CISクリティカルセキュリティコントロール：完全ガイド

CISコントロールは、組織が全体的なセキュリティ態勢を向上させるための対策をまとめたフレームワークです。新たな脅威やテクノロジーに対処できるようにするため、複数の保護対策がカテゴリ別に分類され、頻繁に更新されています。Center for Internet Security (CIS)は、CISクリティカルセキュリティコントロールを次のように定義しています。

“システムやネットワークに対して最もよく行われるサイバー攻撃の軽減を目的とした、一連の優先順位付けされた保護対策”

このブログ記事では、全部で18種類ある保護対策について取り上げます。

Center for Internet Security (CIS)とは何ですか？

Center for Internet Security (CIS)は、公共部門と民間部門のサイバーセキュリティ態勢とレジリエンスの強化に取り組む非営利団体です。この団体はCISコントロールの策定でよく知られていますが、他にも次のようなプロジェクトやイニシアチブに取り組んでいます。

• CISベンチマーク
• CIS-CAT Pro
• Multi-State Information Sharing and Analysis Center (多州間情報共有分析センター) (MS-ISAC)
• Elections Infrastructure Information Sharing and Analysis Center (選挙インフラストラクチャ情報共有分析センター) (EI-ISAC)

CISが重要なセキュリティコントロールを策定したのは2008年のことで、最新の更新版(バージョン8.1)は2024年にリリースされています。

CISクリティカルコントロールバージョン8.1：概要

最新バージョンのCISクリティカルコントロール8.1は、企業が一連の優先順位付けされた対策を実行して、自社のサイバーセキュリティ態勢を改善できるようにするものです。これから紹介する保護対策は、次の取り組みに重点が置かれています。

• アクセス制御
• システム設定
• 脆弱性管理

これらの保護対策に準拠することで、組織は一般的なサイバー脅威に対する保護を強化できます。また、このフレームワークは最小限のリソースしか必要としないため、中小規模企業に優れた費用対効果をもたらします。

8.1の後方互換性について

CISコントロール8.1は、旧バージョンとの互換性を備えています。旧バージョンを活用している組織は、既存のコントロールを更新セットに対応付けることで、8.1コントロールを適用できます。この更新セットは最新のセキュリティ傾向を反映したものですが、構造に違いはありません。では、いくつかの注目すべき特徴について説明しましょう。

CISクリティカルコントロールバージョン8.1の特徴

クラウド環境とハイブリッド環境を重視：バージョン8.1では、クラウド環境またはハイブリッド環境におけるセキュリティ管理の重要性に重点が置かれています。これにより、クラウド、オンプレミス、およびハイブリッドインフラストラクチャでの資産の保護が容易になります。

業界標準のフレームワークに準拠：CISコントロールは、次の主要な業界標準フレームワークに準拠しています。

• NISTサイバーセキュリティフレームワーク
• GDPR
• HIPAA
• ISO/IEC 27001
• PCI DSS

タスクベースへの移行：CISコントロール8.1では、ロールベースの取り組みからタスクベースの取り組みに重点が移されました。この変更により、重要なセキュリティタスクが、事前定義されたロールより優先されるようになりました。そのため、組織は自社のセキュリティ対策を、責任範囲の拡大に対応させたり、ハイブリッド環境やクラウド環境の変化に適応させたりすることができます。

