ベンチマーク違反の多くは設定ミスによるものですが、そこには、資産の不完全な管理、パッチ適用の遅れ、不十分な権限管理など、より深刻な問題が潜んでいることが少なくありません。

たとえば、これらの問題は通常、CISコントロールの1、2、5、7、8に対応します。

• 資産およびソフトウェアのインベントリ（コントロール1、2）：ホスト、コンテナ、またはSaaSテナントがCMDBに存在しない場合、その資産が一度もスキャンされません。したがって、ベースラインが満たされることはありません。
• 脆弱性およびパッチの管理（コントロール7）：十分に堅牢化されたWindowsイメージであっても、パッチ未適用のカーネルが出荷された瞬間から、ドリフトが生じます。次の月次スキャンで問題が見つかっても、原因は元のビルドテンプレートではなく、パッチ適用の遅れにあります。
• 特権管理およびログの問題（コントロール5、8）：過剰な権限の割り当て、多要素認証（MFA）の不使用、監査ログの無効化は、日常的に「設定ミス」と表現されることはあまりありませんが、CISで注意すべき対象となる設定です。

設定ミスは、さまざまな違反の原因となります。設定ミスには、基本となるコントロールの実践状況が最も明確に表れ、そこからほころびが生じ始めます。このベンチマークが優れているのは、ベンチマークの内容がオープンで合意に基づくものであるため、新しい脅威やソフトウェア製品バージョンの登場に応じて、速やかに更新情報の発表が行われる点です。

CISベンチマークは、HIPAA、PCI DSS、FedRAMP、ISO 27001などのフレームワークに含まれる技術的な設定要件の多くに対応しており、これらのフレームワークのコンプライアンスに関する取り組みもサポートされています。しかし、完全なコンプライアンスを実現するには、各フレームワーク単体では不十分です。これらのフレームワークでは通常、ポリシーの明文化、リスクアセスメント、インシデント対応手順など、ITシステムの堅牢化に留まらない、広く組織全体でのコントロールが求められます。

リアルタイムコンプライアンスレポートの仕組みについて、動画をご覧ください。このTech Talkでは、CISベンチマークに沿ったカスタムコンプライアンスレポートを作成する方法について、Taniumのエキスパートが順を追って説明しています。独立した個別のツールを組み合わせる必要はありません。

ここまで、CISベンチマークとは何か、そして、準拠することが有意義な理由を説明してきました。次のステップでは、このベースラインを実践に移しましょう。

CISの対象はオペレーティングシステムに留まりません。ハイパーバイザー、データベース、クラウドサービス、さらにはKubernetesクラスタも堅牢化テンプレートの対象に含まれます。次のセクションでは、皆さんが使用している可能性の高いプラットフォームとベンチマークの対応関係を確認し、スタックのどの部分に、信頼できるCISの安全対策が用意されているかを正確に把握できるようにします。

このベンチマークは、実務者とベンダーで構成されたグローバルなコミュニティが作成し、同業者の審査を受けており、25を超えるベンダーの製品ファミリーを対象とした、100以上の安全な設定テンプレートに関する規範的なステップバイステップのガイダンスが詳細に記述されています。

多くのベンチマーク設定は、CIS Critical Security Controlsに沿ったものであり、企業が設定について、上位のセキュリティ目標を遡って確認できるようになっています。

CISで対象となっているシステムの種類と範囲は、次のとおりです。

• クラウドプラットフォームおよびインフラストラクチャ：

  AWS、Microsoft Azure、Google Cloud Platform、Oracle Cloud

• コンテナおよびオーケストレーション：

  Docker、Kubernetes、OpenShift

• データベースおよびサーバーソフトウェア：

  Oracle、Microsoft SQL Server、PostgreSQL、Apache HTTP Server、NGINX、VMware

• オペレーティングシステム：

  Windows、macOS、AIX、RHEL、Ubuntu、Rocky、AlmaLinux、Amazon Linux、IBM i、IBM Z

• ネットワークおよびセキュリティアプライアンス：

  Cisco、Palo Alto Networks、Juniper、Check Point、Fortinet、F5、pfSense

• モバイルOS：

  Android、iOS

• デスクトップソフトウェアおよびSaaS：

  Microsoft 365、Google Workspace

• ウェブブラウザー：

  Chrome、Firefox、Safari

Kubernetesクラスタを稼働させる場合、Cisco ASAのファイアウォールルールの設定を厳しくする場合、Windows Serverのビルドを堅牢化する場合など、どのような場合でも、CISベンチマークが用意されていて、詳細なセキュリティ設定の手順を確認できる可能性が高いでしょう。CISベンチマークは、このように対象の幅が広く、追跡可能性に優れているため、ハイブリッド環境やマルチクラウド環境にも対応した、信頼性の高い、監査対応のセキュリティハイジーン（セキュリティの衛生管理）になります。

