LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@sou_tayo(ソウ タヨウ)

CISの提供するツールとサービス #3 ISMSの活動との関係性

Last updated at Posted at 2025-02-16

この記事について

米国のCenter for Internet Security, Inc. (CIS)が提供する、サイバーセキュリティのための支援ツールやサービス群を小分けにして考察します。

今回は、#2でも触れた"Secure your Organization(組織のセキュリティ強化に有効なもの)"の目的に相当するCISのツールについて、ISMSのプロセスや他フレームワークとの関係性から、適材適所な使い道を整理します。

この投稿の読者想定

組織のITセキュリティを体系的に強化すべく、CISのスイートを有効活用したいが、それぞれの違いや関係性がよくわからない方(投稿者自身を含む)。

ISMSとは

CISの話に移る前に、今回のテーマにあるISMS(情報セキュリティマネジメントシステム)について、これを確立するプロセスを、可能な限りコンパクトに抽象化します。結論、ISMSを確立・維持運用するプロセスを以下と定義しました(私見ですが、あながち外れてもいないはず)。

尚、ISMSとは"ISMS認証"やその審査のプロセスではなく、その組織なりに情報セキュリティを適切に管理するための機構を指すものとします。

ISMS_framework_ver1_2.png

ISMS活動のコア

ISMSの確立・維持運用を、更にミニマムに表現すると以下の二つです。
①企画、計画
②情報セキュリティにおけるリスク管理

リスク管理はリスク評価を内包

リスク管理(Management)とは、リスクを最適化(ゼロリスクの追求ではなく、その組織が許容できるリスクの大きさに抑え込むこと)する活動ですが、ここにはリスク評価(Assessment)の活動が包含されます。

このリスク評価は、組織の状況に応じたクリエイティビティが要求される、なかなか骨の折れるプロセスではないでしょうか。 ※これは今回のテーマの肝

ISMSの立上げから運用(≒リスク管理)のべき論、管理策を論じる場面で使えるもの

先ずはISMSの全体工程("餡子"のリスク評価の部分を除く)で使えるCISのツールを、役割の近い他フレームワークと共に一覧にしました。

ISMS_framework_ver1_3.png

ここで挙げるCISのツールは、 CIS Controls の一択です。

CIS Controls

CIS Controlsは実施すべきセーフガード(管理策)の一覧ですが、リスク対応の具体手段としてこれらが相当するわけです。尚、セーフガードはISO27001/27002のそれ(いわゆる附属書A)と比較すると、"サイバーセキュリティ対策"に振り切っている印象はあります。

ISMSにおけるリスク評価の方法論、部分要素として使えるもの

次に、リスク評価の工程で使えるCISのツールを、他の役割の近いフレームワークと共に表に一覧にしました。

ISMS_framework_ver1_4.png

ここで挙げるCISのツールは、以下です。
CIS Controls Assessment Specification(CAS)
CIS CSAT
CIS RAM

【前提知識】リスク評価には手法が多々ある

個々のツールの話の前に、前提知識を記します。リスク評価は、リスクを洗い出す際の主眼の置き方によって手段が多々あり(データベースに例えると、テーブルの主キーは何か)、手段を組み合わせて実施するほど、濃密な結果が得られます。

あくまで一例ですが、代表的な手段は以下です。

  • ルールベース(ベースライン)のアプローチ
    • 既存の規則や基準(例えばCIS Controls)に対する実装状況、成熟度合いからリスクを管理する手法
  • プロセスベースのアプローチ
    • 業務プロセスを中心に、各段階でのリスクを特定・評価する手法
  • リスクベースのアプローチ(詳細リスク分析)
    • リスクの影響度や発生可能性を詳細に分析し、優先順位をつけて対策を講じる手法

それぞれのツールと各アプローチとの親和性の観点で見ていきましょう。

CIS Controls Assessment Specification(CAS)

CASは、CIS Controlsの各セーフガードが意図する状態を、かなり具体的な 測定方法 として定義する仕様書です。

CIS Controlsのセーフガード群を組織のTODOと捉え、自組織とのギャップ分析を行う際に参考となるものですが、ルールベースアプローチのリスク評価の要素として機能するでしょう。

ISMS_framework_ver1_5.png

Image source: Center for Internet Security (CIS), "CIS Control 1: Inventory and Control of Enterprise Assets", licensed under CC BY-NC-SA 4.0.

CIS CSAT

CIS CSATは、CIS Controlsのセーフガードに対する 実装状況を自己評価(Self Assessment:SAT)するための支援ツール(WEBアプリ) です。

実装状況の測定は、CAS然り有識者の知見などを頼りに実施しますが、その結果を 5段階の成熟度として格付けするためのロジック をツールに内包しています。こちらもCIS Controlsと自組織とのギャップ分析という、まさにルールベースアプローチのリスク評価の要素として機能するでしょう。

CIS RAM

CIS RAMは、CIS Controlsの実装状況の評価結果などを活用して、組織のリスクを詳細に分析、最適化するための リスクアセスメントのフレームワーク です。

タイトルなし.png

実のところ、CIS Controlsのセーフガードへのギャップ分析を行ったところで、マイナス評価となったセーフガードを改善するための、合理的な判断材料(例えば優先度合い、到達目標、そもそもの要否など)は得られません。

そこで組織にとっての本当のリスクを分析・定量的して、リスクを基に、対策(セーフガード)の方向性を緻密に判断できるよう、その具体的な方法論を定義しています。
これは、リスクベースのアプローチ(詳細リスク分析)に相当するリスク評価として分類されます。

今回はここまで。ありがとうございました。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?