CISクリティカルセキュリティコントロールを導入するメリット

ここでは、CISコントロールが価値をもたらす理由と、組織にとって役立つ利用法をご紹介します。

• 優先順位の設定：CISコントロールには保護対策の推奨リストが掲載されているため、組織が最も重要で影響力の大きいセキュリティ対策に注力するのに役立ちます。組織はまず、対処すべき最も重要な領域を特定して、リソースを効果的に割り当てることができます。
• リスクの軽減：資産の管理や一般的な攻撃ベクトルへの対処に関して制御対策を導入して、脅威にさらされるリスクを軽減できます。
• 標準化：CISコントロールには標準化された一連のセキュリティプラクティスがまとめられているため、組織内のさまざまな部門間でセキュリティに関する共通言語やベースラインを確立するのに役立ちます。
• 進捗状況の測定：CISコントロールは、セキュリティ対策の導入における組織の進捗状況を測定するための明確なロードマップを提供します。このロードマップは、セキュリティの成熟度を追跡し、ギャップを特定し、継続的な改善の優先順位を設定するのに役立ちます。
• 業界標準の規制：CISコントロールはさまざまなセキュリティ要件に対応しているため、PCI DSS、GDPR、HIPAAなどの規制基準に準拠しているかどうかを確認するのに役立ちます。
• 法的サポート：CISコントロールはセキュリティに対する構造化されたアプローチを提供するため、州の規制に対応したり法的コンプライアンスに準拠したりするのに役立ちます。

CISコントロール8.1：CISクリティカルセキュリティコントロールの18種類の保護対策

CISコントロールは、悪質なアクティビティからシステムを保護するセキュリティ対策の基盤と見なすことができます。サイバーセキュリティに関して、組織できることはたくさんあります。すべてが完璧な状態になることはありません。CISコントロールが提供するのはあくまで、それを目指すための強固な基盤です。

では、それぞれの保護対策について説明しましょう。

1)企業資産のインベントリ作成と管理

この保護対策は、組織のオンプレミス環境だけでなく、クラウド環境やハイブリッド環境にあるすべてのデバイスとソフトウェアを追跡することに重点が置かれています。これにより、サイバーセキュリティのエキスパートは、許可されたデバイス(コンピューター、サーバー、クラウドベースの資産、モバイルデバイスなど)とソフトウェア(アプリケーション、オペレーティングシステムなど)のインベントリを最新の状態に維持し、組織内で管理されているすべての資産を追跡できます。

また、この保護対策によって、セキュリティリスクをもたらす可能性のある不正なデバイスやソフトウェアを特定し、対処することもできます。包括的なインベントリを維持することで、資産の監視と制御が可能になり、物理環境と仮想環境におけるセキュリティの確保が容易になります。

組織が重要なデータを保護するためのセキュリティ対策を講じるには、どのデータが重要なのかを把握する必要があります。この保護対策を講じて資産を効果的に管理することで、その重要なデータを保管または使用している事業部門を特定できます。

インベントリの作成と管理

• 組織内のすべての資産を網羅したインベントリを作成し、維持します。
• 許可されていない資産に対処します。
• 資産を積極的に検出できるツールを活用します。
• 企業の資産インベントリを更新する際は、動的ホスト構成プロトコル(DHCP)経由で情報をログに記録します。

2)ソフトウェア資産のインベントリ作成と管理

この保護対策を講じることで、企業の資産にインストールされているソフトウェアとクラウドベースのアプリケーションの両方を管理できます。ソフトウェア資産を効果的に管理できれば、許可されていないソフトウェアの導入を阻止できるため、意図しないセキュリティリスクや脆弱性の発生を防ぐことができます。

組織のシステムの安全を確保するには、ソフトウェアの包括的なインベントリが欠かせません。また、深刻な攻撃から組織を保護するには、ソフトウェアの更新やパッチの適用を頻繁に行う必要があります。

ただし、ここで問題があります。所有しているソフトウェアの全貌を把握していなければ、脆弱性やライセンスルール違反の有無を判断するのは困難になります。

ソフトウェア資産の管理を始める方法

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• ソフトウェアのインベントリを作成して、管理します。まず、資産とアプリを洗い出す作業から始めましょう。
• 公式サポートを利用して、すべてのソフトウェアを最新の状態に保ちます。
• 本来使用すべきでないソフトウェアがある場合は、最小限に減らすか排除します。
• ソフトウェアインベントリの追跡を自動化するツールを使用します。
• 承認されたソフトウェア、ソフトウェアライブラリ、およびスクリプトのみに、システム上での実行を許可します。

