本記事は、Governance & Sustainability所属の新卒4名によるTech Blog新人投稿リレーの第1弾です。
このリレーでは、それぞれの新入社員が業務を通して感じた、日々の学びや気づきをテーマに記事をお届けしていきます。
トップバッターとして、私・石尾が企画のスタートを切らせていただきます。
はじめに
はじめまして、2025年度入社の石尾です。
セキュリティコンサルタント1年目で、現在進行形で情報セキュリティの勉強中です。
「セキュリティって何から始めるか分からない…」そんな状態からのスタートでしたが、まずは体系的に取り組むために、情報セキュリティのベストプラクティスをまとめているCIS Controlsについて勉強することにしました。
このようなガイドラインに沿って対応を進めることで、セキュリティ対策の抜け漏れを防ぐことができるのも大きなメリットであると感じています。
私と同じく「これからセキュリティの勉強はじめていこうかな~」と考えている方の参考になれば幸いです。
今回は初回として、項目1「組織の資産のインベントリと管理」 にフォーカスして取り組んでいます。
CIS Controlsとは
CIS Controlsとは、米国のCenter for Internet Security(CIS)が発行している、
情報セキュリティ対策のベストプラクティスを体系的にまとめたガイドラインです。
ガイドラインの目的、対象、特徴について自分なりに整理してみました。
- 目的:サイバーセキュリティの強化とリスク低減
- 対象:企業、政府機関、教育機関などのあらゆる組織
- 特徴:抽象的な理論ではなく、「何をすべきか」という具体的な対策が記載されている
情報セキュリティ対策のガイドラインならNIST の Cybersecurity Framework(NIST CSF)などもありますが、新入社員の私にとっては、より具体的な技術的対策が記載されている点が魅力的で、最初の足掛かりとしてCIS Controlsを選びました。
CIS Controlsは全18項目で構成されています。(CIS Controls v8.1)
| No. | 項目名(英文) | 項目名(日本語訳) |
|---|---|---|
| 1 | Inventory and Control of Enterprise Assets | 組織の資産のインベントリと管理 |
| 2 | Inventory and Control of Software Assets | ソフトウェア資産のインベントリ管理 |
| 3 | Data Protection | データ保護 |
| 4 | Secure Configuration of Enterprise Assets and Software | 組織の資産とソフトウェアの安全な構成 |
| 5 | Account Management | アカウント管理 |
| 6 | Access Control Management | アクセス制御管理 |
| 7 | Continuous Vulnerability Management | 継続的な脆弱性管理 |
| 8 | Audit Log Management | 監査ログ管理 |
| 9 | Email and Web Browser Protections | 電子メールおよびWebブラウザの保護 |
| 10 | Malware Defenses | マルウェアの防御 |
| 11 | Data Recovery | データ復旧 |
| 12 | Network Infrastructure Management | ネットワークインフラストラクチャ管理 |
| 13 | Network Monitoring and Defense | ネットワークの監視と防御 |
| 14 | Security Awareness and Skills Training | セキュリティ意識向上とスキルのトレーニング |
| 15 | Service Provider Management | サービスプロバイダーの管理 |
| 16 | Application Software Security | アプリケーションソフトウェアセキュリティ |
| 17 | Incident Response Management | インシデントレスポンスと管理 |
| 18 | Penetration Testing | ペネトレーションテスト |
セキュリティ対策の進め方
CIS Controlsの項目1にはInventory and Control of Enterprise Assets(組織の資産のインベントリと管理) についての対策がまとめられています。(ちなみに「インベントリ」は直訳すると「在庫」という意味ですが、セキュリティの文脈では、企業が保有するハードウェアやソフトウェアなどの資産情報を指します。)私が初めてCIS Controlsを読んだときに、「そもそもなんで『資産のインベントリと管理』が一番に来るんだろう」と疑問に思いました。
セキュリティ対策の進め方について勉強したところ、大まかには次のような流れで行うということが分かりました。
- 保護対象となる資産は何があるのか把握する
- 資産に対して想定される脅威を洗い出す
- セキュリティ対策を実施して、リスクを許容範囲まで低減する
「なるほど、だから組織の資産のインベントリと管理が1番にくるのか!」と腑に落ちたのと同時に、保護対象となる資産を把握することの重要性が分かり、セキュリティコンサルタント1年目として第一に取り組むべきものとしてベストだなと思いました。
頭からCIS Controlsを勉強していったところ、Asset Discoveryという単語に出会いました。
Asset Discoveryって?
Asset Discoveryとは資産管理という項目の中で登場する言葉であり、企業や組織のネットワーク内に存在する資産を検出することを指します。
つまり、「業務で利用するシステム・サービスに接続されている端末等を探し出して、抜け漏れなく把握しようね」ということです。では、どうやって資産を抜け漏れなく把握するのか?という話になります。
CIS Controlsには、Active Discovery と Passive Discovery の2種類のAsset Discoveryが登場します。
-
Active Discovery
ネットワークや端末に対して能動的にスキャンやアクセスを行い、資産情報を取得する手法。リアルタイムで行う。(保護手段1.3) -
Passive Discovery
ネットワークトラフィックやログなど、普段の通信を監視して資産情報を取得する手法。システム運用中の監視に使われる。(保護手段1.5)
Active Discovery とPassive Discoveryそれぞれの強み弱みについて表でまとめておきます。
| Asset Discovery | 強み | 弱み |
|---|---|---|
| Active Discovery |
・最新の情報を取得できる ・探索範囲に対する網羅性が高い |
・ネットワークや端末に負荷をかける可能性がある |
| Passive Discovery | ・ネットワークや端末に負荷がかからない ・長期的な傾向を把握しやすい |
・通信が発生していない資産情報は検知できない |
企業の資産を最新かつ正確に把握するためには、複数の手法を適切に組み合わせることが重要です。
また、リモートワークの普及により、社員は自宅や外出先など、社外からも業務を行うようになり、社内と社外の境界が曖昧になってきています。社外にも資産が存在する現在の環境では探索すべき範囲が社内だけでは不十分です。市場のトレンドや環境(働く場所や使っている機器)に応じて、最適な方法で資産を管理することが求められます。
まとめ
今回は、CIS Controlsの項目1「組織の資産のインベントリと管理」に登場する言葉「Asset Discovery」および資産情報管理の手法について整理しました。
資産情報を最新かつ正確に管理するためには、環境に応じて最適な方法で資産を管理することが重要であると学びました。
次回は項目2「ソフトウェア資産のインベントリ管理」、項目3「データ保護」の中身について勉強していきたいと思います。
NTT DATA公式アカウントです。 技術を愛するNTT DATAの技術者が、気軽に楽しく発信していきます。 当社のサービスなどについてのお問い合わせは、 お問い合わせフォーム nttdata.com/jp/ja/contact-us/ へお願いします。