昨今のサイバー攻撃の急増を踏まえ、企業を取り巻くセキュリティソリューションは非常に増えてしまいました。そんな状況を一挙に解決するシンプルなフレームワークとしてCIS Controlsをご紹介します。
CIS Controlsとは
サイバー攻撃に対するセキュリティ対策の重要性は世界中の様々な企業や公的機関で高まっています。このためセキュリティ対策に関する多くのツールが出回っています。しかし、ここには問題があります。それはセキュリティ対策ツールの選択肢があまりにも多すぎることです。この問題は”Fog of More”と呼ばれます。身の周りに脅威があることを認識すると、組織は全てのリスクに対処しようとするものです。そのため、このリスク回避のために一つの組織でいくつものツールを扱うことになります。これがFog of Moreを産むのです。
その結果、多すぎるツールを管理しきれず組織は疲弊してしまいます。このセキュリティ対策の問題点に解決策を提案したのがCIS Controlsです。CIS Controlsとはセキュリティ対策用のフレームワークです。上記の多すぎる選択肢の問題を整理し、優先順位を付けながら最低限やるべきことに着目したシンプルなフレームワークとなっています。
このようなサービスが登場してきた背景には現状のサイバーセキュリティ対策への懸念があります。これまでのセキュリティ対策は専門家による組織内のリスク評価とネットワーク内に脆弱性がないかを疑似的なサイバーアタックにより調査する方法の2軸で行われていました。しかし、それぞれの軸が別々の基準で評価されるため、片方の課題をもう一方の軸では解決していない場合も存在しました。ここに事故のリスクが存在していました。
従い、米国の企業では自社で行うセキュリティ対策が実際にリスクを軽減しているのかを検証することが推奨されています。そして、CIS Controlsはこの効果測定のための基準や実施方法などの情報を提供しています。このガイドラインは世界中の企業や公的機関に採用されています。
アメリカのCIS“The Center for Internet Security”と呼ばれる 団体がこのガイドラインを管理しています。このガイドライン自体は2008年にアメリカの国家安全保障局(NSA)などの公的機関や情報セキュリティの専門企業が共同で研究してきたものです。最終的には、SANS Insitituteと呼ばれるセキュリティ専門団体が2009年に取りまとめたガイドラインが現在のCIS Controlsの元になっています。
CIS Controlsの作成にはサイバー攻撃に関する多くの知見を持った専門家が携わっています。米国国防総省、FBI、米国エネルギー省原子力研究所などの専門家達もこのフレームワーク作成に関わっています。CIS Controlsは世界各国の公的機関で既に採用実績のあるフレームワークであり、また、CIS自体は非営利組織であるため、中立的な立場を保っているところもこの団体の信頼性に寄与しています。現在、世界ではセキュリティ対策の主要なフレームワークとなっています。
具体的な技術対策に特化したフレームワーク
CIS Controlsが特に注力しているのはサイバー攻撃への対策です。セキュリティ対策は様々な選択技で溢れかえっており(Fog of More)、選択肢が多すぎることで企業は混乱します。そして、企業が多くのセキュリティツールを管理しきれずに疲弊していくことは既に説明しました。この多すぎる選択肢の問題を解決することがCIS Controlsの目的です。
この混乱の一番の原因は全てのリスクに同じように対処する必要があると企業が考えていることです。その意味ではCIS Controlsは目的をかなり割り切って考えています。ここでは問題の全てに対処することは目指していません。それより優先度の高い、絶対に攻撃を受けてはいけないものを守ろうというのがこの意図です。このためセキュリティ対策を整理し、カテゴライズし、それぞれのカテゴリーに対策を提示しています。また、このフレームワークは頻繁に更新されるので、最新のサイバー攻撃にも最新の対策を提供します。2019年には第7版が更新されており、現在はこれが最新版となります。では、具体的な実装例はどのようなものでしょうか?次では具体的な実装例について解説致します。