3)データ保護

データが企業の中にとどまっていた時代は過ぎ去りました。今やデータは、クラウド内やユーザーの自宅にあるポータブルデバイス内に保管されています。また、パートナーや海外でホストされているオンラインサービスと共有されていることも少なくありません(データの共有場所については、たいてい利用規約の膨大な文章のどこかに記載されています)。

ハッカーが企業のインフラストラクチャに侵入する目的の1つは、データを見つけて盗み出すことです。しかし、データフローを監視していなければ、機密情報がシステムから流出していることに気づかない可能性があります。

こうした問題に対処するには、データを送信したり保存したりする際にデータを暗号化する必要があります。暗号化は、データ漏えいから組織を保護するのに役立つだけではありません。組織が管理しているほとんどのタイプのデータは、規制によって暗号化が義務付けられています。また、もう1つの対策として、データ監視も行われるようになっています。

データ保護の対策

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• データを管理するためのシステムを構築して、管理します。
• 組織が保有しているすべてのデータを追跡します。
• 権限を設定して、データにアクセスできるユーザーを制限します。
• データの保存期間を適切に設定します。
• 不要になったデータを安全に削除します。
• エンドユーザーが使用しているデバイス上のデータを保護します。
• データを重要度別に整理するシステムを構築して、管理します。
• 組織内でのデータ移動を記録します。
• リムーバブルデバイスに保存されているデータを暗号化します。
• 転送中の機密データを暗号化します。
• 保存またはアーカイブされている機密データを暗号化します。
• データの機密性に基づいて、データの処理と保存を分離します。
• データ漏えい防止ソリューションを使用します。
• 機密データにアクセスしたユーザーを記録します。

4)企業の資産とソフトウェアの安全な構成

ほとんどの場合、企業の資産やソフトウェアのデフォルト設定は、セキュリティよりセットアップのしやすさや使いやすさを重視したものになっています。こうした設定はすぐに利用を始めるには最適ですが、そのままではシステムが攻撃に対して脆弱になる可能性があります。

攻撃者は、最低限の管理設定、デフォルトのパスワード、初期設定のDNS、古いプロトコルを悪用する可能性があります。したがって、デフォルト設定を変更することが非常に重要です。そこで、この保護対策では、組織内で直接使用されているハードウェア(デバイスやシステム)とソフトウェアコンポーネントだけでなく、ハイブリッド環境やクラウド環境でも安全な構成を確立することに重点が置かれています。

資産とソフトウェアの構成を管理する方法

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• 安全な構成システムを構築して、管理します。
• ネットワークインフラストラクチャの安全な構成システムを構築して、管理します。
• 企業資産の自動セッションロックを有効にします。
• サーバーでファイアウォールをセットアップして、監視します。
• ユーザーデバイスでファイアウォールをセットアップして、監視します。

5)アカウント管理

資産やデータへの不正アクセスは、従来のハッキング手法によって行われる場合より、組織の内外を問わず、有効なユーザー認証情報を持つ人物が関与している場合の方がはるかに多いのが現状です。

攻撃者は、そのようなアカウントを使用することで追加のアカウントを作成したり、資産に変更を加えて将来の侵害を容易にしたりできるため、管理者アカウントを持つ組織内の人物に狙いを定めます。

そこで、この保護対策では、ユーザーアクセス権限、パスワードポリシー、およびアカウントのアクティビティを厳格に管理するよう推奨しています。そうすれば、特定のシステムやデータへのアクセス権を付与するユーザーを、そのユーザーの役割や責任に基づいて制限できるからです。さらにバージョン8.1では、SaaSアプリケーションやクラウドサービスで使用されるアカウントの監視にも重点が置かれています。

アカウント管理の主な要素

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• アカウントのインベントリを作成して、管理します。
• アカウントごとに異なるパスワードを使用します。
• 未使用のアカウントを無効にします。
• 管理権限を特定の管理者アカウントに制限します。
• サービスアカウントのインベントリを作成して、管理します。
• アカウント管理を1つの場所に集約します。

