ゾーホージャパン「CIS Controlsの実践におけるヒント」を公開

画像：CIS Controlsとは？サイバー攻撃対策のフレームワーク実践におけるヒントを徹底解説より

企業におけるサイバー攻撃対策のキーワードとして注目を集めているのが「Fog of More」すなわち「セキュリティ対策の選択肢が多すぎることによる混沌」です。日本国内組織の27％が6-10社のセキュリティベンダーの製品を併用し、23％が11-20社の製品を併用していると「2019年版CISOベンチマーク調査」で明らかになっています。

サイバー攻撃対策だけで数十社の製品を導入・管理しようとしているのですから、各組織は霧（Fog）の中で路頭に迷うのは当然でしょう。

これまでセキュリティ業界や各組織は、“すべての脅威からの防御”を目指してきました。これが、数十社のセキュリティ製品を導入したものの結局管理しきれず「サイバー疲労」に陥ってしまう元凶でした。多すぎる選択肢による混沌に対し「絶対的な保護などない」という原則で作成されたのがフレームワーク「CIS Controls」です。

この記事の目次

1 CIS Controlsとは
2 CIS Controlsをどのように理解するか？
3 ManageEngine について
4 ゾーホージャパン株式会社について

CIS Controlsとは

日本国内では知名度が低いものの、グローバルで普及しているCIS Controlsはどのようなフレームワークなのでしょうか？

CIS（Center for Internet Security）とは

CIS Controlsを作成したのは米国のCIS（Center for Internet Security）という団体です。CISは、米国国家安全保障局（NSA：National Security Agency)、米国国防情報システム局（DISA：Defense Information Systems Agency )、米国立標準技術研究所（NIST：National Institute of Standards and Technology)などの米国政府機関や、企業、学術機関などの協力の元、インターネット・セキュリティ標準化に取り組む団体です。

また、CISはボランティアによる非営利団体であるため、特定の企業や製品を推奨することはなく、あらゆる組織にとって公平な立場で情報発信を行っています。

CIS Controlsの特徴

CIS Controlsは、米国立標準技術研究所（NIST）のSP800-53で定義されている事項のサブセットで、「最初に最低限行わなければならない」ことに着眼してシンプルにまとめられたフレームワークです。

CIS Controlsが目指しているのは、「最も重要な攻撃から優先して組織を保護していく」という非常に現実的なゴールです。CIS Controlsの冒頭でも「絶対的な保護というものはありえない」と言い切っていることからも、必ず実施すべき最低限の対策にフォーカスすることが最も効果的であると考えていることがよく分かります。

CIS Controlsをどのように理解するか？

CIS Controlsを含めあらゆるフレームワークを組織・企業で実践するには、社員各自がCIS Controlsを理解することが不可欠です。各組織でCIS Controlsの考え方を浸透するにはどのようにすべきでしょうか？

CIS Controlsを実践するときの課題

「CIS Controls」が最も重要な攻撃から防御するためのフレームワークとは言え、原本は74ページにも及び、その内容は各組織が即活用できるものではありません。

また、CIS Controlsは米国内の組織向けに作成されたフレームワークであるため、日本国内の組織の仕組みに当てはめて再解釈する必要があります。

「CIS Controls の実践におけるヒント」の公開

この度ゾーホージャパン株式会社は、この「CIS Controls」を27ページにコンパクトにまとめた「CIS Controls の実践におけるヒント」を無料提供いたします。

CIS Controlsの「最初に最低限行わなければならないことに注力する」コンセプトそのままに、組織や企業の担当者が絶対に知っておくべきサイバー攻撃対策を中心に解説しています。組織におけるサイバー攻撃対策において“社員のトレーニング”の重要性がますます増しています。「CIS Controls の実践におけるヒント」は、各企業の社員が通常の業務の合間に参照するなど、セキュリティに関するトレーニングにもお使いいただけます。

参照CIS Controlsとは？サイバー攻撃対策のフレームワーク実践におけるヒントを徹底解説

「CIS Controls の実践におけるヒント」の構成

CIS Controlsにおける対策には優先順位があり、特に「Basic」」に位置付けられるCIS Controls 1からCIS Controls 6までは必要不可欠であり、最初に実施されるべき対策とされています。

「CIS Controls の実践におけるヒント」では、CIS Controls で分かりにくい点をすべて洗い出し、どの対策が不可欠で優先順位が高いのか一目で理解できるように構成されています。

また、CIS Controlsでは「自社として何をすべきか」から「一人ひとりが何を行わなくてはならないか」へ課題が進化していると述べられています。「CIS Controls の実践におけるヒント」が、「社員一人ひとりが行うべきこと」を全社で考えるきっかけとなれば幸いです。

参照CIS Controlsとは？サイバー攻撃対策のフレームワーク実践におけるヒントを徹底解説

ManageEngine について

ManageEngine は、ゾーホージャパン株式会社が提供するネットワークやIT サービス、セキュリティ、デスクトップ・ノートPC、ビジネスアプリケーションなどを管理する製品・サービス群です。必要十分な機能に限定、かつ、直感的な操作が可能な画面設計により、短期間での導入が可能であり、その後の運用フェーズにおいても手間がかからず、よりシンプルなIT 運用管理を実現します。

また、中堅・中小企業でも導入しやすいリーズナブルな価格で、これまで大手IT ベンダーが提供する複雑で高額なツールを利用していた企業や、ツールを自社開発していた組織にも採用されてきました。現在では、日本国内の一般企業、官公庁や自治体などへ、5,000 ライセンスを超える販売実績があり、安心して使える製品・サービスです。最大で29 言語に対応する製品・サービスは、北米、欧州をはじめ、南米、中東、アジアなど世界で18 万社以上の企業や組織が導入し、企業・組織のIT 運用管理のシンプル化、グローバル化に貢献しています。

https://www.manageengine.jp/

ゾーホージャパン株式会社について

ゾーホージャパン株式会社は、ワールドワイドで事業を展開するZoho Corporation Pvt. Ltd.（本社：インドタミル・ナドゥ州チェンナイ CEO：Sridhar Vembu）が開発/製造したネットワーク管理開発ツールや企業向けIT運用管理ソフトウェア、企業向けクラウドサービスを日本市場に提供すると同時に関連するサポート、コンサルティングなども提供しています。

企業向けIT 運用管理ツール群「ManageEngine」は、世界18 万社を超える顧客実績を誇り、国内でも販売本数を伸ばしています。「ManageEngine」は、ネットワーク管理のOEM 市場でスタンダードとして認知されてきたネットワーク管理開発ツール「WebNMS」のノウハウや経験を生かして開発されたものです。

また、業務改善/生産性向上を支援する企業向けクラウドサービス群「Zoho」は、世界で4,500万人を超えるユーザーに利用されています。国内では「Zoho CRM」を中心にユーザー数を増やしており、40種類以上の業務アプリケーションを1セットで利用できる「Zoho One」の提供も始まっています。

http://www.zoho.co.jp/