CIS Critical Security Controls v8: 概要、更新内容、およびビジネスへの影響
CIS Critical Security Controls(CISコントロール)は、インターネットセキュリティセンター(CIS)によって作成されたベストプラクティスガイドラインのセットであり、組織がサイバー脅威から自らを守るのを支援することを目的としています。CISコントロールは2008年から存在しており、新しいバージョンが出るたびに、ますます包括的で効果的になっています。最新バージョンであるCISコントロールのバージョン8は2021年にリリースされ、前バージョン7からの更新と変更が含まれています。
CISコントロールの重要性
CISコントロールは、あらゆる規模や業種の組織にとって重要です。なぜなら、これらはサイバー攻撃の成功の可能性を大幅に減少させる一連のサイバーセキュリティプロトコルを簡単かつ効果的に実装する方法を提供するからです。この記事では、CISコントロールの概要を提供し、バージョン8の新機能について説明し、CISコントロールをどのように実装するか、そしてKiteworksがどのようにして組織がCISコントロールのガイドラインを満たすのを支援できるかを説明します。
CISクリティカルコントロールの概要
CISコントロールは、最も一般的で成功したサイバー攻撃から組織を守るために設計されています。これらは、世界中のサイバーセキュリティ専門家の経験に基づいて開発されたベストプラクティスと推奨事項のセットです。組織は、これらをサイバーセキュリティリスク管理戦略に統合するべきです。
CISコントロールは、サイバー攻撃がシステムを侵害する可能性を減少させるサイバーセキュリティフレームワークを組織に提供します。CISコントロールは、基本的なセキュリティコントロール、高度なセキュリティコントロール、組織的なセキュリティコントロールの3つのカテゴリーに分かれています。
基本的なセキュリティコントロール
基本的なセキュリティコントロールは、組織が実装すべき最も重要なコントロールであり、最も一般的で成功したサイバー攻撃から守るために設計されています。これらのコントロールは、パッチ管理、ユーザーアクセス制御、セキュアな構成などのプロアクティブで予防的な対策に焦点を当てています。
高度なセキュリティコントロール
高度なセキュリティコントロールは、組織に追加の保護を提供するために設計されており、通常、実装がより複雑です。これらのコントロールは、高度なサイバーセキュリティ脅威に対する防御、エンタープライズセキュリティアーキテクチャの実装、インシデント対応の確立などのトピックに焦点を当てています。
組織的なセキュリティコントロール
組織的なセキュリティコントロールは、他の2つのカテゴリーのコントロールの有効性を確保するために設計されており、セキュリティポリシー、手順、標準、およびガイドラインの開発、実装、およびレビューに焦点を当てています。
最新のCISコントロールv8とは?
CISコントロールは、3つのカテゴリーをカバーする18のコントロールに整理されています。これらのコントロールは、重要性と効果の順に優先順位が付けられており、組織が最も重要なコントロールにリソースを集中できるようになっています。これらは、以前のサブコントロールから再編成され、異なるサイバーセキュリティ活動によってグループ化されています。
1. ハードウェア資産のインベントリと管理
このコントロールは、ネットワーク上のすべてのハードウェア資産(物理的および仮想的)の正確で最新のインベントリを維持することを含みます。これにより、組織は悪意のあるアクターの侵入ポイントを理解することができます。
2. ソフトウェア資産のインベントリと管理
このコントロールは、ネットワーク上のすべてのソフトウェア資産(オープンソースおよび商用の両方)の正確で最新のインベントリを維持することを含みます。これにより、組織は既知の脆弱なソフトウェアコンポーネントを特定することができます。
3. 継続的な脆弱性管理
このコントロールは、システム構成を監視し、脆弱なソフトウェアおよびファームウェアコンポーネントにパッチを適用することを含みます。
4. 管理特権の制御された使用
このコントロールは、特権アカウントへの管理アクセスを、アクセスの正当な必要性がある者にのみ制限することを含みます。ゼロトラストのような概念は、このコントロールにおいて非常に重要です。
5. ネットワークデバイスのセキュアな構成
このコントロールは、ルーター、スイッチ、ファイアウォールを含むネットワークデバイスを、業界標準およびベストプラクティスに従って構成することを含みます。
6. 境界防御
このコントロールは、複数の保護層を実装することによってネットワークを保護するための多層防御戦略を確立することを含みます。
7. 監査ログの保守、監視、および分析
このコントロールは、システムおよびユーザー活動ログをキャプチャし、分析して悪意のある活動や潜在的な脅威を検出することを含みます。
8. メールおよびウェブブラウザの保護
このコントロールは、悪意のあるメールやウェブサイトから組織を保護するために、アンチマルウェアおよびウェブフィルタリングソリューションを使用することを含みます。
9. マルウェア防御
このコントロールは、ネットワークから悪意のあるコードを検出、防止、および削除するためにアンチマルウェアソリューションを使用することを含みます。
10. ネットワークポート、プロトコル、およびサービスの制限と管理
このコントロールは、組織の運用に必要なポート、プロトコル、およびサービスにのみネットワーク通信を制限することを含みます。
11. データ保護
このコントロールは、機密データを保護するために、無許可のアクセス、変更、または開示から保護するソリューションを実装することを含みます。
12. ワイヤレスアクセス制御
このコントロールは、無許可のアクセスから組織のワイヤレスネットワークを保護するためのソリューションを実装することを含みます。
13. アカウントの監視と管理
このコントロールは、ユーザーアカウントの不審な活動を監視し、アカウントロックアウトポリシーを実装することを含みます。
14. セキュリティ意識とトレーニングプログラムの実施
このコントロールは、ユーザーにセキュリティのベストプラクティスを教育するためのセキュリティ意識プログラムを実施することを含みます。
15. アプリケーションソフトウェアのセキュリティ
このコントロールは、セキュアなコーディングプラクティス、静的および動的コード分析ツール、アプリケーションホワイトリストを実装することによって、既知および新たな脅威からアプリケーションを保護することを含みます。
16. インシデント対応と管理
このコントロールは、セキュリティインシデントに対応し管理するための計画を持つことを含みます。
17. ペネトレーションテストとレッドチーム演習
このコントロールは、組織のセキュリティコントロールの弱点を特定するために、定期的なペネトレーションテストとレッドチーム演習を実施することを含みます。
18. データ復旧能力
このコントロールは、災害時に情報を復旧できるようにするためのソリューションを実装することを含みます。
なぜCISコントロールの更新が必要だったのか?