CISベンチマークが、セキュリティポスチャを強化するための技術的手段を提供するレンチだとすれば、CISコントロールは、どのボルトをどのような理由でどの順番で締めるべきかを示す設計図と言えます。ベンチマークがシステム構成に焦点を当てているのに対し、コントロールは、インシデント対応、ユーザートレーニング、アクセスガバナンスなどのプロセスを含む、より広範なセーフガードを扱うものです。

「CISコントロール v8.1」は、一般的な攻撃パターンとそれに対応する実績ある防御措置を整理したセーフガードを、オリジナルの20件から18件に絞り込んだものです。3つの実装グループ（IG1からIG3）にグループ分けされており、リスクと利用可能なリソースに応じて成熟度を判断します。IG1は、基本的なサイバーハイジーンに対応し、多くの場合、中小規模の組織のベースラインとして使用されます。

主なテーマは以下のとおりです。

• すべての資産のインベントリを作成し、監視します（ハードウェア、ソフトウェア、クラウド、SaaSなど）。シャドーITが攻撃者のITにならないようにします。
• 安全なベースラインを適用し（CISベンチマークなど）、ドリフト検出を自動化します。
• Verizonの『2025年度データ漏洩／侵害調査報告書』によると、認証情報の窃取や悪用に端を発するセキュリティ侵害が22%を占めています。このセキュリティ侵害は、権限を最小限に抑え、認証情報の衛生管理を厳格に行うことで抑制できます。
• 脆弱性を特定し、解決します。前述のデータ漏洩／侵害調査報告書では、2025年に発生したセキュリティ侵害の20%がパッチ未適用の問題に起因すること、および、パッチ適用までの平均期間が32日であることが明らかになっています。これは、効果的な攻撃を企てるのに十分な時間であり、監視対象に含まれていないエッジデバイスやVPNであればなおさらです。
• インシデント対応計画を作成し、実践します。攻撃者がシステム内に留まる時間が長くなるほど、多くの侵入口が残されます。IBMによると、金融サービスの平均復旧時間（最初の侵害発生から完全な封じ込めまで）は最も長く219日であり、6カ月以上も未発見で損害を受けていたことになります。

サイバーセキュリティ担当チームに向けたアドバイスはいくらでもありますが、ステップバイステップで戦略が説明されていることはほとんどありません。CIS Critical Security Controlsはこの部分に対応するものであり、安全な設定から継続的な脆弱性管理まで、セキュリティのライフサイクル全体をカバーしています。企業がこれらのコントロールを取り入れることにより、既知の攻撃を軽減し、サイバー防御を自動化することができます。

• Tanium Risk & Complianceは、リアルタイムの可視化と自動実行の機能を備え、CISコントロールの実践を支援します

ここで両者をまとめて考えてみましょう。次のセクションでは、この連携について説明します。コントロールとベンチマークを組み合わせることで、「安全な設定」以上のものを実現するには、どうしたらよいでしょうか。対象と内容をどのようにすれば、ハイブリッド環境全体で監査対応の設定が得られるでしょうか。

CISは規制機関ではありません。そのため、CISベンチマークや管理項目の遵守は義務ではありません。ただし、これらは規制枠組みへの適合を示す際によく利用されます。

しかし、少なくとも次の2点において大きなメリットがあることから、CISについて検討することをお勧めします。

1. すべてのオペレーティングシステム、ネットワークデバイス、およびクラウドワークロードに、CISベンチマークでセキュリティのベストプラクティスとされている設定を固定的に設定することにより、簡単に成果を上げようとするサイバー攻撃者の攻撃を排除できます。

2. CISコントロールには、NISTやPCI DSSなどの世界的に知られているフレームワークとの対応付けがあり、技術的セーフガードとセキュリティ対策を広範なコンプライアンス目標と整合させるのに役立ちます。

しかし、このような対応付けだけでは、監査対応には不十分です。通常、監査担当者が期待するのは単なる対応付けではありません。確固とした、検証可能な、実施のエビデンスが求められます。たとえば、システム構成、インシデント対応の手順、ユーザートレーニングの記録など、コントロールが規定されているだけでなく積極的に適用されていることを明示するものです。

そこで、CISベンチマークが重要となります。CIS Critical Security Controlsのそれぞれを、主要なオペレーティングシステム、ネットワークデバイス、クラウドサービスごとの明確な設定に置き換えることで、ベンチマークが抽象的なベストプラクティスから筋記憶のように確かなものになります。

