最近、 「Center for Internet Security (CIS)」が「クリティカル セキュリティーコントロール トップ20」の新たな改訂版を発行しました。
元々SANS Institute(サンズ インスティテュート)によって開発されたこれらのコントロールは、組織の大小に関わらず広く利用されてきました。これら一連のコントロールを利用することで、組織はほとんどのサイバー攻撃を防ぐことができます。
前回のリリースでは、最初の6つのコントロールを利用するだけで85%の攻撃を防ぐことができ、20のコントロールすべてを利用すれば、97%超の攻撃を防げることが明らかになりました。
今回のリリースの主な目的の一つは、それぞれのコントロールのワークフローの間で互いに整合性が取れるようにすることです。内容的には既存の規定とほとんど変わらないコントロールにおいても、要件の順位の入れ替えが見られます。各コントロールに、要約バージョンのアセスメント、ベースラインの定義、修復、自動化があります。
さらに、前回の改訂版より文章が整理されました。以前のリリースより、的確な表現が用いられ、さらに理論的な表現になっています。広範囲のプラットフォームと攻撃に対応できるコントロールという観点から、素晴らしい改善点です。
ただ、コントロールをいかに実施するかについては、各組織、及び使用ツールにゆだねられています。そのため組織が単体で対応するのはなかなか困難でもあり、企業は、様々なコントロールの細部にわたってきめ細かなガイダンスを提供できるセキュリティーベンダーに頼る必要があります。
既存のコントロール多くのは従来のままでしたが、要件の重複を排除したり、表現を簡潔化して、整理しなおされています。
トップ6つの基本的なコントロールについては、変更はありませんでした(順序の入替りはあります)。これらのコントロールがほとんどの攻撃をブロックできていると言っても、間違いないでしょう。
これから数週間にわたって、各項目のコントロールをレビューし、要件一つ一つについて自分の考えを述べていきたいと思います。
CISコントロール1: ハードウェア資産のインベントリとコントロール
CISコントロール2: ソフトウェア資産のインベントリとコントロール
CISコントロール4:コントロールされている管理権限を使用
CISコントロール5:モバイルデバイス、ラップトップ、ワークステーションおよびサーバに関するハードウェアおよびソフトウェアのセキュアな設定
CISコントロール6:監査ログの保守、監視および分析
CISコントロール7:電子メールと Web ブラウザの保護
CISコントロール8:マルウェア対策
CISコントロール9:ネットワークポート、プロトコル、およびサービスの制限およびコントロール
CISコントロール11:ファイアウォール、ルータ、スイッチなどのネットワーク機器のセキュアな設定
CISコントロール12:境界防御
CISコントロール13:データ保護
CISコントロール14:Need-to-Knowに基づいたアクセスコントロール
CISコントロール15:ワイヤレスアクセスコントロール
CISコントロール16:アカウントの監視およびコントロール
CISコントロール17: セキュリティ意識向上とトレーニングプログラムの実施
CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール19: インシデントレスポンスと管理CISコントロール20: ペネトレーションテストとレッドチームの訓練
CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.
Travis Smith has contributed 38 posts to The State of Security.