初めてのCIS Controls v8.1:18のコントロール実装と運用のヒント
初めてのCIS Controls v8.1:18のコントロール実装と運用のヒント
2025/06/02
CIS Controls Version 8.1は、2024年6月にリリースされた最新のサイバーセキュリティ対策フレームワークで、「ガバナンス」やNIST CSF 2.0との関連性を考慮した改良が含まれています。このバージョンは、2021年に発表されたCIS Controls Version 8を基盤に、クラウドコンピューティングやリモートワークなど現代のIT環境に対応した18の重要なセキュリティコントロールを提供しています。CISが管理するこのフレームワークは、組織の規模に応じた実装グループを設定し、優先順位付けされたセキュリティ対策を実施するためのガイドラインを提供しています。
CIS Controls 8.1 とは?
CIS Controls Version 8.1は、Center for Internet Security (CIS)が開発したサイバーセキュリティフレームワークです。このバージョンは2024年に発表され、現代のIT環境に対応するよう設計され、18の重要なセキュリティコントロールと153の具体的なセーフガードを提供しています。
主な特徴:
クラウドコンピューティングやリモートワークなど、最新のテクノロジートレンドに対応
組織の規模や特性に応じた3つの実装グループ(IG1、IG2、IG3)を定義
タスクベースのアプローチを採用し、誰が実行しても一貫した結果が得られるよう設計
NISTサイバーセキュリティフレームワーク(CSF)2.0との整合性を強化
「ガバナンス」機能の追加により、組織全体のセキュリティ管理を改善
ビジネス環境におけるCIS Controls 8の必要性
リスク軽減の効果:
IG1の基本的な56のセーフガードを実装するだけで、主要なサイバーセキュリティリスクの70%以上を回避できるとされています。これは、限られたリソースでも効果的なセキュリティ対策が可能であることを示しています。コスト効率の高い対策:
優先順位付けされた対策により、組織は最も重要な脅威に集中してリソースを配分できます。これにより、セキュリティ投資の効率が向上し、コスト削減につながります。コンプライアンス対応の支援:
NISTサイバーセキュリティフレームワーク(CSF)2.0など、他の業界標準との整合性が強化されています。これにより、規制要件への対応が容易になり、法的リスクを軽減できます。最新の脅威への対応:
クラウド、リモートワーク、IoTなど、最新のIT環境に対応した対策が含まれており、進化するサイバー脅威に効果的に対処できます。
18のセキュリティコントロール
CIS Controls Version 8.1では、組織のサイバーセキュリティを強化するための18の重要なセキュリティコントロールが定義されています。
18のセキュリティコントロール:
組織の資産のインベントリと管理: 組織のすべてのデバイスを把握し、管理します
インベントリと制御(ソフトウェア資産): 承認されたソフトウェアのみを使用し、不正なソフトウェアを防ぎます
データ保護: 機密データの暗号化や適切なアクセス制御を実施します
セキュアな構成(エンタープライズ資産とソフトウェア): システムとソフトウェアの安全な設定を維持します
アカウント管理: ユーザーアカウントの作成、変更、無効化を適切に管理します
アクセス制御管理: 最小特権の原則に基づいてアクセス権を付与します
継続的な脆弱性管理: 定期的な脆弱性スキャンと修正を行います
監査ログ管理: システムの活動を記録し、異常を検出します
電子メールとウェブブラウザの保護: フィッシングやマルウェアから防御します
マルウェア対策: 最新のアンチウイルスソフトウェアを使用し、定期的に更新します
データリカバリ:定期的にバックアップを取り、データ損失時には迅速に復旧できる体制を整えます。
ネットワークインフラストラクチャ管理:ネットワーク機器を監視・保守し、安全な設定を維持します。更新プログラムを適用し、不正な変更を防ぎます。
ネットワーク監視と防御:ネットワークトラフィックを監視し、不審な活動を早期に検出して対応します。
セキュリティ意識向上トレーニングとスキル:従業員が最新の脅威に対処できるよう定期的なトレーニングを実施します。
