CIS Controls とは何か
CIS Controls(Center for Internet Security Controls)は、米国の非営利団体 CIS(Center for Internet Security)が策定したサイバーセキュリティのベストプラクティス集です。世界中のセキュリティ専門家が実際の攻撃データに基づいて「最も重要な防御策」を優先順位付きでまとめたものであり、実践的・実装可能な点が特徴です。
現行バージョンは CIS Controls v8(2021年5月公開)で、v7 から大幅に再構成されました。
誰が使うのか
主な利用者:
- 中小企業(SMB): セキュリティ予算・人員が限られる組織の優先対策の指針
- エンタープライズ企業: 包括的なセキュリティプログラムの基盤として活用
- CISO・セキュリティマネージャー: セキュリティ成熟度の評価・改善計画の立案
- 監査・コンプライアンス: NIST CSF・ISO 27001 との対応表として活用
- MSSP(マネージドセキュリティサービスプロバイダー): 顧客へのサービス設計の基準
CIS Controls は無料で公開されており、CIS の公式サイト(https://www.cisecurity.org/controls)から PDF や Excel 形式のリソースをダウンロードできます。CIS Benchmarks(OSやアプリケーションのセキュリティ設定ガイド)とあわせて活用されることが多いです。
v8 の主な変更点(v7 からの移行)
v7 → v8 の主な変更:
コントロール数: v7: 20 コントロール → v8: 18 コントロール
サブコントロール数: v7: 171 → v8: 153(重複・類似の統合)
概念の変化: v7: デバイス中心の考え方 v8: クラウド・リモートワーク・モバイルを考慮したエンタープライズ向けに刷新
名称変更例: v7 CIS Control 1: ハードウェア資産のインベントリと管理 v8 CIS Control 1: エンタープライズ資産のインベントリと管理 (「ハードウェア」→「エンタープライズ資産」に拡張: クラウド・仮想・IoTを包含)
新規追加概念:
- サービスプロバイダー管理(Control 15)
- アプリケーションソフトウェアのセキュリティ(Control 16)
- インシデント対応管理の強化
18 コントロールの概要
【資産管理グループ】 Control 1: エンタープライズ資産のインベントリと管理
- ネットワーク上のすべてのデバイス(物理・仮想・クラウド)を把握する
Control 2: ソフトウェア資産のインベントリと管理
- 許可されたソフトウェアのみを使用し、未承認ソフトウェアをブロックする
Control 3: データ保護
- データの分類・暗号化・削除・DLP(データ漏えい防止)ポリシーの実施
【アクセス・認証グループ】 Control 4: エンタープライズ資産とソフトウェアのセキュアな設定
- セキュアなベースライン設定(ハードニング)の適用と維持
Control 5: アカウント管理
- ユーザーアカウントのライフサイクル管理・最小権限の原則の適用
Control 6: アクセス制御管理
- ロールベースアクセス制御(RBAC)・特権アカウント管理・MFA の実施
【継続的監視グループ】 Control 7: 継続的な脆弱性管理
- 脆弱性スキャンの定期実施・優先順位付けパッチ適用
Control 8: 監査ログ管理
- 十分なログの収集・保存・分析の実施
Control 9: E メールおよび Web ブラウザの保護
- フィッシング対策・マルウェアフィルタリング・DNS フィルタリング
Control 10: マルウェア防御
- エンドポイント保護・実行制御・スクリプトブロッキング
Control 11: データリカバリ
- 定期的なバックアップ・リストアテストの実施
【ネットワークセキュリティグループ】 Control 12: ネットワークインフラ管理
- ネットワーク機器のセキュアな設定・管理・監視
Control 13: ネットワークの監視と防御
- IDS/IPS・ネットワークフロー分析・DNS/HTTP 監視
Control 14: セキュリティ意識向上訓練とスキルトレーニング
- 全従業員への継続的なセキュリティ教育・フィッシング訓練
Control 15: サービスプロバイダー管理
- クラウドサービス・SaaS・ベンダーのセキュリティ評価と管理
Control 16: アプリケーションソフトウェアセキュリティ
- セキュアな開発ライフサイクル(SDLC)・脆弱性テストの実施
Control 17: インシデント対応管理
- インシデント対応計画の策定・訓練・改善
Control 18: ペネトレーションテスト
- 定期的なペネトレーションテスト・レッドチーム演習の実施
3つの実装グループ(IG)の違い
CIS Controls v8 の最大の特徴は、組織の規模・リソース・リスクプロファイルに応じた 3段階の実装グループ(Implementation Groups: IG) を設けている点です。
IG1(基本的なサイバーハイジーン) 対象: 中小企業・限られた IT リソースを持つ組織 目標: 最も一般的な攻撃(フィッシング・マルウェア・認証情報攻撃)への対策 管理策数: 56 サブコントロール 特徴:
- 高度な技術スキルなしでも実装可能
- コストパフォーマンスが高い
- 全コントロールの IG1 サブセットから開始
IG2(中規模組織向け) 対象: 中規模企業・IT セキュリティ専任担当者がいる組織 目標: より洗練された攻撃への対策・コンプライアンス要件への対応 管理策数: IG1 + 74 サブコントロール = 130 サブコントロール 特徴:
- ログ管理・脆弱性スキャン・セキュリティ設定の自動化
- セキュリティ専任チームが必要
IG3(高度なセキュリティ成熟度) 対象: 大企業・重要インフラ・金融・医療など高度なリスクを抱える組織 目標: 国家支援APTなどの高度な攻撃への対策 管理策数: 全 153 サブコントロール 特徴:
- ペネトレーションテスト・レッドチーム演習の定期実施
- 高度なSOC・SIEM・EDR の運用
- ゼロトラスト・マイクロセグメンテーション
多くのセキュリティ専門家は「IG1 を完全に実装するだけで、一般的なサイバー攻撃の 85% を防げる」と言います。まず IG1 の 56 のサブコントロールを確実に実装することが、最も費用対効果の高いセキュリティ投資です。
最も重要な上位5コントロール
CIS Controls の中でも特に効果が高いとされるコントロールを紹介します。
Control 1 & 2: 資産管理(把握できないものは守れない)
ネットワーク上のデバイスを発見する(Nmap の例)
nmap -sn 192.168.1.0/24 -oX network_inventory.xml