CIS Controlsの実装例の紹介
ここでではCIS Controlsの実装例をご紹介していきます。この具体的な内容としては現在起きているサイバー攻撃と今後起こるであろうサイバー攻撃の傾向を分析しています。その上で、サイバーアタックへの対策を20の領域に分けています。そして、各領域の中に3つの優先順位付けを行なっています。
これが”Basic”、”Foundational”、”Organizational”の3つの段階になります。それぞれBasic 6領域、Foundational 10領域、Organizational 4 領域に分かれています。特に、最初のBasicの部分はサイバー攻撃の予防策に特化した領域となっています。これは先程もご説明した通り、このフレームワーク自体がサイバー攻撃への対策を最優先に考えているためです。
CIS Controlsの特徴
繰り返しの説明になりますが、CIS Controlsの特徴は全てのリスクに対処するのではなく、リスクに対してある程度割り切って対処する点です。リスクの中に優先順位をつけて優先度の高いものから対策を強化していく方針をとっています。では、具体的な対策内容とはどのようなものでしょうか?ここでは、具体的な対策内容について解説していきます。CIS Controlsのセキュリティ対策には以下の5つのシステムが組み込まれています。以下にて一つずつ解説していきます。
- 攻撃から防御を学ぶ
- 優先順位化
- 測定とメトリスク
- 継続的な診断とリスク低減
- 自動化
攻撃から防御を学ぶ
サイバーアタックの実例からこの攻撃に関する知識を学びます。過去に受けた攻撃の実例から学ぶことで効果的な対策を提供します。そして検証の結果、効果が明かなものをシステムに組み込みます。
優先順位化
リスクを洗い出し優先順位をつけることで組織にとって最もリスクの高い事項に対して最初に取り組みを行います。またその中でもシステムが正常に機能する環境にあるものから優先的に取り組みを行います。このようにして最も効果の高いところから取り組んでいきます。
測定とメトリスク
セキュリティ対策の効果測定を行う際に、そこに関わる組織や企業内の全ての人間(ITスタッフや経営幹部も含め)が理解できるようなわかりやすい指標を用意します。
継続的な診断とリスク低減
現行で行われているセキュリティ対策を検証します。そして今後の優先事項を検証するために継続的にテストを行います。
自動化
攻撃に対する防御を自動化で行います。自動化で行うことでこの指標を測定可能なものにします。また、高い信頼性や拡張性のある測定方法で行なっていきます。
対策内容
CIS Controlsではネットワーク上の全てのハードウェアを管理します。そしてアクセスを許可されたデバイスだけにネットワークへのアクセスを認めています。もし、アクセスを許可されていないデバイスがネットワークへの侵入を試みた場合は、システムの中でこのデバイスは検知されアクセスを拒否されます。多くの場合、サイバー攻撃を仕掛ける側はセキュリティが脆弱な端末からメインのネットワークに侵入する機会を窺っています。
例えば、セキュリティに問題を抱えたソフトがパソコンにインストールされていたり、既に何らかのセキュリティが侵害された端末(個人所有のラップトップ等)がシステムに接続される場合等です。サイバーアタックを仕掛ける側はこのような機会を外部から狙っています。このため、ネットワーク全体を管理しながらアクセスを許可されていない端末からの侵入を防ぐことによってサイバー攻撃のリスクを最小化できます。
また上述の通り外部からの侵入者は耐えず脆弱性を探して、侵入の機会を窺っているため、このフレームワークはシステム内での脆弱性を絶えずスキャニングし、検知することでこのリスクに備えます。この点については”自動化を前提とした実現方法”で詳しく解説致します。これがCIS Controlsの対策です。
本対策が有用な理由
