CIS Controlsによるサイバー攻撃対策の強化支援

概要

CIS Controlsは、米国国家安全保障局(NSA)等の米国の公的機関や情報セキュリティ専門企業等が共同で研究し、米国のセキュリティ専門団体であるSANS Instituteが取りまとめたCSC(Critical Security Controls)をルーツとしており、NIST Cyber Security FrameworkやISMS(ISO/IEC27001、27002)とならんでグローバルで普及しているフレームワークです。現在は、サイバーセキュリティにおけるベストプラクティスの特定、開発、評価、促進、維持およびサイバー空間上の信頼環境の実現をミッションとする非営利団体 The Center for Internet Security(通称、CIS)によって管理されています。NRIセキュアでは、2012年にCIS Controls v3の日本語翻訳版を公開以後、7年間にわたり計7バージョンの翻訳を担当しています。

具体的な技術対策に特化したフレームワーク

世の中には、多種多様な情報セキュリティのフレームワーク/ガイドラインがありますが、 CIS Controlsはその中でもサイバー攻撃対策に焦点を当て、具体的な技術対策を示すことを意識して作成されています。

具体的な技術対策に特化したフレームワーク

最新のサイバー攻撃動向を反映した対策優先度の設定

CIS Controlsは、市場におけるセキュリティ対策の選択肢が多岐にわたることを「膨大な選択肢による混沌(Fog of More)」と定義した上で、優先的に取り組むべきセキュリティ対策を整理することを目的としています。具体的には、現在発生しているサイバー攻撃と今後近いうちに発生が予測されるサイバー攻撃の傾向に鑑みて、実施すべき技術的なサイバー対策を大きく20の領域に分けた上で、『Basic』、『Foundational』、『Organizational』、という3つのレベルで対策実装の優先順位を設定しています。また、他のセキュリティフレームワークに比べて更新頻度も高いため、変化の著しいサイバー攻撃対策の分野において、最新トレンドを取り入れた技術的な対策を継続的に維持・改善していくことに長けています。

最新のサイバー攻撃動向を反映した対策優先度の設定

特長

Point.1 Measures & Metricsを活用したサイバー対策の高度化

CIS Controlsではベースとなるフレームワークに加え、Measures & Metrics(効果測定)をはじめとした多数の実践的な補足資料が公開されています。これらを活用することにより、机上評価によるセキュリティ対策状況の可視化にとどまらず、サイバー攻撃に対する具体的な技術対策の実装までを検討している企業のニーズに応える支援を行うことができます。NRIセキュアでは、CIS Controlsを用いたセキュリティ対策状況の可視化(机上評価)と、これに基づいた技術的対策の実装支援に加えて、Measures & Metrics等を活用した継続的な効果測定と実装改善を実施することで、さらなるサイバー対策の高度化の支援を行うことができます。

Measures & Metricsを活用したサイバー対策の高度化

Point.2 グローバル展開における親和性

CIS Controlsは、米国の信頼できるセキュリティ団体が作成したフレームワークであるため、海外拠点の理解が得られやすく、CIS Controlsをもとに策定したサイバー対策指針をグローバル展開する際の親和性が高いという特色があります。実際に国内のグローバル企業でも多く活用されています。また、CIS Controlsで定義されている20の評価項目は、同じくグローバルで普及しているNIST Cyber Security FrameworkやISMS(ISO/IEC27001)等のフレームワークの評価項目との対応関係が示されています。これらの他のフレームワークを活用した先行するリスク評価結果に加えて、不足している技術的な観点を補強する目的で活用することも効果的です。

Point.3 長年の翻訳実績と豊富な支援実績に基づいた知見提供

NRIセキュアは、2012年にCIS Controls v3の日本語翻訳版を公開以後、7年間にわたり、計7バージョンの翻訳を担当しており、サイバー攻撃とセキュリティ対策の変遷およびCIS Controlsへの反映の変遷を熟知しています。そのため、ユーザ企業においてCIS Controlsをどのように活用していくべきか、現在までの変遷を踏まえた提言をすることが可能です。また、金融機関や製造業をはじめとする多くの企業に対して、CIS Controlsを用いたリスクアセスメントや、セキュリティ向上に向けたサイバー対策の実装支援の実績もあります。そのため、他社事例を踏まえた、より実践的なアセスメントと改善対応の支援をすることが可能です。加えて、GIACが提供する国際的なCIS Controlsの資格であるGIAC Critical Controls Certification(GCCC)の資格保有者を多数有しており、その内容を熟知しています。

サービス提供フロー例

①机上評価+実装支援

机上評価+実装支援

②机上評価+実装支援+効果測定

机上評価+実装支援+効果測定

※実装支援については、セキュリティ対策推進PMOに準拠した支援となります。

料金

個別見積もり