結果をパースして資産台帳に追加
python3 parse_nmap.py network_inventory.xml >> asset_inventory.csv
未承認デバイスを検出したら即座にアラート
Active Directory でデバイス登録状況を確認
Get-ADComputer -Filter * | Select-Object Name, LastLogonDate, OperatingSystem
Control 5 & 6: アカウント管理とアクセス制御(認証情報の保護)
無効化すべき不要なアカウントを確認(90日以上ログインなし)
Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00 -UsersOnly
| Select-Object Name, LastLogonDate, Enabled
| Export-Csv inactive_accounts.csv
特権アカウントの一覧(Domain Admins グループ)
Get-ADGroupMember -Identity “Domain Admins” -Recursive
| Get-ADUser -Properties LastLogonDate, PasswordLastSet
| Select-Object Name, LastLogonDate, PasswordLastSet
パスワードが無期限に設定されているアカウントを検出
Get-ADUser -Filter {PasswordNeverExpires -eq $true}
| Select-Object Name, DistinguishedName
Control 7: 継続的な脆弱性管理(パッチ適用の優先順位付け)
OpenVAS / Nessus スキャンの結果を CVSS スコアで優先順位付け
CVSS 9.0 以上の Critical 脆弱性を最優先で対応
EPSS(Exploit Prediction Scoring System)スコアも考慮する
Linux の脆弱性を確認するコマンド例
apt list —upgradable 2>/dev/null | grep -i security
CIS-CAT(CIS Configuration Assessment Tool)で設定のスコアを確認
./CIS-CAT.sh -a -t ubuntu2204 -r ./reports/
Windows Update のインストール状況を確認
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 20
Control 8: 監査ログ管理(記録なければ調査できない)
ログは「何を記録するか」だけでなく「どれだけ保存するか」も重要です。多くのインシデント調査では、ログの保存期間が短すぎて侵害の全体像を把握できないことがあります。CIS Controls では最低 90 日間のオンラインログ保存を推奨しています。
NIST CSF・ISO 27001 との対応
CIS Controls ↔ NIST CSF の対応例:
CIS Control 1, 2 (資産管理) ↕ NIST CSF: ID.AM (Asset Management)
CIS Control 6 (アクセス制御) ↕ NIST CSF: PR.AC (Identity Management and Access Control)
CIS Control 7 (脆弱性管理) ↕ NIST CSF: ID.RA (Risk Assessment), DE.CM (Monitoring)
CIS Control 17 (インシデント対応) ↕ NIST CSF: RS (Respond), RC (Recover)
CIS Controls ↔ ISO 27001 の対応例:
CIS Control 3 (データ保護) ↕ ISO 27001 A.8.11 (データマスキング), A.8.10 (情報の削除)
CIS Control 8 (監査ログ管理) ↕ ISO 27001 A.8.15 (ログ取得), A.8.16 (監視活動)
CIS Control 16 (アプリケーションセキュリティ) ↕ ISO 27001 A.8.28 (安全なコーディング)
中小企業での IG1 実装チェックリスト
IG1 実装チェックリスト(中小企業向け):
[ ] Control 1: ネットワーク上の全デバイスをリスト化している [ ] Control 1: 未承認デバイスが接続したら通知される仕組みがある [ ] Control 2: インストール許可されたソフトウェア一覧がある [ ] Control 2: 未承認ソフトウェアのインストールを制限している [ ] Control 3: 機密データの場所を把握している [ ] Control 3: 機密データを暗号化している(保存時・転送時) [ ] Control 4: OS・ミドルウェアのデフォルト設定を変更している [ ] Control 4: 不要なサービス・ポートを無効化している [ ] Control 5: 退職者のアカウントを即座に無効化している [ ] Control 5: 共有アカウントを使用していない [ ] Control 6: 全管理者アカウントに MFA を設定している [ ] Control 6: 管理者権限を日常業務で使用していない [ ] Control 7: OS・アプリのセキュリティパッチを月次で適用している [ ] Control 7: 脆弱性スキャンを四半期に1回以上実施している [ ] Control 8: 主要システムのログを 90 日以上保存している [ ] Control 9: メールのフィッシングフィルターが有効になっている [ ] Control 9: DNS フィルタリング(悪意あるサイトのブロック)を導入している [ ] Control 10: 全端末にエンドポイント保護(AV/EDR)を導入している [ ] Control 11: 重要データを定期的にバックアップしている [ ] Control 11: バックアップのリストアテストを実施している [ ] Control 14: 全従業員に年1回以上のセキュリティ教育を実施している [ ] Control 14: フィッシング訓練メールを年1回以上送っている [ ] Control 17: インシデント対応手順書が存在する [ ] Control 17: インシデント発生時の連絡先一覧がある
このチェックリストをすべてクリアすることで、IG1 の主要な要件を満たせます。IT 担当者や経営者が定期的に見直すことで、セキュリティの基本的な衛生状態(サイバーハイジーン)を維持できます。
CIS Controls v8 の IG1(実装グループ1)について正しい説明はどれですか?
CIS Controls において「把握できないものは守れない」という原則を体現しているコントロールはどれですか?