6)アクセス制御管理

CISコントロールの5番目の保護対策がユーザーアカウント管理に関するものであったのに対し、アクセス制御管理は、組織内でのユーザーアカウントのアクセスレベルの制御に重点が置かれています。具体的には、最小限の権限付与の原則に基づいて、重要なシステムや機密データへのアクセスを制限する方法を提示しています。

この保護対策では、アカウントユーザーにアクセスを許可するデータや資産を、そのユーザーの仕事に関連するものに限定し、機密データに強力な認証手段を講じることを求めています。このような対策の導入によって、組織内のリソースに対して不正アクセスや悪用が行われるリスクを軽減できます。

特権アクセス管理(PAM)を導入すると、ユーザーの役割に基づいて重要なデータやシステムへのアクセスを制限できるため、内部脅威のリスクが軽減されます。また、多要素認証(MFA)を導入することで、セキュリティをさらに強化できます。MFAは、認証情報が侵害された場合でも、権限のないユーザーによるアクセスの試みを阻止します。そのため、パスワードスプレーやフィッシングといった一般的な攻撃のリスクが軽減されます。

(MFAとPAMは、パスワードスプレーなどの一般的な攻撃に先手を打つための優れた手段です。)

アクセス制御管理の対策

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

1. アクセス権を付与するプロセスを構築します。
2. アクセス権を取り消すプロセスを構築します。
3. 組織外からアクセスできるアプリケーション(特にクラウドベースやハイブリッドベースのアプリケーション)に対して、必ず多要素認証(MFA)を使用します。
4. ネットワークへのリモートアクセスに必ずMFAを使用します。
5. 管理者アクセスに必ずMFAを使用します。
6. ユーザーの確認と認証を行うシステムのリストを作成して、管理します。
7. アクセス制御を1つの場所に集約します。
8. 特定の役割に基づいてアクセス制御を設定して、管理します。

7)継続的な脆弱性管理

継続的な脆弱性管理とは、オンプレミスまたはクラウドベースのシステムやアプリケーションの脆弱性を評価し、対処する取り組みです。この取り組みでは、防御側が自社の環境を定期的に評価し、脆弱性を攻撃者に悪用される前に特定することが重視されます。

サイバー空間において、防御側はインフラストラクチャの弱点を突いて侵入を試みる攻撃者に対処することを常に求められています。そのため、防御側(別名：ブルーチーム)は、潜在的な脅威に関する最新情報(ソフトウェアの更新、パッチ、セキュリティアドバイザリーなど)に常にアクセスできるようにしておく必要があります。

継続的な脆弱性管理の導入

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• 組織の脆弱性を特定して対処するためのシステムを構築して、管理します。
• 特定された問題を修正するためのプロセスを構築して、管理します。
• オペレーティングシステムを最新のパッチで常に最新の状態に保つ自動化ツールを使用します。
• アプリケーションを最新のパッチで更新する自動化ツールを使用します。
• 社内の資産をスキャンして潜在的な脆弱性を特定する自動化ツールを使用します。
• 外部と接続している企業資産をスキャンして潜在的な脆弱性を特定する自動化ツールを使用します。
• 検出されたすべての脆弱性を修正するためのアクションを実行します。

8)監査ログ管理

監査記録は、攻撃を受けたこと示す唯一の証拠となる場合があります。しかし、コンプライアンス上の理由から監査ログを保持していても、そのログをあまり調べていない組織があることを攻撃者は知っています。こうした状況を悪用して、攻撃者は自分の居場所や悪質なソフトウェアの存在、侵害されたマシンでの活動を隠ぺいしようとします。

標的の組織がログ分析の手順を確立していなければ、攻撃者は自分の存在をその組織に気づかれることなく、被害者のマシンを長期間にわたって制御できます。

そのため、この保護対策は、組織のシステムやネットワークにおけるアクティビティやイベントの詳細なログをチェックし、保持することに重点を置いています。監査ログを分析することで、組織は疑わしい活動や不正な活動を検出し、潜在的なセキュリティインシデントを特定し、迅速な対応によってその影響を軽減できます。

