CIS Controls バージョン 7について

CIS Controls
2019.06.13

2019/6/12にISACA東京支部の情報セキュリティ研究会にお試し参加をしてきました。

その中でCIS Controlsに対して議論をさせていただき、個人的にも纏めたいな~という思いに駆られましたので、記事にしていきます。

なお、内容については完全に個人的な見解ですので、これはこういう解釈だよ!とかあればご教示いただけると幸いです。

CISとは?

まずはCIS(Center for Internet Security)についてです。

米国のNSA(National Security Agency/国家安全保障局)、DISA(Difense Informaton Systems Agency/国防情報システム局)、NIST(National Institute of Standards and Technology/米国立標準技術研究所)などの米国政府機関と、企業、学術機関などが協力して、インターネット・セキュリティ標準化に取り組む団体の名称。
サイト:https://www.cisecurity.org/
参考:https://www.jiten.com/dicmi/docs/c/2172s.htm

日本ではあまり聞かないかもしれませんが、かなり良い資料が提供されています。(しかも無料!)

私も昔にデータベース診断をやった際にCISのベンチマークを参考にしたりしていました。(あれは大変だった・・・)

CIS Controlsについて

CIS Controlsのバージョン7の資料(ここからダウンロードできます。)のイントロの個所をまとめると。

・多層防御のベストプラクティスをCIS Controlsで提供している
・現在、防御方法は各ベンダーによって色々な製品・サービスが提供されているが、逆に色々ありすぎて訳が分からなくなっている
・各企業がとるべき最も基本的かつ重要な対応に重点を置いている
・CIS Controlsは、実際に行われた攻撃や効果的な防御対策から情報を収集し、色々な組織が本コントロールを適用し運用できるようにまとめた知識が反映されている

となっています。(日本語の資料からです。)

CIS Controlsの内容としてはControl1から始まり以下のように20までで構成されています。

CIS Control 1:ハードウェア資産のインベントリとコントロール
CIS Control 2:ソフトウェア資産のインベントリとコントロール
CIS Control 3:継続的な脆弱性管理
CIS Control 4:管理権限のコントロールされた使用
CIS Control 5:モバイルデバイス、ラップトップ、ワークステーションおよびサーバに関するハードウェアおよびソフトウェアのセキュアな設定
CIS Control 6:監査ログの保守、監視および分析
CIS Control 7:電子メールと Web ブラウザの保護
CIS Control 8:マルウェア対策
CIS Control 9:ネットワークポート、プロトコル、およびサービスの制限およびコントロール
CIS Control 10:データ復旧能力
CIS Control 11:ファイアウォール、ルータ、スイッチなどのネットワーク機器のセキュアな設定
CIS Control 12:境界防御
CIS Control 13:データ保護
CIS Control 14:Need‐to‐Know に基づいたアクセスコントロール
CIS Control 15:無線アクセスコントロール
CIS Control 16:アカウントの監視およびコントロール
CIS Control 17:セキュリティ意識向上トレーニングプログラムを実施する
CIS Control 18:アプリケーションソフトウェアセキュリティ
CIS Control 19:インシデントレスポンスと管理
CIS Control 20:ペネトレーションテストおよびレッドチームの訓練

基本的な対策としてまずはControl1~6(水色の個所)を実施することがセキュリティ対策を成功させる要因になります。

なので、まずは1~6の個所に対しての取り組みを行ってから7以降の対応を行うようにすることが重要です。(ちなみに7~16はFoundational、17~20はOrganizationalとなっています。)

1~6の項目を見るとよく見る内容だと思いますが、やはり基本が一番大事だということですね!

各Controlについて解説を行いたいのですが、資料としての厚みも結構あるので、私自身の勉強も含め、まとまったら随時記事にしたいな~と考えています。

各Control毎に記事にするかある程度纏めるかは、都度考えます。(ちゃんと全部できるのだろうか・・・)

ISACA研究会の雰囲気

ISACA(情報システムコントロール協会)という名前なので、お堅い研究会なのかな~と思って非常に緊張していたのですが・・・

実際に参加してみると参加者、委員会の方々がとても良い人達ばかりなので、研究会自体もとてもに和やかな雰囲気でした。

実際の研究会の内容としても、「CIS Controls」というとても良い題材でした。
※こういう機会がないと私が読まなそうなものなので。。。

参加者も各組織のセキュリティのマネジメントをしている方々達が来ているといった感じでした。

こういった場で研鑽できるのはモチベーションを上げるのにも最適だなと感じました。

私のツイッターをフォローしている方がいたのは驚きでしたね・・・

CISAやCISMの資格を持っていなくても、ISACA東京支部の会員であれば入会はできるそうです。
※ただ、私が見た限りでは皆さんCISAやCISMの資格持ちの方々ばかりでした。

今後も研究会の活動は続けていこうと思っています。

不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。

なお、CISAやCISMの勉強について(参考になるかはわかりませんが・・・)は以下です。

セキュリティ資格 CISAを研修なしで取得!

セキュリティ資格 CISMに合格しました!

スポンサーリンク

コメント