CIS Controls しーあいえすこんとろーるず
簡単に言うとこんな感じ!
「何から手をつければいいかわからない」セキュリティ対策を、優先順位つきでまとめた”やることリスト”だよ!世界中の専門家が「これをやれば攻撃の大半は防げる」って厳選した18項目のベストプラクティス集なんだ。
CIS Controlsとは
CIS Controls(Center for Internet Security Controls)は、米国の非営利団体 CIS(Center for Internet Security) が策定した、サイバーセキュリティ対策のベストプラクティス集です。「実際に頻繁に発生している攻撃」のデータを分析し、効果の高い対策を優先順位付きで18項目にまとめています。以前は「CIS Critical Security Controls(CSC)」「SANS Top 20」とも呼ばれていました。
最大の特徴は「やることリスト」として使えること。セキュリティ対策は範囲が広すぎて何から始めればよいかわからなくなりがちですが、CIS Controlsは「まずこれをやれ」という実行可能なアクション(Safeguard)が明示されており、経営者・IT担当者・現場担当者が共通言語として使いやすい設計になっています。
2021年に公開されたバージョン8が現行の最新版で、クラウド・リモートワーク環境にも対応するよう内容が大幅に刷新されています。NIST CSF(サイバーセキュリティフレームワーク)や ISO 27001 とのマッピングも公開されており、既存のセキュリティ管理体制との統合も容易です。
18のコントロールと実装グループ(IG)
CIS Controls v8 は 18のコントロール(大分類) と、それを細分化した 153のSafeguard(具体的な実施事項) で構成されています。さらに、組織の規模やリソースに応じて3つの実装グループ(IG: Implementation Group)に分類されています。
| 実装グループ | 対象組織の目安 | 含むSafeguard数 |
|---|---|---|
| IG1(基本) | 小規模・IT専任不在の組織 | 56項目 |
| IG2(標準) | 中規模・IT専任がいる組織 | 74項目(累積130) |
| IG3(上級) | 大規模・セキュリティ専門組織 | 23項目(累積153) |
「まず IG1 の56項目を実施すれば、一般的な攻撃の大半を防げる」と言われており、リソースが限られた中小企業でも取り組める入口が用意されています。
18のコントロール一覧
| No. | コントロール名 | カテゴリ |
|---|---|---|
| 1 | 企業資産のインベントリと管理 | 基本 |
| 2 | ソフトウェア資産のインベントリと管理 | 基本 |
| 3 | データ保護 | 基本 |
| 4 | 企業資産とソフトウェアの安全な設定 | 基本 |
| 5 | アカウント管理 | 基本 |
| 6 | アクセス制御管理 | 基本 |
| 7 | 継続的な脆弱性管理 | 基本 |
| 8 | 監査ログ管理 | 基本 |
| 9 | メールとWebブラウザの保護 | 応用 |
| 10 | マルウェア対策 | 応用 |
| 11 | データリカバリ | 応用 |
| 12 | ネットワークインフラ管理 | 応用 |
| 13 | ネットワーク監視と防御 | 応用 |
| 14 | セキュリティ意識向上とスキルトレーニング | 組織 |
| 15 | サービスプロバイダー管理 | 組織 |
| 16 | アプリケーションソフトウェアのセキュリティ | 組織 |
| 17 | インシデント対応管理 | 組織 |
| 18 | ペネトレーションテスト | 組織 |
覚え方のポイント
「資産を把握して→守って→監視して→対応する」 という流れで捉えると覚えやすい。1〜8が「何を持っていて、どう守るか」という土台、9〜13が「外部の脅威への備え」、14〜18が「組織としての動き方」です。
歴史と背景
- 2008年 — 米国家安全保障局(NSA)や国防総省(DoD)が中心となり、実際のサイバー攻撃データをもとに「効果のある対策TOP20」を作成。当初は「The 20 Critical Security Controls」と呼ばれた
- 2013年 — SANS Institute が管理を引き継ぎ「SANS Top 20 Critical Security Controls」として普及
- 2015年 — CIS(Center for Internet Security)が管理を移管し「CIS Controls」「CIS CSC」として再ブランド化
- 2019年 — バージョン7.1 を公開。クラウド・モバイル環境への対応を強化
- 2021年 — バージョン8 を公開。クラウドファースト・リモートワーク対応に全面改訂。コントロール数を20→18に整理し、「デバイス単位」から「タスク・データ単位」の考え方にシフト
- 現在 — 世界100カ国以上の組織で採用。NIST CSF・ISO 27001 などとのマッピング資料も無償公開されており、既存体制との統合が容易
他のセキュリティフレームワークとの比較
セキュリティ関連のフレームワークは複数あり、用途や目的が異なります。CIS Controls はその中でも「何をするか」が具体的な点が特徴です。
| フレームワーク | 策定組織 | 特徴 | 向いている場面 |
|---|---|---|---|
| CIS Controls | CIS(米非営利団体) | 具体的な実施事項リスト・優先順位が明確 | 「何から始めるか」を決めたいとき |
| NIST CSF | 米国NIST | 5機能(識別・防御・検知・対応・復旧)の体系整理 | セキュリティ体制の全体俯瞰・経営説明 |
| ISO 27001 | ISO/IEC | 情報セキュリティ管理システム(ISMS)の国際規格 | 第三者認証・取引先へのアピール |
| NIST SP 800-53 | 米国NIST | 政府機関向けの詳細なセキュリティ管理策カタログ | 官公庁・公共機関のシステム調達 |
CIS Controlsを導入する実務上のポイント
- まず IG1(56項目)から着手する — 全153項目を一度にやろうとせず、IG1完了を最初のマイルストーンに
- Safeguardには実装方法も記載 — 「何をするか」だけでなく「どうやるか」の指針も含まれているため、外部コンサル不要で進めやすい
- NIST CSFとの併用が効果的 — CSFで体制の全体像を描き、CIS Controlsで具体的な実施事項に落とし込む使い方が多い
関連する規格・RFC
| 規格・文書 | 内容 |
|---|---|
| CIS Controls v8(公式) | CIS Controls 最新版(v8)の全文・Safeguard一覧(無償公開) |
| NIST SP 800-53 | 米国政府機関向けセキュリティ管理策カタログ。CIS Controlsとのマッピング資料あり |
| ISO/IEC 27001:2022 | 情報セキュリティ管理システム(ISMS)の国際規格。CIS Controlsとの対応表が公開されている |
関連用語
- ./380-nist-csf.md — NIST サイバーセキュリティフレームワーク:体制の全体俯瞰に使う5機能モデル
- ./381-iso-27001.md — ISO 27001:情報セキュリティ管理システム(ISMS)の国際認証規格
- ./382-nist-sp800.md — NIST SP 800-53:政府機関向けの詳細なセキュリティ管理策カタログ
- ./383-vulnerability-management.md — 脆弱性管理:システムの弱点を継続的に発見・修正するプロセス(CIS Control 7)
- ./370-zero-trust.md — ゼロトラスト:「信頼しない、常に確認する」を原則とするセキュリティモデル
- ./371-siem.md — SIEM:ログを一元収集・分析してセキュリティ脅威を検知するシステム
- ./372-penetration-test.md — ペネトレーションテスト:実際に攻撃を試みてセキュリティの穴を発見する手法(CIS Control 18)
- ./373-isms.md — ISMS:情報セキュリティを組織的に管理するための仕組み・体制