監査ログ管理の対策

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• 監査ログを管理するためのシステムを構築して、管理します。
• 社内の監査ログだけでなく、クラウドベースのサービスやプロバイダーからログを収集します。
• 監査ログを保存するのに十分なストレージ容量を確保します。
• すべてのデバイスで時刻が同期されていることを確認します。
• 完全かつ詳細な監査ログを収集します。
• DNSクエリーのログを収集します。
• URLリクエストの監査ログを収集します。
• コマンドラインアクティビティの監査ログを収集します。
• すべての監査ログを1つの場所に集約します。
• 監査ログを一定期間保持します。
• 監査ログを定期的に確認します。
• サービスプロバイダーからログを収集します。

9)メールとWebブラウザの保護

メールとWebブラウザは、悪質なソフトウェアとソーシャルエンジニアリング攻撃の両方にとって、主要な標的となっています。そのため、この保護対策はフィッシング攻撃、マルウェア感染、およびその他のWebベースの脅威の防止に重点を置いています。

攻撃者がWebブラウザやメールクライアントを標的にするのは、企業内のユーザーと直接やり取りできるためです。攻撃者は偽装コンテンツを作成してユーザーをだまし、ログイン認証情報や機密情報を送らせたり、不正アクセスの侵入経路を作らせたりします。

メールとWebブラウザの保護

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• 公式にサポートされているWebブラウザと電子メールプログラムのみを使用します。
• ドメインネームシステム(DNS)でWebサイトをフィルタリングおよびブロックするサービスを使用します。
• クラウドベースのメールサービスに、コンテンツ検査ツールやDNSフィルタリングツールを使用します。
• 不審なURLや安全ではないURLへのアクセスをブロックするフィルターをネットワークに導入し、適用します。
• ブラウザやメールの拡張機能のうち、不要なものや許可されていないものの使用を制限します。
• メールのセキュリティを強化するために、DMARC (Domain-based Message Authentication, Reporting, and Conformance)を設定して、適用します。
• リスクをもたらす可能性のある不要なファイルタイプのダウンロードや開封を阻止します。
• マルウェア攻撃から組織を保護するために、メールサーバーの保護機能を設定して、管理します。

10)マルウェア防御

ウイルスやトロイの木馬などの悪質なソフトウェアは、深刻で有害なリスクをもたらすインターネット上の脅威です。エンドユーザーのデバイス、メールの添付ファイル、Webページ、クラウドサービス、モバイルデバイス、リムーバブルメディアに存在する脆弱性を突いて、企業に侵入します。

そのため、組織は考えられるすべての侵入経路や企業資産に対して、マルウェア防御を実装する必要があります。このような防御策によって、企業資産に対する有害なアプリケーション、コード、スクリプトの実行が阻止されるため、悪質なソフトウェアやコードの存在を特定し、侵入を阻止し、管理できるようになります。

マルウェア防御の対策

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• ウイルス対策ソフトウェアをインストールし、最新の状態に保ちます。
• ウイルス対策ソフトウェアの署名の自動更新を設定します。
• クラウドに対応した統合的なマルウェア対策ソフトウェアやウイルス対策ソフトウェアを使用します。
• リムーバブルメディアの内容の自動表示を無効にします。
• リムーバブルメディアのウイルススキャンのスケジュールを設定し、定期的に自動で実行します。
• ソフトウェアの脆弱性から組織を保護する機能を有効にします。
• ウイルス対策ソフトウェアの管理を1つの場所に集約します。
• 不審な挙動を検出するウイルス対策ソフトウェアを利用します。

11)データの復元

システムへのアクセス権を獲得した攻撃者は、設定の変更、新しいアカウントの作成、不正なソフトウェアやスクリプトのインストールといった活動を行う可能性があります。その際、正当なアプリケーションを悪質なアプリケーションに置き換えたり、問題がなさそうなアカウント名を使用したりするため、こうした活動を検出するのは困難です。

