ご覧の通り、これらは包括的なコントロールの集合体となっています。バージョン8.1では、バージョン8で確立された、合理化された18項目のコントロール構成が維持されています。
バージョン8.1でも引き続き、実装グループ(IG) 1、2、および3の区分が採用されています。これらは順序立てて取り組むことが想定されており、IG 1への準拠を達成した上で、次のIG 2へと移行する流れとなります。重要な点として、CIS Controls v8.1では、これらのIGの割当て(マッピング)に変更が加えられていません。これにより、すでにIG 1への準拠に向けた取り組みを進めている組織が、その作業を最初からやり直す必要が生じないよう配慮されています。各実装グループには、多岐にわたるコントロール領域を横断する形で、さまざまな「セーフガード(防御策)」が組み込まれています。
あらゆるサイバーセキュリティ規格に共通することですが、堅牢な資産およびネットワークのインベントリ(目録)を構築することは、それ以外のセキュリティ対策を効果的に機能させるための、まさに基盤となる要素です。この点は、NIST CSFと同様に、CIS Controlsの「Top 18」においても明確に示されています。
Controls 1 および2の実施には、すべての資産を対象としたハードウェアおよびOSのインベントリに加え、包括的なソフトウェアインベントリが不可欠です。これらのコントロールが提供する防御策について理解を深めるにつれ、単にハードウェアデバイスがネットワークに接続されているかを確認するだけにとどまらない、「詳細かつ徹底した資産インベントリ」が持つ真の重要性が明らかになってきます。
IG 1と、IG 2および3との違いを要約すると、IG 1は、セキュリティ対策の導入において最初に適用すべき一連のセーフガード(防御策)を構成する要素に焦点を当てています。バージョン8.1 (v8.1)では、これらの要素が最新の資産分類体系により正確にマッピングされるようになりました。これにより、ソフトウェアを、それを稼働させる物理デバイスとは明確に区別された、独立した資産種別として追跡・管理することが可能になっています。
IG 1のタスクの多くは、いわゆる「資産管理」に重点を置いています。具体的には、正確なインベントリ管理、脆弱性の正確な把握、基本的なネットワーク保護、特権アクセスに関する知識、適時のバックアップなどが挙げられます。こうした中核的な要素は、環境の奥深くまで可視化することの重要性、そしてアクセス、ソフトウェア、および復旧プロセスを制御する能力がいかに重要であるかを如実に示しています。
CIS Controlsの実装方法
CISの成熟度を達成するには、単に資産を受動的にレビューするだけでは不十分です。これはOT (制御技術)環境において特に困難な課題であり、当社はSecureOTプラットフォームを通じて、こうした課題への解決策を提供しています。
ロックウェル・オートメーションは、お客様と連携しながら標準規格の適用を支援し、ITとOTにまたがる統一された標準の確立を実現します。CIS Controls v8.1は、NIST CSF 2.0の「ガバナンス」機能と直接的に整合しているため、SecureOTプラットフォームを活用することで、組織はこれら両方のフレームワークへの準拠を同時に達成することが可能になります。当社は産業界の組織と緊密に連携し、「CIS Controls Top 18」プログラムの確立や、動的かつ継続的なコンプライアンスおよびセキュリティ管理プロセスの構築を支援しています。ここで特筆すべき点は、CIS Controls v8.1への移行が、こうしたプログラムの運用に安定性をもたらすという点です。実装グループ(IG)の構成に変更がないため、IG 1から取り組みを開始した組織であっても、その後の進捗を滞りなく継続することができます。
これらのセキュリティ管理策をIT環境からOT環境へと展開し、両者を橋渡しするためには、いくつかの調整が必要となります。
制御策の実現可能性
PLC、コントローラ、ドライブといった組み込み型産業用デバイスにおいては、多くの制御策の導入が現実的ではありません。これには、アンチウイルス対策やアプリケーションのホワイトリスト化などが含まれます。このような場合、CIS Controls v8.1が重視する「補完的制御(Compensating Controls)」の概念、および新設された「ガバナンス」機能を用いることで、管理者は、なぜ特定の制御策の導入が困難なのか、そしてそのリスクに対処するためにどのような代替的な防御策が講じられているのかを、具体的に文書化することが可能になります。CIS
