CIS Controlsは、米国のCIS(Center For Internet Security)が発行している様々な規模の組織が活用できるサイバーセキュリティ対策の具体的なガイドラインである。最新バージョン8は2021年5月にリリースされ、IT環境の変化や攻撃の高度化に伴い、クラウドコンピューティングやモビリティ、サプライチェーン、テレワーク環境などに対する新しい攻撃手法への対応が加わっている。
CIS Controlsには、「18のコントロール」と「153の具体的なセーフガード」が記載されおり、あらゆる規模の組織が適切な優先順位でセキュリティ対策を実施できるよう、対象となる企業を3つのグループに分けている(Implementation Groups 1~3: IG1~3)。IG1~IG3のグループ分けは、ITとサイバーセキュリティの専門知識、保護しているデータの機密性等に応じて定義されており、自組織に合わせた対策を検討・選択することが可能となっている。
CIS Controlsの各コントロールは以下の要素で構成される。
- 概要:コントロールの意図と防御行動としての有用性の簡単な説明
- このCIS Control が重要である理由:攻撃を阻止、緩和、または特定する上でのこのコントロールの重要性の説明と、このコントロールが実装されない状況が攻撃者によってどのように悪用されるかの説明
- 手順とツール:このコントロールの実装と自動化を可能にするプロセスとテクノロジーについてのより技術的な説明
- 保護手段:コントロールを実装するために組織がとるべき具体的なアクションのリスト
前述したとおり、企業規模別に必要なコントロールについて優先順位、推奨対策を検討できるようになっており、大企業だけでなく、中堅・中小企業でも活用している事例もある。