CISコントロールのバージョン8の更新と変更は、組織が最新のサイバー脅威と悪意のあるアクターが使用する技術の進歩に対応するのを支援するために必要でした。モバイルデバイス、クラウドコンピューティング、モノのインターネット(IoT)の利用が増加する中、組織はシステムとデータを保護するために適切なポリシーとコントロールを確保する必要があります。
新しいCISコントロールバージョン8は、組織がシステムとデータを適切に保護していることを確認するのに役立ちます。たとえば、コントロール14は、共有される情報の種類を制御するのに役立ち、コントロール15は、ワイヤレスネットワークを保護するのに役立ちます。コントロール16は、ユーザーアカウントを監視および制御するのに役立ち、コントロール17は、適切なレベルのセキュリティ専門知識と知識を確保するのに役立ちます。
CISコントロールバージョン8をどのように実装するか
CISコントロールの実装は、慎重に計画し管理されるべきプロセスです。このプロセスには以下のステップが含まれます:
1. 評価
まず、既存のセキュリティ体制を評価し、ギャップを特定します。
2. 優先順位付け
組織のリスクプロファイルに基づいて、CISコントロールの実装を優先順位付けします。
3. 計画
CISコントロールの詳細な実装計画を策定します。
4. テスト
制御された環境でCISコントロールの実装をテストします。
5. 監視
定期的にCISコントロールの効果を監視し、必要に応じて更新します。
CISコントロールを実装するために必要なツールとリソースは何か?
組織がCISコントロールを実装するのを支援するために利用可能なツールとリソースは多数あります。これらには以下が含まれます:
1. CISコントロール評価ツール
CISコントロール評価ツールは、組織が既存のセキュリティ体制を評価し、ギャップを特定するのに役立ちます。
2. CISベンチマークセキュリティ検証ツール
CISベンチマークセキュリティ検証ツールは、組織がシステムがCISコントロールに準拠していることを確認するのに役立ちます。
3. CISクリティカルセキュリティコントロール実装ツールキット
CISクリティカルセキュリティコントロール実装ツールキットは、組織にCISコントロールを実装するためのステップバイステップガイドを提供します。
4. CISコントロールデータベース
CISコントロールデータベースは、各コントロールに関する詳細な情報を組織に提供し、詳細なステップ、ベストプラクティス、およびリソースを含みます。
KiteworksプライベートコンテンツネットワークとCISコントロール
CISコントロールは、サイバー脅威から自らを守ろうとする組織にとって重要で効果的なベストプラクティスとガイドラインのセットです。最新バージョンであるバージョン8には、組織が最新のサイバー脅威と新しい技術に対応するのを支援する更新が含まれています。
CISコントロールは、自社のサイバーセキュリティを向上させようとするすべての組織に無料で提供されています。Kiteworksプライベートコンテンツネットワークは、ファイルとメールのデータ通信を1つのプラットフォームで統合、追跡、制御、保護し、誰が機密コンテンツにアクセスできるか、誰が編集できるか、誰に送信できるか、どこに送信できるかを組織が管理できるようにします。Kiteworksは、CISコントロール、NISTサイバーセキュリティフレームワーク、NISTプライバシーフレームワーク、ISO 27001、SOC 2などのサイバーセキュリティのベストプラクティスとフレームワークを体現しています。
Kiteworksのカスタムデモをスケジュールして、CISコントロールのようなグローバルなサイバーセキュリティ標準とどのように整合しているかを確認し、データを転送中および保存中に保護するためのフレームワークを組織に提供する方法について詳しく学んでください。
ブログ記事:
