「すべてを守る」という幻想へのアンチテーゼ
情報セキュリティの世界には無数のガイドライン(NIST CSF、ISO 27001等)が存在しますが、現場のエンジニアや予算が限られた中小企業のCISOが必ず直面する壁が**「で、結局、明日から具体的にどのシステムのどの設定をいじればいいの?」**という疑問です。
CIS Controls(Center for Internet Security Controls)は、この悩みに明確な答えを出します。 NSA(米国家安全保障局)などの知見をもとに、「実際のサイバー攻撃を防ぐ上で、本当に実効性の高い具体的な技術対策」だけを抽出し、優先順位をつけてリストアップしたのがこの「CIS Controls(最新版はv8)」です。
現場のリアル:実装グループ(Implementation Groups: IG)
CIS Controls v8の最大の強みは、組織の規模と予算に応じた**3段階の実装グループ(IG)**を明示していることです。すべての中小企業が大企業の金融機関と同じ対策をする必要はありません。
| 実装グループ | 対象組織のイメージ | 目標と特徴 |
|---|---|---|
| IG1(サイバーハイジーン) | 専任のセキュリティ担当者がおらず、IT部門が兼務している中小・中堅企業。 | 【すべてはここから】高度な技術がなくても実装できる基本的な衛生管理(Cyber Hygiene)。これを徹底するだけで一般的な攻撃の約85%を防げるとされる。 |
| IG2(標準的な防衛) | セキュリティ担当者や運用チームを持つ中規模〜大企業。 | IG1に加え、ログ管理、脆弱性スキャンの自動化、[SIEM](/glossary/siem/)連携など、体制化された防衛網を敷く。 |
| IG3(高度・適応型防衛) | 豊富な予算を持ち、国家支援型ハッカー([APT](/glossary/apt/))の標的になり得る政府機関、金融機関。 | IG2に加え、ゼロデイ対策、[脅威ハンティング](/glossary/threat-hunting/)、レッドチーム演習([ペネトレーションテスト](/glossary/penetration-testing/))など最高峰の対策を実施。 |
防御の最優先:Control 1 と Control 2
CIS Controlsの全18カテゴリのうち、第1位と第2位は「ファイアウォール」でも「アンチウイルス」でもありません。
| 最優先コントロール | 意味(なぜ最重要なのか?) |
|---|---|
| Control 1: エンタープライズ資産の管理 | 「把握していない資産は、守れない」 社内のネットワークのどこかに、IT部門の知らない古い野良サーバー(シャドーIT)があれば、そこがランサムウェアの入り口になります。まずは「IPアドレスを持っているすべての機器」を台帳(インベントリ)化することからセキュリティは始まります。 |
| Control 2: ソフトウェア資産の管理 | 「何が動いているかを知る」 インベントリ上のPCで、使用許可されていないソフトウェア(フリーソフト等)が動かないように制御(AppLocker等の利用)します。 |
3〜18コントロールの全体像(v8)
資産を把握したあと、コントロール3以降で防御を固めていきます。v8へのアップデートに伴い、モダンなクラウド・テレワーク環境に対応し整理されました。
【アクセスと認証】 • Control 4: 資産とソフトウェアの「セキュアな構成管理(ハードニング)」 • Control 5: アカウント管理(退職者のアカウント即時削除など) • Control 6: アクセス制御管理(特権アカウントの制限、MFAの強制)
【継続的テストと防御】 • Control 7: 継続的な脆弱性管理(パッチ適用の優先順位付け) • Control 8: 監査ログ管理(インシデント後、最低90日はログを遡れるようにする) • Control 9: メールとWebブラウザの保護 • Control 10: マルウェア防御(最新のEDRの導入)
【ビジネス要件と拡張手法】 • Control 11: データ復旧(イミュータブルバックアップのテスト) • Control 15: サービスプロバイダー管理(サードパーティ・外部ベンダーの査定) • Control 17: インシデント対応管理 • Control 18: ペネトレーションテスト
CISはControls(何をすべきか)だけでなく、**「CIS Benchmarks」**という具体的なマニュアル(例えば「Windows 11を安全に運用するためには、レジストリのここを1から0に変えろ」という何百ページもの手順書)を無料で公開しています。AWS等のクラウド環境では、「CIS Benchmarksに準拠したOSイメージ」が公式で提供されており、デフォルトで強固な(Hardened)環境を構築できます。
【確認問題】サイバーセキュリティのベストプラクティス「CIS Controls v8」において、どのような技術的防御手法よりも最優先で取り組むべき「Control 1」として定義されている活動はどれですか?