そのため、データとシステムの最新のバックアップやコピーを作成し、企業資産やデータを以前の信頼できる状態に復元できるようにしておく必要があります。

データ復元の対策

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• ハイブリッドまたはクラウドベースの仮想環境に保存されているデータを中心としたデータ復元計画を策定して、管理します。
• 自動化ツールを使用して、バックアップを作成します。
• 復元に使用するデータを保護します。
• クラウドに保存されているデータを復旧するための復元プロセスが用意されていることを確認します。
• 復元データのコピーを別に作成して、管理します。
• データ復元プロセスを正しく実行できるかどうか確認します。

12)ネットワークインフラストラクチャ管理

攻撃者は、ファイアウォールルール、ルーター、スイッチの脆弱なデフォルト設定、ギャップ、または不整合を見つけると、これらの脆弱性を悪用して防御を突破し、ネットワークへのアクセス権を不正に取得したり、送信中のデータを傍受したりします。

このような攻撃から組織を保護するには、安全なネットワークインフラストラクチャを構築する必要があります。この保護対策では、攻撃者が脆弱なネットワークサービスやアクセスポイントを悪用できないようにするため、ネットワークデバイスを構築、実装、管理することを推奨しています。

ネットワークインフラストラクチャ管理のベストプラクティス

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• ネットワークを最新の状態に維持します。
• 安全なネットワークインフラストラクチャを構築して、管理します。
• ネットワークインフラストラクチャを安全に管理します。
• アーキテクチャ図を作成して、管理します。
• ネットワークの認証、承認、監査を1つの場所に集約します。
• ネットワーク上での管理と通信に、安全なプロトコルを使用します。
• リモートデバイスから企業の認証インフラストラクチャへの接続が必ずVPN経由で行われるようにします。
• クラウド環境の仮想ネットワークとファイアウォールの設定を保護します。
• すべての管理タスクに専用のコンピューティングリソースを割り当てて、管理します。

13)ネットワークの監視と防御

セキュリティツールが効果を発揮するのは、そのツールが継続的な監視プロセスに組み込まれており、スタッフが適切なタイミングでアラートを受け取って迅速にセキュリティインシデントに対応できる場合に限られます。テクノロジーのみに依存してその他の要因を考慮しなければ、ツールで生成されるアラートを頼りにするしかなくなり、誤検知が増加します。

そのため、この保護対策では、ネットワークトラフィックを継続的に監視し、不審なアクティビティを特定し、迅速に対応して影響を軽減することを推奨しています。

ネットワーク監視と防御の対策

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• セキュリティイベントのアラートシステムを統合します。
• ネットワークと個人のデバイスの両方で不審なアクティビティを検出できるシステムを構築します。
• ネットワークのさまざまな場所を行き交うトラフィックをフィルタリングし、制御するための対策を講じます。
  
• 資産へのリモートアクセスを管理および制御します。
• クラウド環境とハイブリッド環境でトラフィックを継続的に監視できるようにします。
• ネットワークトラフィックの流れを記録するログを収集します。
• ネットワークと個人のデバイスの両方で不審なアクティビティを阻止できるシステムを構築します。
• ポートレベルのアクセス制御を導入します。
• フィルターを適用して、ネットワークトラフィックのアプリケーション層を監視および制御します。
• セキュリティイベントに関するアラートのしきい値を調整して、効果を最適化します。

14)セキュリティ意識とスキルの向上トレーニング

ユーザーの行動は、組織のセキュリティプログラムの成否に影響を与えます。攻撃者にとっては、たとえば、ネットワークの脆弱性を直接悪用するよりも、ユーザーをだましてリンクをクリックさせたりメールの添付ファイルを開かせたりする方がはるかに簡単です。

