13. 12
CIS(Center for Internet Security) Controlsは組織がシステムやネットワークを効果的に保護
するために必要な20のセキュリティコントロールを定義したものです。
CIS Controls
コミュニティとして、優先的活動の決定や相互サポートを目指して一致団結し、急速に変
化する問題と、無数とも言えるその対応策に臨む必要がありますが、それにあたって持つ
べき知識やテクノロジーを最新に保ち続けていくには、一体どうしたらよいでしょうか?
取り組むべき最も重要な領域とは何なのでしょうか。企業はリスク管理プログラムの充実
に向けた第一歩をどう踏み出したらよいでしょうか。新たに起こる例外的脅威をすべて追
跡するのでも、基本事項を怠るのでもなく、むしろ基本事項のロードマップに沿って、評
価と改善の指針を得るにはどうしたらよいでしょうか。最も効果的な防御対策とはどのよ
うなものでしょうか。
このような課題に対応することを目的とし、本 CIS Controls は開発され、現在推進されて
います。
CIS Controls Version Japanes Translationより引用
https://learn.cisecurity.org/control-download
14. 13
CIS Control 1:ハードウェア資産のインベントリとコントロール
CIS Control 2:ソフトウェア資産のインベントリとコントロール
CIS Control 3:継続的な脆弱性管理
CIS Control 4:管理権限のコントロールされた使用
CIS Control 5:モバイルデバイス、ラップトップ、ワークステーションおよび サーバに関するハードウェアおよび
ソフトウェアのセキュアな設定
CIS Control 6:監査ログの保守、監視および分析
CIS Control 7:電子メールと Web ブラウザの保護
CIS Control 8:マルウェア対策
CIS Control 9:ネットワークポート、プロトコル、およびサービスの制限および コントロール
CIS Control 10:データ復旧能力
CIS Control 11:ファイアウォール、ルータ、スイッチなどの ネットワーク機器のセキュアな設定
CIS Control 12:境界防御
CIS Control 13:データ保護
CIS Control 14:Need‐to‐Know に基づいたアクセスコントロール
CIS Control 15:無線アクセスコントロール
CIS Control 16:アカウントの監視およびコントロール
CIS Control 17:セキュリティ意識向上トレーニングプログラムを実施する
CIS Control 18:アプリケーションソフトウェアセキュリティ
CIS Control 19:インシデントレスポンスと管理
CIS Control 20:ペネトレーションテストおよびレッドチームの訓練
CIS Controls