サービスプロバイダー管理:外部プロバイダーのセキュリティ基準を評価し、リスクを管理します。契約に基づいて監視を行います。
アプリケーションソフトウェアセキュリティ:ソフトウェア開発時にセキュリティを考慮し、脆弱性を防ぐ仕組みを導入します。
インシデント対応管理: セキュリティインシデントが発生した際の迅速な対応計画を策定し、影響を最小化します。
今回のバージョン(v8.1)では、以前のバージョンにあったネットワーク系や無線通信系のコントロールが他のコントロールに吸収・統合されました。境界防御という考えよりも、リモートワークやゼロトラストの考えが浸透していることが伺えます。
実装グループとセーフガード
18の主要コントロールの下に153の具体的なセーフガード(保護手段)が定義されています。これらのセーフガードは、具体的な実装手順が記載されており、組織は効率的にセキュリティ対策を実施できます。
セーフガードは、組織の規模や特性に応じて3つの実装グループ(IG1、IG2、IG3)に分類されています。CIS Controlsアセスメントでは、これら153のセーフガードを基にチェックシートを作成し、組織のセキュリティ状況を詳細に評価することができます。
実装グループ別の保護手段
IG1: 基本的なサイバーハイジーン。IT資源が限られた中小企業向け。主要なサイバーセキュリティリスクの70%以上を回避可能。
IG2: 自社内にIT運用管理とセキュリティ部署を持つ大企業向け。より高度な保護手段が推奨される。
IG3: 高度なセキュリティ専門部門が必要な公的サービス提供企業や規制遵守が求められる企業向け。最も包括的な保護手段が推奨される。
[insert image]
IG1 - 基本要素
Implementation Group 1 (IG1) は、CIS Controls Version 8で定義された基本的なサイバーハイジーンを表す最小限のセキュリティ基準です。IG1の実装により、主要なサイバーセキュリティリスクの70%以上を軽減できるとされています。限られたリソースでも効果的なセキュリティ対策の基盤を構築することができます。
IG1の主な特徴:
限られたIT・サイバーセキュリティ専門知識を持つ中小企業向けに設計
56の基本的なセーフガードで構成され、最も一般的な攻撃から組織を防御
従業員と財務情報など、比較的低感度のデータ保護に焦点
ダウンタイムに対する許容度が低い企業に適している
[insert image]
IG2 - 拡張セキュリティ対策
IG2(Implementation Group 2)は、CIS Controls Version 8.1で定義された中間レベルのセキュリティ基準で、IG1の基本的な保護手段に加えて、より高度なセキュリティ対策を実装する組織向けに設計されています。
IG2の主な特徴:
IG1の56のセーフガードに加えて、74の追加セーフガードを含む、合計130のセーフガードで構成されています
自社内にIT運用管理とセキュリティ部署を持つ大企業向けに適しています
より高度なデータ保護、ネットワークセグメンテーション、ログ管理などの対策が含まれています
NIST CSF 2.0との整合性が強化され、「ガバナンス」機能が追加されています。
IG3 - 高度セキュリティ対策
Implementation Group 3 (IG3) は、CIS Controls Version 8.1で定義された最も包括的なセキュリティ基準です。IG3は、高度なセキュリティ要件を持つ大規模組織や重要インフラを運営する企業向けに設計されています。
IG3の主な特徴:
IG1とIG2の130のセーフガードに加え、23の追加セーフガードを含む、合計153のセーフガードで構成されています
サイバーセキュリティの異なる専門分野(リスク管理、侵入テスト、アプリケーションセキュリティなど)に特化した専門家を必要とします
規制やコンプライアンス監督の対象となる機密情報や重要機能を扱う組織に適しています
高度な標的型攻撃や新種の攻撃(ゼロデイ攻撃)からの防御と影響軽減を目的としています
IG3を実装する組織は、サービスの可用性と機密データの完全性を重視し、公共の福祉に大きな影響を与える攻撃に対して堅牢な防御態勢を構築することが求められます。
CIS Controlsの実装に必要な要件と手順
経営層の支援:セキュリティ対策の重要性を理解し、必要なリソースを確保する経営層のコミットメントが不可欠です1。