インシデントを引き起こす可能性があるユーザー行動には、次のようなものがあります。

• 機密データを誤った方法で取り扱う。
• 機密情報を誤った相手に送信する。
• ポータブルデバイスを紛失する。
• 脆弱なパスワードを使用したり、パブリックなサイトのパスワードを再利用したりする。

そのため、セキュリティに対する意識を向上し、組織のサイバーセキュリティリスクの軽減に必要なスキルを提供するセキュリティ意識向上プログラムを策定/運用する必要があります。

セキュリティに対する意識とスキルを向上するトレーニングの開始

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• セキュリティ意識を高めるためのプログラムを策定して、維持します。
• ソーシャルエンジニアリング攻撃を見極めるための従業員教育を実施します。
• 認証のベストプラクティスに関する従業員トレーニングを実施します。
• データの取り扱いに関するベストプラクティスについて従業員を教育します。
• 意図しないデータ漏えいの原因について従業員を教育します。
• セキュリティインシデントを判別して報告できるようにするための従業員トレーニングを実施します。
• クラウドデータ、リモートワーク、および社外からのアクセスにまつわるリスクに特化した従業員教育を実施します。
• セキュリティ更新プログラムが適用されていない企業資産を特定して報告する方法を従業員に教育します。
• 安全でないネットワーク経由で企業データを送信することのリスクについて従業員を教育します。
• 役割別のトレーニングセッションを実施して、セキュリティに対する意識の向上とスキルの強化を図ります。

(サイバーセキュリティ意識向上プログラムの効果を高めるには、一般的な攻撃と適切なサイバーセキュリティ対策を重点的に取り上げる必要があります)

15)サービスプロバイダー管理

サードパーティによるセキュリティ侵害が組織に影響を与えた事例は、数え切れないほど存在します。CISコントロールの15番目の保護対策は、このような問題に対処するためのものです。具体的には、組織のシステム、ネットワーク、またはデータにアクセスできるサードパーティのサービスプロバイダーを管理および監視します。

この保護対策は、サービスプロバイダーのセキュリティプラクティスを評価および監視することを推奨するとともに、機密情報の保護と組織のセキュリティ態勢の維持を確実に行うことを重視しています。

サービスプロバイダーの管理における注意点

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• 提携しているすべてのサービスプロバイダーを記録します。
• サービスプロバイダーを管理するためのポリシーを策定して、管理します。
• サービスプロバイダーをさまざまなグループに分類します。
• サービスプロバイダーとの契約にセキュリティ要件が含まれていることを確認します。
• サービスプロバイダーを評価して、その適合性を判断します。
• サービスプロバイダーを監視して、コンプライアンスとパフォーマンスを確保します。
• 提携する必要がなくなったサービスプロバイダーを、業務から安全に排除します。

16)アプリケーションとソフトウェアのセキュリティ

アプリケーションは、ユーザーがビジネス要件に合わせてデータにアクセスし、そのデータを処理できる便利なプラットフォームです。アプリケーションのおかげで、データベースにログインしてファイルの挿入や修正を行うといった、ミスが起きやすく複雑なシステム操作を行う必要性が少なくなります。

しかし、攻撃者によっては、セキュリティ対策を回避するために複雑なネットワークやシステムのハッキングするのではなく、アプリケーション自体の脆弱性を悪用してデータへの不正アクセスを試みることがあります。したがって、自社開発のソフトウェアのセキュリティを確保するには、安全なコーディングの実践とプロセスを導入することが必要です。

