ブログ

CISトップ20サイバーセキュリティコントロールの理解と実装による揺るぎない保護

ジョン・プライス

CISトップ20サイバーセキュリティコントロールを理解する

「CISトップ20」のコントロールは、基本、基盤、組織レベルの3つのファミリーに分類されています。システムの複雑さや、これらの異なるコントロールを管理するために必要なリソースはそれぞれ異なりますが、これらを組み合わせることで、サイバー攻撃からデジタル環境を守る貴重な防御壁となります。

基本操作（1～6）

これらの管理策はサイバー衛生とみなされ、最も一般的なサイバー攻撃から身を守るための鍵となります。これには、ハードウェア資産とソフトウェア資産のインベントリと管理、継続的な脆弱性管理、管理者権限の適切な使用、モバイルデバイス、ラップトップ、ワークステーション、サーバー上のハードウェアとソフトウェアの安全な構成、監査ログの保守、監視、分析が含まれます。

基礎コントロール（7～16）

これらの制御は、より高度な脅威アクターによって悪用される可能性のある脆弱性を発見し、修正することを目的としています。このカテゴリの制御には、メールとウェブブラウザの保護、マルウェア対策、ネットワークポート、プロトコル、サービスの制限と制御、データ復旧機能、ファイアウォール、ルーター、スイッチなどのネットワークデバイスの安全な構成、境界防御、データ保護、Need-To-Knowに基づくアクセス制御、ワイヤレスアクセス制御、アカウントの監視と制御が含まれます。

組織的統制（17～20）

これらのコントロールは、多くの場合、多大な投資とリソースを必要としますが、組織に大きなメリットをもたらします。具体的には、セキュリティ意識向上とトレーニングプログラムの導入、アプリケーションソフトウェアのセキュリティ、インシデント対応と管理、侵入テストとレッドチーム演習などが含まれます。

CISトップ20サイバーセキュリティコントロールの実装

CISトップ20は包括的であるように見えますが、サイバー環境や要件が異なるため、実装は複雑な作業になる可能性があります。しかし、これらの推奨手順は、導入の参考として役立ちます。

ステップ1：組織の具体的なニーズを理解する

組織ごとにサイバーセキュリティの要件は異なります。そのため、どのようなコンプライアンス慣行に従う必要があるかを評価することが不可欠です。これには、将来のビジネス戦略、法的および規制上の要件、デジタルプラットフォームへの依存などが含まれます。

ステップ2：サイバーセキュリティリスク評価

リスクアセスメントを実施し、現在の脆弱性を把握し、起こりうる脅威への対策を講じるには、IT部門またはサイバーセキュリティの専門家に相談してください。これには、ハードウェア、ソフトウェア、ネットワーク構成、従業員の意識など、さまざまな評価が含まれます。

ステップ3：内部統制

内部統制を上位20の統制と照らし合わせ、どの統制が組織に潜在的な脅威に対する最大の保護を提供しているかを評価します。これは、統制の導入の優先順位付けに役立ちます。

ステップ4：定期的な監査とレビューをスケジュールする

サイバーセキュリティインシデントやニアミスに関する外部レビューは、コンプライアンスの最適化に役立ちます。定期的な評価により、戦略が最新のリスクや脅威に対応していることを保証し、必要に応じて調整や更新を行うことができます。

ステップ5：スタッフのトレーニング

従業員の行動はサイバーセキュリティ防御における最も弱い部分となることが多いため、サイバーセキュリティ管理の遵守の重要性に関する継続的なトレーニングが不可欠です。

ステップ6: インシデント対応計画

インシデント対応計画を策定し、組織内の全員がサイバーインシデント発生時に何を期待されているかを把握できるようにします。この計画は定期的に見直し、組織のニーズの変化に合わせて調整する必要があります。

結論として、CIS Top 20を導入することで、組織はサイバー脅威に対する強力な防御体制を構築できます。このデジタル時代に直面する潜在的なリスクの影響を考慮すると、サイバーセキュリティへの投資は価値があります。CIS Top 20のサイバーセキュリティを理解し、それを適切に導入するための努力は、揺るぎない保護と密接に関連しています。これはサイバー脅威に対する強力なツールであり、組織のセキュリティ戦略全体において不可欠な要素となっています。

お問い合わせ

セキュリティ体制を強化する準備はできていますか?

この記事についてご質問がある場合、または専門家によるサイバーセキュリティのガイダンスが必要な場合は、当社のチームにご連絡いただき、セキュリティに関するニーズについてご相談ください。

相談の予約