セキュリティ専門チーム:組織の規模に応じて、IG1では基本的なIT知識を持つスタッフ、IG2・IG3ではより高度なセキュリティ専門家が必要となります。
自動化ツール:資産管理、脆弱性スキャン、ログ分析などの自動化ツールを導入し、効率的かつ正確なセキュリティ対策の実施を支援します。
文書化されたポリシーと手順:セキュリティ設定基準や対応手順を明確に文書化し、組織全体で一貫した対策を実施します。
継続的な教育とトレーニング:従業員のセキュリティ意識を高め、最新の脅威に対応するための定期的な教育プログラムを実施します。
[insert image]
CIS Controls とISMS
情報セキュリティ対策を考える際、CIS Controls v8.1とISMS(情報セキュリティマネジメントシステム)はどちらも有効な選択肢です。しかし、そのアプローチや適用範囲には大きな違いがあります。
CIS Controlsの主な特徴:
18の重要なセキュリティコントロールと153の具体的なセーフガードを提供し、優先順位付けされた対策を実施可能
組織の規模や特性に応じた3つの実装グループ(IG1、IG2、IG3)を定義し、効率的な対策の導入を支援
サイバー攻撃対策に特化し、最新の脅威に対応した具体的な技術対策を提供
ISMSの主な特徴:
情報セキュリティ全般に関する包括的な管理システム
リスクアセスメントに基づく体系的なアプローチ
組織のプロセスや文化に焦点を当てた継続的改善
CIS Controls v8.1とISMSの違い
どちらを選ぶべきか?
CIS Controls v8.1が適している場合
技術的なセキュリティ対策を迅速に導入したい
中小規模の組織でリソースが限られている
サイバー脅威への実践的な防御が必要
ISMSが適している場合
組織全体でリスク管理とセキュリティポリシーを強化したい
国際規格(ISO 27001)への準拠が必要
長期的なセキュリティ戦略を構築したい
CIS Controlsは、「膨大な選択肢による混沌(Fog of More)」を解消し、優先的に取り組むべきセキュリティ対策を明確に示すことで、組織の効果的なサイバーセキュリティ対策の実施を支援します。一方、ISMSは組織全体の情報セキュリティマネジメントシステムの構築に適しています。
多くの組織では、CIS ControlsとISMSを補完的に活用することで、具体的な技術対策と包括的な管理システムの両方を実現し、より強固なセキュリティ態勢を構築しています。CIS Controlsの具体的なセーフガードを実装することで、ISMSの要求事項を満たすための具体的な手段を得ることができ、両者を組み合わせることで効果的なセキュリティ管理が可能となります。
まとめ
CIS Controls Version 8.1は、現代のサイバーセキュリティ環境に適応した包括的なフレームワークとして、組織の規模や特性に応じた効果的な対策を提供しています。18の重要なセキュリティコントロールと153のセーフガードを通じて、組織は優先順位付けされたアプローチでセキュリティリスクを軽減できます。
特筆すべきは、基本的なIG1レベルの実装だけでも、主要なサイバーセキュリティリスクの70%以上を回避できる点です。
さらに、NISTサイバーセキュリティフレームワーク(CSF)2.0との整合性強化や、「ガバナンス」機能の追加により、コンプライアンス対応も容易になりました。組織は、自社の状況に応じて適切な実装グループ(IG1、IG2、IG3)を選択し、段階的にセキュリティ態勢を強化していくことが可能です。CIS Controls 8.1の採用は、ビジネスの継続性と信頼性を確保し、進化するサイバー脅威に対する効果的な防御策となります。
CIS Controls Version 8.1は、2024年6月にリリースされた最新のサイバーセキュリティ対策フレームワークで、「ガバナンス」やNIST CSF 2.0との関連性を考慮した改良が含まれています。このバージョンは、2021年に発表されたCIS Controls Version 8を基盤に、クラウドコンピューティングやリモートワークなど現代のIT環境に対応した18の重要なセキュリティコントロールを提供しています。CISが管理するこのフレームワークは、組織の規模に応じた実装グループを設定し、優先順位付けされたセキュリティ対策を実施するためのガイドラインを提供しています。
CIS Controls 8.1 とは?