CISプロファイルを適用した瞬間から、次の効果が得られます。

• サイバー攻撃の初期段階で悪用されることの多い、古くなったパッチ、不適切な設定、十分に保護されていないエッジデバイスなどの、一般的な脆弱性を排除することにより、攻撃者にとってのチャンスが減ります。
• 十分な監査対応には、ポリシー、トレーニング記録、インシデント対応計画などの証拠書類も必要であることを認識したうえで、HIPAA、PCI DSS、NIST CSFなどのフレームワークに対応する設定の状態や堅牢化の基準など、技術的なエビデンスを生成します。
• 組織のセキュリティコントロールから、認められている基準をたどるのに役立つ明確なコンプライアンスマップを作成します。これにより、対応関係と成熟度を明示するのが容易になります。

また、CISコンプライアンスによる経済的なメリットも無視できません。セキュリティ侵害があった場合の代償としては、報告義務に始まり、規制による罰金、訴訟、顧客離れまで、複合的な影響が見られ、企業がそれまでに生み出してきた利益を霧消させるおそれがあります。

CISベンチマークは、クラウドプラットフォームやその他のシステムのための安全な設定のガイダンスを提供することにより、設定ミスのリスクを低減させることを目的としています。CISベンチマークは、数多くの一般的な問題への対処に役立ちますが、クラウドに関する設定ミスのすべてが対象になっているわけではなく、特に、アーキテクチャ、ID、アクセス設計に関する設定は対象外です。

そこで同様に重要になるのが信頼性の配分です。セキュリティに関する条項を契約書に組み込む顧客、保険会社、パートナーが増えています。これは、コンプライアンスを確保するためだけでなく、自社がサードパーティリスクにさらされる可能性を減らすためでもあります。

CISに準拠した設定の実践は、セキュリティのベストプラクティスへの取り組みを明示するのに役立ちますが、それは広範なコンプライアンスの全体像の一部に過ぎません。通常、監査担当者や保険会社は、組織の全体的なセキュリティポスチャを評価するために、脆弱性管理、インシデント対応計画、ユーザートレーニングなどの、リスク軽減に関する追加のエビデンスを求めます。

• ［こちらもお読みください：リスク管理とは何か。その簡単な概要］

CISコンプライアンスの重要性を理解することが、システムを保護し、業界のベストプラクティスを維持するための強力な土台となります。ただし、組織のセキュリティフレームワークについて、十分な情報に基づく意思決定を行うには、CISとその他のコンプライアンスおよびセキュリティ標準の比較について理解しておくことが重要です。

ここでは、信頼性の高い2つのオープンソースフレームワークである、CISとNISTを選択しました。CISは、特定のテクノロジーについて、ステップバイステップの詳細な堅牢化チェックリストを提供しているのに対し、NISTは、組織において必要なコントロールとその理由を判断するのに役立つ、全体的なリスクベースのフレームワークを提供しています。

サイバーセキュリティフレームワークの導入を考える際、多くの場合は、どちらか一方を選択すればよいというものではないことをおわかりいただけるでしょう。抜け漏れのないように、ポリシーと実践を一体化させるべき場面について説明します。

サイバーセキュリティのガイダンスを、幅のあるスペクトラムとして考えます。一方は戦略、つまり、保護すべき対象とその理由をリーダーが判断するための原則や方針です。もう一方は戦術、つまり、ポリシーを実証可能な防御に変える、ステップバイステップの設定です。CISとNISTはこのスペクトラムの間に存在します。

ほとんどのセキュリティロードマップでは、2つを組み合わせる必要があります。一般的なパターンは、次のとおりです。

• まず、NISTから始めて、リスクの特定とランク付けを行い、許容可能なリスクレベルを明確化し、経営陣の賛同を確保します。
• CISベンチマークを導入して、堅牢化を実施し、詳細な監査エビデンスを満たし、ベースラインに対するドリフト検出を自動化します。
• 継続的改善とプログラム成熟度の評価のために、再びNISTに戻ります。

たとえば、医療提供機関では、規制当局への対応のためにNIST CSF評価を実施したうえで、設定ミスが生死に関わる問題となるおそれのある臨床的エンドポイントでは、CISベンチマークを導入する場合が多くなっています。

ロードマップとガバナンスモデルが必要な場合、NISTは北極星のように目印になります。今後の変更について検討する必要がある場合、最も効率的に改善が見込めるのはCISです。監査が入る場合には、堅牢化された構成で、CISセーフガードとNISTコントロールの対応関係を明確に示すことで、戦略と証拠の両面で最善を尽くすことができます。

