NRIセキュアテクノロジーズは2019年3月20日、企業や組織で実施されているサイバーセキュリティ対策が効果的に実施されているかどうかを測定するための、コンサルティングサービス「CIS Controlsによるサイバー攻撃対策の強化支援」の提供を開始した。価格は、個別見積もり。
NRIセキュアは、日本でセキュリティ対策の効果測定を希望する企業・組織を対象に、コンサルティングサービスの提供を開始する(図1)。CIS Controlsの知識を持つNRIセキュアの専門家が、企業や組織のセキュリティ対策状況を机上評価し、そこで見つかったセキュリティ上の脆弱性に対処するため、技術的対策のシステムへの実装を支援する。さらに、対策の効果を測定するためにデータの収集・分析を行い、必要な改善策を提案する。
図1:「CIS Controlsによるサイバー攻撃対策の強化支援」の概要(出典:NRIセキュアテクノロジーズ)拡大画像表示
CIS Controlsは、サイバーセキュリティに関する技術分野に焦点を当て、現在発生しているサイバー攻撃や近い将来に発生が予測される攻撃の傾向を踏まえて、多岐にわたる対策のなかから、自社(組織)が実施すべき対策と、その優先順位を導くためのアプローチを提示したフレームワークである。アメリカ国立標準技術研究所(NIST)の「NIST Cyber Security Framework」や、ISMS(ISO/IEC27001, 27002)と並んでグローバルに普及している。
米国の国家安全保障局(NSA)をはじめとした公的機関や、サイバーセキュリティ専門企業などが2008年に共同研究を開始し、2009年にセキュリティ専門団体のSANS Instituteが取りまとめたガイドラインが前身となっている。その後、非営利団体であるThe Center for Internet Security(CIS)の管理のもと、改訂が重ねられており、現在Version7(第7版)が最新となっている。なお、NRIセキュアは、Version3以降、日本語への翻訳を担当している。
従来、企業や官公庁などの組織では、どのようなサイバーセキュリティ対策を採用すべきかについて、主に2つの手法によって検討してきた。1つ目は、セキュリティの専門家による組織内のヒアリングなどに基づく「リスク評価」で、もう1つは、Webアプリケーションやネットワーク、IoT機器などに脆弱性がないかどうかを、疑似的な攻撃を行って調べる「診断およびテスト」である。
これらの2つの手法は、それぞれ個別の基準で行われることから、「リスク評価」で発見された課題が適切に対処されたかどうかを、「診断やテスト」で確認する作業が見落とされがちだった。それが原因で、セキュリティ事故が起きてしまうケースも生じているという。
米国では、数年前からセキュリティ対策が適切に実施され、サイバーセキュリティに関わるリスクが低減されていることを確認するために、「効果測定」を行うことの重要性が提唱されている。米国をはじめ世界各国で多くの企業や公的機関に採用されている、サイバーセキュリティ対策のフレームワーク「CIS Controls」では、そのような効果測定を行うに際して有用な実施基準・実施方法が、補足資料(Measures & Metrics)として公表されている。
