理センターに送り、端末の状態を修復するところまでを自動対応できるように構築する等のテクニックがある。