CIS Controls Version 8.1は、Center for Internet Security (CIS)が開発したサイバーセキュリティフレームワークです。このバージョンは2024年に発表され、現代のIT環境に対応するよう設計され、18の重要なセキュリティコントロールと153の具体的なセーフガードを提供しています。
主な特徴:
クラウドコンピューティングやリモートワークなど、最新のテクノロジートレンドに対応
組織の規模や特性に応じた3つの実装グループ(IG1、IG2、IG3)を定義
タスクベースのアプローチを採用し、誰が実行しても一貫した結果が得られるよう設計
NISTサイバーセキュリティフレームワーク(CSF)2.0との整合性を強化
「ガバナンス」機能の追加により、組織全体のセキュリティ管理を改善
ビジネス環境におけるCIS Controls 8の必要性
リスク軽減の効果:
IG1の基本的な56のセーフガードを実装するだけで、主要なサイバーセキュリティリスクの70%以上を回避できるとされています。これは、限られたリソースでも効果的なセキュリティ対策が可能であることを示しています。コスト効率の高い対策:
優先順位付けされた対策により、組織は最も重要な脅威に集中してリソースを配分できます。これにより、セキュリティ投資の効率が向上し、コスト削減につながります。コンプライアンス対応の支援:
NISTサイバーセキュリティフレームワーク(CSF)2.0など、他の業界標準との整合性が強化されています。これにより、規制要件への対応が容易になり、法的リスクを軽減できます。最新の脅威への対応:
クラウド、リモートワーク、IoTなど、最新のIT環境に対応した対策が含まれており、進化するサイバー脅威に効果的に対処できます。
18のセキュリティコントロール
CIS Controls Version 8.1では、組織のサイバーセキュリティを強化するための18の重要なセキュリティコントロールが定義されています。
18のセキュリティコントロール:
組織の資産のインベントリと管理: 組織のすべてのデバイスを把握し、管理します
インベントリと制御(ソフトウェア資産): 承認されたソフトウェアのみを使用し、不正なソフトウェアを防ぎます
データ保護: 機密データの暗号化や適切なアクセス制御を実施します
セキュアな構成(エンタープライズ資産とソフトウェア): システムとソフトウェアの安全な設定を維持します
アカウント管理: ユーザーアカウントの作成、変更、無効化を適切に管理します
アクセス制御管理: 最小特権の原則に基づいてアクセス権を付与します
継続的な脆弱性管理: 定期的な脆弱性スキャンと修正を行います
監査ログ管理: システムの活動を記録し、異常を検出します
電子メールとウェブブラウザの保護: フィッシングやマルウェアから防御します
マルウェア対策: 最新のアンチウイルスソフトウェアを使用し、定期的に更新します
データリカバリ:定期的にバックアップを取り、データ損失時には迅速に復旧できる体制を整えます。
ネットワークインフラストラクチャ管理:ネットワーク機器を監視・保守し、安全な設定を維持します。更新プログラムを適用し、不正な変更を防ぎます。
ネットワーク監視と防御:ネットワークトラフィックを監視し、不審な活動を早期に検出して対応します。
セキュリティ意識向上トレーニングとスキル:従業員が最新の脅威に対処できるよう定期的なトレーニングを実施します。
サービスプロバイダー管理:外部プロバイダーのセキュリティ基準を評価し、リスクを管理します。契約に基づいて監視を行います。
アプリケーションソフトウェアセキュリティ:ソフトウェア開発時にセキュリティを考慮し、脆弱性を防ぐ仕組みを導入します。
インシデント対応管理: セキュリティインシデントが発生した際の迅速な対応計画を策定し、影響を最小化します。