一部の管理策は実施可能であるものの、その「適切な成熟度」の水準は状況によって異なる場合があります。これには、隔週または月次でのパッチ適用といった項目が含まれますが、こうした対応は、定期的な再起動が困難な運用施設においては、多くの場合、適切とは言えません。
OTのカスタマイズ
手順に関する要件においては、OTプロセスの機密性の高さゆえに通常とは異なる手順が求められる「OTのカスタマイズ」が必要となる場合があります。インシデント対応やレッドチーミングといった項目が、その具体例として挙げられます。バージョン8.1において「ドキュメンテーション」が正式な資産クラスとして導入されたことは、こうした取り組みの重要性を裏付けるものです。OTマネージャにとって、こうしたカスタマイズされた手順を文書化することは、今やセキュリティ活動における中核的な成果として位置づけられています。
具体的なセキュリティ規格
具体的なセキュリティ規格は、多くの場合、調整を要します。例えば、CIS (Center for Internet Security)では、デバイスの種類ごとに標準的なセキュリティ構成を適用するよう求めています。しかし、OT (制御技術)デバイスの場合、その構成は通常とは異なるものになる可能性が高いでしょう。
いくつかの調整が必要となる場面はあるものの、OTとITの双方にわたってこの共通の規格を適用することには、極めて大きな利点があります。具体的には、以下のような点が挙げられます。
- 組織全体で共通の報告と測定が可能になる。
- セキュリティに関する共通の理解と用語によって、トレーニングとコミュニケーションが簡素化される。
- 「規範的」な性質により、セキュリティ導入までの時間を短縮できる。
- 規格の編集は、ゼロから作成するよりもはるかに容易であることが証明されている。
CIS Controls Top 18は、私たちがOTシステム管理と呼ぶものを真に必要としています。この手法は、長年実践されてきたITセキュリティ管理に似ています。しかし、OTにおいては、上記のような多くの理由から、資産が積極的に管理されていません。CIS Controlsを規格として導入することで、システムが定期的に管理、更新、制御されるため、セキュリティが向上し、より堅牢で信頼性の高い運用が可能になります。
過去10年間にわたり、当社はNIST CSF、800-53、NERC CIP、ISA99など、多岐にわたるセキュリティ規格の導入に取り組むお客様を支援してまいりました。各規格にはそれぞれ独自の利点がありますが、IT (情報技術)とOT (制御技術)の間に一貫性を求められる大規模組織にとって、CIS Controls v8.1こそが「ゴールドスタンダード(最高水準の指標)」として台頭していることを、私たちは実感しています。
バージョン8.1のリリースに伴い、CIS Controlsは単なるチェックリストの域を超え、ITとOTを単一のガバナンス体制の下に統合する、真のマネジメントフレームワークへと進化を遂げました。この変革は、セキュリティ管理者にとって極めて重要です。なぜなら、現場(プラントフロア)に対しては具体的な指針となる実践的なロードマップを提供し、経営層(ボードルーム)に対しては戦略的に整合性の取れたアプローチを提示してくれるからです。
CIS Controls v8.1を導入することで、組織は2つの別々のセキュリティプログラムを管理する必要がなくなります。かわりに、制御技術特有の制約を尊重しつつ、企業IT部門が求める厳格な監視を提供する、単一の統合フレームワークを利用できます。IG1から始める場合でも、IG3への拡張を目指す場合でも、レジリエンス(回復力)とコンプライアンスを備えた産業環境への道筋はかつてないほど明確になります。
ITとOTのギャップを埋める
CIS Controls v8.1はロードマップを提供しますが、出発点を把握することが不可欠です。サイバーセキュリティ準備状況評価を受けて、現在の成熟度レベルを評価し、産業環境を保護するために必要な具体的な対策を特定してください。