この対策が有用な理由もCIS Controlsがネットワーク全体を管理しているところにあります。ネットワーク上の全てのデバイスを管理しているため、脆弱性を早期に発見できるためです。先ほどもお伝えした通り、サイバー攻撃を仕掛ける側は耐えず、脆弱な端末が接続される機会を虎視淡々と狙っています。どこの組織もメインのシステムはセキュリティ対策が強固に施されており、侵入は容易ではありません。彼らにとって最もターゲットにしやすいのがセキュリティ対策の施されていない新規の端末なのです。従い、ネットワーク全体を管理する事でサイバー攻撃のリスクを大幅に減らせます。そして万が一、事故が起きた場合でもネットワーク全体を管理しているので、迅速な対応、復旧作業が可能です。
また、このフレームワークは世界中のセキュリティ対策の専門家達によって作り出されたもので、世界的な信頼を得ています。従い、世界中に拠点を持つ企業にとっては対策を世界規模で行いやすい点も挙げられます。
CIS Controlsをどう理解するか
CIS Controlsをより深く理解するためには最新版(第7版 )がウェブ上で無料公開されていますので、こちらをご参照ください。英語、日本語どちらにも対応しています。その他の言語にも翻訳されていますので、世界中の拠点で情報を共有可能です。
CIS Controlsを実践していくためには企業自身も、また組織内部のスタッフもこのガイドラインを正しく理解することが必須です。一方で、この文章は74ページにも渡り、その量があまりにも膨大です。内容全てを理解し、組織全体に浸透させて実行に移していくのは自助努力だけでは難しいかもしれません。また、これは米国で作成されたガイドラインであり、米国の組織構造を前提としています。
米国と日本では会社の組織構造も異なります。米国で通用する仕組みが日本でもうまく行くとは限りません。この問題の解決策としては日本の組織にマッチしたCIS Controlsの実践を行うことです。しかし、それには専門家の力を借りる必要があります。日本でもこのサービスを提供する会社は存在します。
自動化を前提とした実現方法
CIS Controlsにおいてシステム内にある脆弱性を検知する機能は自動化を前提に組み込まれています。この中には以下に示す8つの対策が組み込まれています。自動化が前提となっているので運用面の負担が少ないのが特徴です。マンパワーの少ない企業、オフィスにも適用可能な内容となっています。特に、グローバルに事業を展開する企業などは海外拠点によっては人数の少ないオフィスもあります。このようなオフィスはセキュリティ対策が徹底されていないケースも多々あり、サイバー攻撃を受けやすい傾向があります。
このガイドラインはこのような小規模のオフィスにも適用がしやすく、また、対策を全世界で共通化できるため運用面のコストを削減できます。さらに、このガイドラインは海外でも(むしろ海外の方が)認知度の高いものですので、導入する上での現地側の心理的なハードルも低いと考えられます。
8つの対策
- アクティブな資産検出ツールを活用する
- パッシブな資産検出ツールを使用する
- DHCPロギングの結果を踏まえて資産インベントリを更新する
- 正確な資産インベントリを作成・維持する
- 資産インベントリの内容を維持する
- 許可されていないハードウェア資産に対処する
- ポートレベルでのアクセスコントロールを適用する
- クライアント証明書を活用してハードウェア資産を認証する
CIS Controlsの活用に向けて
世界中の企業・組織においてサイバー攻撃に対するセキュリティ対策の重要性は日々高まるばかりです。CIS Controlsはこの対策についての溢れかえる情報を整理し適切な処置をとり、組織を防衛していくための手助けをしてくれます。重要なことは企業にとって最も重要な守るべきポイントは何か?を把握し、ここを徹底して守ることです。このフレームワークを深く理解したい方は是非、先程ご紹介した最新版のバージョン7をご覧ください。ウェブ上で無料公開されています。
本日は以上となります。皆さんの企業でのセキュリティ対策はいかがでしょうか?もし皆さんの組織がここで指摘したような問題(Fog of More)を抱えているようでしたら、CIS Controlsを活用するチャンスかもしれません。これを活用しセキュリティ対策の優先順位付けからの対策実施を行うことをお勧め致します。今回の記事が皆様のお役に立てば幸いです。