今回のバージョン(v8.1)では、以前のバージョンにあったネットワーク系や無線通信系のコントロールが他のコントロールに吸収・統合されました。境界防御という考えよりも、リモートワークやゼロトラストの考えが浸透していることが伺えます。
実装グループとセーフガード
18の主要コントロールの下に153の具体的なセーフガード(保護手段)が定義されています。これらのセーフガードは、具体的な実装手順が記載されており、組織は効率的にセキュリティ対策を実施できます。
セーフガードは、組織の規模や特性に応じて3つの実装グループ(IG1、IG2、IG3)に分類されています。CIS Controlsアセスメントでは、これら153のセーフガードを基にチェックシートを作成し、組織のセキュリティ状況を詳細に評価することができます。
実装グループ別の保護手段
IG1: 基本的なサイバーハイジーン。IT資源が限られた中小企業向け。主要なサイバーセキュリティリスクの70%以上を回避可能。
IG2: 自社内にIT運用管理とセキュリティ部署を持つ大企業向け。より高度な保護手段が推奨される。
IG3: 高度なセキュリティ専門部門が必要な公的サービス提供企業や規制遵守が求められる企業向け。最も包括的な保護手段が推奨される。
[insert image]
IG1 - 基本要素
Implementation Group 1 (IG1) は、CIS Controls Version 8で定義された基本的なサイバーハイジーンを表す最小限のセキュリティ基準です。IG1の実装により、主要なサイバーセキュリティリスクの70%以上を軽減できるとされています。限られたリソースでも効果的なセキュリティ対策の基盤を構築することができます。
IG1の主な特徴:
限られたIT・サイバーセキュリティ専門知識を持つ中小企業向けに設計
56の基本的なセーフガードで構成され、最も一般的な攻撃から組織を防御
従業員と財務情報など、比較的低感度のデータ保護に焦点
ダウンタイムに対する許容度が低い企業に適している
[insert image]
IG2 - 拡張セキュリティ対策
IG2(Implementation Group 2)は、CIS Controls Version 8.1で定義された中間レベルのセキュリティ基準で、IG1の基本的な保護手段に加えて、より高度なセキュリティ対策を実装する組織向けに設計されています。
IG2の主な特徴:
IG1の56のセーフガードに加えて、74の追加セーフガードを含む、合計130のセーフガードで構成されています
自社内にIT運用管理とセキュリティ部署を持つ大企業向けに適しています
より高度なデータ保護、ネットワークセグメンテーション、ログ管理などの対策が含まれています
NIST CSF 2.0との整合性が強化され、「ガバナンス」機能が追加されています。
IG3 - 高度セキュリティ対策
Implementation Group 3 (IG3) は、CIS Controls Version 8.1で定義された最も包括的なセキュリティ基準です。IG3は、高度なセキュリティ要件を持つ大規模組織や重要インフラを運営する企業向けに設計されています。
IG3の主な特徴:
IG1とIG2の130のセーフガードに加え、23の追加セーフガードを含む、合計153のセーフガードで構成されています
サイバーセキュリティの異なる専門分野(リスク管理、侵入テスト、アプリケーションセキュリティなど)に特化した専門家を必要とします
規制やコンプライアンス監督の対象となる機密情報や重要機能を扱う組織に適しています
高度な標的型攻撃や新種の攻撃(ゼロデイ攻撃)からの防御と影響軽減を目的としています
IG3を実装する組織は、サービスの可用性と機密データの完全性を重視し、公共の福祉に大きな影響を与える攻撃に対して堅牢な防御態勢を構築することが求められます。
CIS Controlsの実装に必要な要件と手順
経営層の支援:セキュリティ対策の重要性を理解し、必要なリソースを確保する経営層のコミットメントが不可欠です1。