アプリケーションとソフトウェアのセキュリティ対策

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• アプリケーション開発のための安全なプロセスを構築して、管理します。
• ソフトウェアの脆弱性を特定して対処するためのシステムを構築して、管理します。
• セキュリティの脆弱性の根本原因を調査します。
• サードパーティのソース(特にクラウドネイティブツールとSaaSツール)から提供されたソフトウェアコンポーネントのリストを作成して、管理します。
• 外部ソースのソフトウェアコンポーネントを活用する場合は、更新済みの信頼できるコンポーネントを使用します。
• アプリケーションの脆弱性の深刻度を評価するシステムを構築して、管理します。
• 標準化された構成テンプレートを使用して、アプリケーションインフラストラクチャのセキュリティを強化します。
• 本番システムとそれ以外のシステムを分離します。
• アプリケーションセキュリティの概念や安全なコーディング手法に関するトレーニングを開発者に提供します。
• アプリケーションアーキテクチャの設計にあたって、安全な設計原則を適用します。
• アプリケーションセキュリティコンポーネントには、事前検証済みのモジュールやサービスを利用します。
• コードレベルのセキュリティチェック機能を実装します。
• アプリケーション侵入テストを実施します。
• 脅威モデリングを実行して、潜在的なリスクを特定します。

17)インシデント対応管理

インシデント対応管理とは、セキュリティインシデントに対処し、その影響を軽減するためのインシデント対応計画を策定および実施する活動です。インシデント対応計画は、セキュリティインシデントの発生時に従うべき手順と手順の概要をまとめたもので、脅威からの保護、脅威の検出、対応、および復旧を行うための対策で構成されています。

インシデント対応は、あらゆるインシデント管理プログラムの第一の柱です。十分な態勢が整っていない組織では、対応と復旧の側面が軽視されていることが少なくありません。システムが侵害された場合の唯一の対応策は、システムを元通りに復元し、何事もなかったかのように業務を続行できるようにすることです。

インシデント対応の主な目的は、組織内の脅威を特定し、迅速な対応によって拡散を阻止し、損害が発生する前に問題を解決することにあります。

インシデント対応管理の対策

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• インシデントに効果的に対処できるスタッフを担当者として採用します。
• セキュリティの問題を報告するための連絡先情報を最新の状態に保ちます。
• インシデントを報告するための体系的なアプローチを作成し、組織全体に適用します。
• インシデントを迅速に処理するためのプロセスを開発して、管理します。
• AI (人工知能)ベースのクラウド監視サービスの導入により、システムを常時監視して異常の有無を確認できるようにします。
• チームのメンバーに特定の役割や責任を付与します。
• インシデント対応時の効果的なコミュニケーション手段を決定します。
• インシデント対応の演習を定期的に実施します。
• インシデント後にレビューを実施して、教訓を学びます。
• セキュリティインシデントのレベルを事前に設定して、管理します。

18)侵入テストの実施

脅威に対する強力な防御を維持するには、効果的なポリシー、ガバナンス、技術的防御を含む包括的なアプローチを策定することが重要になります。テクノロジーは常に変化し、攻撃者は常に新しい戦術を開発しているため、完璧な対策を実現することは困難です。そのため、侵入テストを定期的に実施して、組織のセキュリティ対策の弱点を発見し、攻撃への耐性を評価する必要があります。

この保護対策では、攻撃者の行動や目標をシミュレーションしながら、システム、プロセス、テクノロジーの脆弱性を特定して悪用するという方法で、企業資産のレジリエンスと有効性をテストすることを推奨しています。

この保護対策をCISコントロールに従って導入する方法は、次のとおりです。

• ハッカーからの攻撃を阻止するシステムの能力をテストするためのプログラムを策定して、管理します。
• 外部のハッカーがシステムに侵入できるかどうか、あるいはクラウド環境に潜在的な脆弱性があるかどうかを、定期的なテストで確認します。
• テストで判明したすべての問題を修正します。
• セキュリティ対策が効果的で、正しく機能していることを確認します。
• 組織内の人物によるシステムの侵害が可能かどうかを、定期的なテストで確認します。

CISクリティカルセキュリティコントロールのまとめ

CISコントロールの導入は、サイバー攻撃に対する強力な防御を確立し、機密データを保護し、業務の継続性を確保するのに役立ちます。CISコントロールの各保護対策に優先順位を付けることで、リスクを軽減し、潜在的な脆弱性を検出し、インシデントに迅速に対応することが可能になります。

このブログはこちらの英語ブログの翻訳です。