• ［こちらもお読みください：コンプライアンス管理とは何か。種類と改善のヒント］

ここからが重要です。大局的な理論を、変更管理チケット、スクリプト、昼食勉強会など、リスクに関して現実的に変化をもたらすものに置き換えます。

• ホワイトペーパーをダウンロード：『NISTサイバーセキュリティフレームワーク2.0の実践』では、NIST CSF 2.0の全体的なNISTガイダンスを実行可能で測定可能な結果に変換する方法について説明しています。

設定ミスは、「サーバーのプロビジョニング」と「サーバーの保護」の気付かない間に増加します。CISコントロールは最初のポートスキャンが始まる前にそのギャップを埋めており、予算化の細かい作業は必要ありません。

堅牢化されたITインフラストラクチャへと向かうための、実践的な5つのステップを紹介します。

1. 実態調査を速やかに実施します。Windows Server、Cisco ASA、管理されていないEC2インスタンスなど、代表的なシステムをスキャンします。数分でレポートが得られ、各ベンチマークに不合格になったものが赤色のアラートで示されます。
2. 優先順位を付ける。CISでは、18のコントロールが3つの実装グループに分類されており、取り組みを大まかに2段階に分けることができます。
   
   • IG1：すべての組織が最優先すべき不可欠なサイバーハイジーン
   • IG2/IG3：攻撃対象領域が大きい場合や規制が厳しい場合に応じて段階的により深く切り込む

   多くの場合、1つのワークロードについてIG1の試験導入を行い、リスクの低減を実証し、水平展開します

3. 堅牢化および自動化を行います。問題点を特定したら、環境全体で安全な設定を標準化します。CIS Build Kit、グループポリシーオブジェクト（GPO）、またはAnsibleやChefなどの構成管理ツールを使用して、設定を大規模に適用します。可能な限り展開を自動化して、新しい資産は最初からコンプライアンスが確保され、時間が経過しても堅牢化された状態が維持されるようにします。
   
   • ［こちらもお読みください：Tanium Automateのご紹介 - 大きな規模でも簡単に構築できるオーケストレーションと自動化］
4. 重要事項を測定します。測定しなければ、改善はできません。コントロールを導入したら、コントロールの対象範囲、インシデントの減少、復旧の所要時間などの指標を用いてその有効性を追跡します。ダッシュボードやコンプライアンスツールを使用して、システムやチーム全体の進捗状況を可視化します。定期的な測定は、取り組みの有効性の確認になるだけでなく、次に何を修正すべきかの優先順位を判断するうえでも、関係者に価値を明示するうえでも役立ちます。
5. 攻撃者による攻撃が止むことはないため、人材にトレーニングを実施します。テクノロジーだけで人的過誤を防止することはできません。セキュリティ侵害の74%は、ミス、認証情報の窃取、ソーシャルエンジニアリングが原因となっています。ロールアウトごとに、短時間のシナリオベースのトレーニングやフィッシング演習を実施します。

精査する、優先順位を付ける、自動化する、測定する、教育する、という5つの要素によって、CISが共有ドライブに置かれたPDFから生きたコントロールシステムへと変わり、セキュリティレベルを明確に向上させ、技術的リスクと人的リスクの両方を低減できます。

導入段階の5つのステップについて説明したところで、従来、CISコンプライアンスの実践のために頼りにされてきたツールを見てみましょう。これらのツールとその限界について理解すると、コンプライアンスと広範なセキュリティ運用を対応付ける、より統合型でリアルタイムのアプローチに移行するケースが増えている理由が明らかになります。

CIS、NIST、PCI DSS、HIPAA、ISOなど、すべてのセキュリティおよびコンプライアンスのフレームワークの出発点は同じところであり、それが「可視化」です。何かの評価や堅牢化、修復、証明を行うには、その前に対象の環境内に何があるかを把握する必要があります。つまり、デバイスとそのデバイス上で実行されるソフトウェアのリアルタイムで正確なインベントリが必要です。このようなインベントリがなければ、ほかのすべてのコントロールは不安定な土台の上に組まれることになります。

これらのカテゴリーは、受動的で断片的な取り組みから能動的で統一された管理へと至る成熟度曲線を示しています。バラバラのツールに頼っている組織は、火消しに追われることが多くなります。これに対して、さまざまな機能が一元管理されている組織では、自信を持って迅速な動きができ、レジリエンスも高まります。

単体ソリューションをパッチワークのようにつなぎ合わせて、目標の実現に近づけようとするのが従来の手法でした。これらのツールは、一般的に5つのカテゴリーに分類されます。