セキュリティ専門チーム:組織の規模に応じて、IG1では基本的なIT知識を持つスタッフ、IG2・IG3ではより高度なセキュリティ専門家が必要となります。
自動化ツール:資産管理、脆弱性スキャン、ログ分析などの自動化ツールを導入し、効率的かつ正確なセキュリティ対策の実施を支援します。
文書化されたポリシーと手順:セキュリティ設定基準や対応手順を明確に文書化し、組織全体で一貫した対策を実施します。
継続的な教育とトレーニング:従業員のセキュリティ意識を高め、最新の脅威に対応するための定期的な教育プログラムを実施します。
[insert image]
CIS Controls とISMS
情報セキュリティ対策を考える際、CIS Controls v8.1とISMS(情報セキュリティマネジメントシステム)はどちらも有効な選択肢です。しかし、そのアプローチや適用範囲には大きな違いがあります。
CIS Controlsの主な特徴:
18の重要なセキュリティコントロールと153の具体的なセーフガードを提供し、優先順位付けされた対策を実施可能
組織の規模や特性に応じた3つの実装グループ(IG1、IG2、IG3)を定義し、効率的な対策の導入を支援
サイバー攻撃対策に特化し、最新の脅威に対応した具体的な技術対策を提供
ISMSの主な特徴:
情報セキュリティ全般に関する包括的な管理システム
リスクアセスメントに基づく体系的なアプローチ
組織のプロセスや文化に焦点を当てた継続的改善
CIS Controls v8.1とISMSの違い
どちらを選ぶべきか?
CIS Controls v8.1が適している場合
技術的なセキュリティ対策を迅速に導入したい
中小規模の組織でリソースが限られている
サイバー脅威への実践的な防御が必要
ISMSが適している場合
組織全体でリスク管理とセキュリティポリシーを強化したい
国際規格(ISO 27001)への準拠が必要
長期的なセキュリティ戦略を構築したい
CIS Controlsは、「膨大な選択肢による混沌(Fog of More)」を解消し、優先的に取り組むべきセキュリティ対策を明確に示すことで、組織の効果的なサイバーセキュリティ対策の実施を支援します。一方、ISMSは組織全体の情報セキュリティマネジメントシステムの構築に適しています。
多くの組織では、CIS ControlsとISMSを補完的に活用することで、具体的な技術対策と包括的な管理システムの両方を実現し、より強固なセキュリティ態勢を構築しています。CIS Controlsの具体的なセーフガードを実装することで、ISMSの要求事項を満たすための具体的な手段を得ることができ、両者を組み合わせることで効果的なセキュリティ管理が可能となります。
まとめ
CIS Controls Version 8.1は、現代のサイバーセキュリティ環境に適応した包括的なフレームワークとして、組織の規模や特性に応じた効果的な対策を提供しています。18の重要なセキュリティコントロールと153のセーフガードを通じて、組織は優先順位付けされたアプローチでセキュリティリスクを軽減できます。
特筆すべきは、基本的なIG1レベルの実装だけでも、主要なサイバーセキュリティリスクの70%以上を回避できる点です。
さらに、NISTサイバーセキュリティフレームワーク(CSF)2.0との整合性強化や、「ガバナンス」機能の追加により、コンプライアンス対応も容易になりました。組織は、自社の状況に応じて適切な実装グループ(IG1、IG2、IG3)を選択し、段階的にセキュリティ態勢を強化していくことが可能です。CIS Controls 8.1の採用は、ビジネスの継続性と信頼性を確保し、進化するサイバー脅威に対する効果的な防御策となります。
contact@slice-cheese.com
© 2025 SliceCheese Inc.
contact@slice-cheese.com
© 2025 SliceCheese Inc.
contact@slice-cheese.com
© 2025 SliceCheese Inc.