Center for Internet Security(CIS)は、重要なセキュリティ概念を実践的なコントロールに抽出することで既知の攻撃に対する組織の防衛力を高め、全体的なサイバーセキュリティの向上に役立つCISクリティカルセキュリティコントロール(CSC)を公開しています。
セキュリティ課題が進化するにつれて、それに対応するためベストプラクティスも進化します。セキュリティ業界においてCISは、効果的なサイバー防御のためのクリティカルセキュリティコントロール(旧称SANSトップ20クリティカルセキュリティコントロール)によって最新かつ具体的な推奨事項を提示し、企業がそれぞれのセキュリティ姿勢を向上させるのに役立つという点で高く評価されています。
全体的なセキュリティの向上を目的とした標準およびコンプライアンス規制の多くは業界特有のもので焦点が狭い場合がありますが、現在バージョン7となり7回の更新を経ているCIS CSCは、数多くの政府機関および業界リーダーの専門家が業界にとらわれず汎用的に適用できるよう作成したものです。
また、CISベンチマークでは、通常はリソースには限りがあり、優先度を設定しなければならないという点で組織が直面する現実も認識されています。このためCISでは、業界の種類に関わらず、コントロールを基本、基礎、組織の3つのカテゴリーに分類します。この標準の優先順位付けこそが、CIS CSC推奨事項が他のセキュリティコントロールやリストと異なる点です。他のコントロールやリストでは、必要な要素として優先順位付けについて言及する場合もありますが、具体的な推奨事項とするまでには至っていません。
各コントロールのスコープは幅広いものですが、適切なユーザーが適切な資産にアクセスできるようにし、すべてのシステムを最新かつ可能な限り堅固な状態に維持するという確固とした原則に基づいています。これら上位6つのコントロールにおけるCISガイダンスに従えば、たとえ組織が実装できるコントロールがこれらに限定されていても、素晴らしい利点を得られます。
トップ20のCISクリティカルセキュリティコントロールすべてのスコープは包括的です。堅牢なサイバーセキュリティ防御の実現に必要なものについて考えるとき、セキュリティは決して単なる技術的問題ではない、という見解に基づいており、CIS推奨事項にはデータやソフトウェア、ハードウェアだけでなく、人やプロセスも網羅されています。例えば、インシデント対応チームとレッドチームは双方とも、あらゆる堅牢でプロアクティブな防御計画の重要な要素であり、それぞれCISコントロール19と20で言及されています。
CISクリティカルセキュリティコントロールは、その他数多くのコンプライアンスとセキュリティ基準と相互互換性を持っているか、直接の相対関係を持っています。そうした基準には、NIST 800-53やPCI DSS、FISMA、HIPAAなど業界特有のものも含まれており、それらに従わなければならない組織は、コンプライアンスの補助にCISコントロールを利用できます。加えて、NISTサイバーセキュリティフレームワークは、組織のセキュリティ姿勢の整合化および強化のためによく採用される堅牢なツールで、推奨されるベストプラクティスの多くについてCIS CSCをベースラインとして利用しています。
セキュリティ姿勢の向上と、遭遇する可能性の最も高い攻撃ベクターに対する防御の強化を目指している組織にとって、CISクリティカルセキュリティコントロールはエクスポージャーのリスクを低減し、ほとんどの攻撃タイプの深刻度を緩和するための素晴らしいスタート地点となります。