EN

NRIセキュア ブログ

CIS Controlsとは?5分で分かる全体像とv8の改訂ポイント

目次

    CIS Controls v8

     

     2021年5月18日、米国の非営利団体であるCIS(Center for Internet Security)は、「CIS Controls」の最新版となる「CIS Controls v8」を公開しました。

    CIS Controlsとは、組織で「最低限行うべきこと」に着目し、技術的な対策153項目を整理したガイドラインです。

     

     自社のセキュリティに漠然とした不安がある方や、何から取り組んでよいのかわからない、といった方々がCIS Controlsを参照することで、セキュリティ対策のポイントを押さえられるようになっています。

     

     その一方、153項目といったボリュームやユニークな概念(IG※1、Controls※2、Safeguards※3)の使用によって、一読しただけでは内容や重要性の理解が難しい可能性もあります。

     

     本記事では、「CIS Controlsとはそもそも何が書かれているのか?」「自社のセキュリティ対策にどのように役に立つのか?」という疑問を持つ方に向けて、CIS Controlsの全体像と、v7からv8への改訂内容について解説します。

     

    ※1 IG(Implementation Groups):組織・企業のセキュリティレベルやリスクを加味したグループ分けの指標。

    ※2 Controls:対策の分類のこと。

    ※3 Safeguards(保護策):対策の要求事項のこと。v7では”Sub Controls”と表現されていた。

    CIS Controls v8を解説

    1

    2

    3

    4

    5

    6

    7

    8

    9

    10

    11

    12

    13

    14

    15

    16

    17

    おわりに

     本記事では、CIS Controlsの概要とv8で変更されたポイントをお伝えしました。サイバー攻撃が高度化する中、自社のセキュリティを担保するために考慮しなくてはいけないことが、数多くあります。本記事により、皆様のCIS Controlsについての理解が深まれば幸いです。

     

     また、NRIセキュアテクノロジーズでは、CIS Controlsを用いたセキュリティ対策状況の可視化・セキュリティ体制の強化を目的とした「CIS Controlsによるサイバー攻撃対策の強化支援」を提供しています。

     

     本支援に興味がある際には、お気軽にお問い合わせください。

     

    NRI Secure Insight 2020