1. 可視化とインベントリ：

   何らかの評価や実践を開始する前に、環境について包括的に最新の状態を把握する必要があります。従来の資産検出およびソフトウェアインベントリ用のツールは、動作が独立している、定期的なスキャンに依存する、システム間の調整を手動で行う必要があるなどの場合が多くなっています。これでは、特にハイブリッド環境や動的な環境では、盲点の発生やデータの陳腐化、インベントリの不整合につながります。現行のデバイスやシステムをリアルタイムに可視化できなければ、企業は信頼性の高い、リスクの評価やコントロールの適用ができず、受動的な対応にならざるを得ません。可視化は、単に最初のステップというだけでなく、その他のすべてのコントロールの基盤となります。

2. 評価：

   CIS Controls Self Assessment Tool（CSAT）や脆弱性スキャンなどのツールでは、リーダーシップ向けのダッシュボードを生成でき、企業がコンプライアンスポスチャを評価し、コントロールに対する成熟度を追跡するのに役立ちます。ただし、多くの場合は独立型のツールとなっており、リアルタイムテレメトリーや実施システムとの連係ができないため、結果の検証やドリフトの検出、修復のワークフローの開始は困難です。

3. 堅牢化：

   Config-as-codeツール（Ansible、Puppetなど）およびクラウドネイティブサービス（AWS Config適合パック、Azure Policyイニシアチブなど）により、CISに沿った設定をインフラストラクチャに組み込むことができます。これらのツールは強力ですが、多くの場合、深い専門知識を必要とし、ハイブリッド環境では不安定となり、継続的な検証が十分ではありません。リアルタイムの可視性がなければ、展開後に設定のコンプライアンスが維持されているかどうかを確認するのは困難です。

4. 修復：

   リスクや設定ミスが特定されたら、次のステップはそれらの修正です。従来の手法による修復では、手作業によるワークフロー、チケットシステム、専門チームによる実行が必要なスクリプトが使用されることが多くなっています。このような方法では、時間がかかり、エラーが発生しやすく、拡張が困難であり、特に時間の制約がある場合には問題となります。
   オーケストレーションツールを使って修復を自動化する試みも行われていますが、これらのツールも多くの場合は、最初に問題が検出されたシステムからは切り離されています。検出と対応の間に緊密な統合がなければ、修正が安全装置よりもむしろボトルネックになります。

   そこで、リアクティブからプロアクティブへの移行が重要になります。堅牢化とは、問題の発生前に予防することであり、修復とは、問題の発生時に対応することです。成熟したコンプライアンスプログラムとは、ドリフトや脆弱性に事後的に対応するだけでなく、継続的な実施とリアルタイムの可視化を通じて、それらを予測し、防止するものです。

5. 証明と報告：

   監査担当者はエビデンスを求めます。CSATのエクスポート、SIEMのダッシュボード、脆弱性スキャンツールのレポートからエビデンスを得ることはできますが、複数のツールにわたるエビデンスの内容をまとめるには、多くの場合、タイムスタンプの不整合、資産の不一致、サイロ化されたデータの処理が必要になります。結果として、コンプライアンス確保の仕組みが断片化されていると、プレッシャーがかかるなかでの防御は困難になります。

このサイクルをいかに迅速かつ正確に進められるかが、コンプライアンスプログラムの成熟度に直結します。この速度と信頼性が高いほど、組織のレジリエンスも高くなります。

しかし、複数のツールを使用していると、アプローチが断片化されて、運用に遅れが生じ、リスクが増大し、重大な問題が残る可能性が高くなります。検出、実施、報告などの主要なプロセス間の統合がなければ、迅速にインサイトからアクションにつなげることが困難になります。それにより、対応の所要時間が長くなり、コンプライアンスの取り組みに対する信頼性が低下します。そして、ゼロデイ攻撃を受けた場合、問題は「自社に脆弱性があるか」ではなく、「どれだけ迅速に問題を発見して修正できるか」です。

そこで、統合プラットフォームが重要となります。統合プラットフォームで、これら5つの機能を単一のリアルタイムシステムにまとめることで、バラバラのツールによる非効率性を排除し、信頼性を高めて、チームが迅速に行動できるようになります。また、この変更により、業務を犠牲にすることなく、修復を自動化でき、リアクティブなコンプライアンスからプロアクティブなセキュリティへの移行が可能になります。

従来のツールチェーンに限界があることは明白です。断片化され、リアクティブで適応に時間がかかります。コンプライアンス要件はますます複雑化し、脅威は急激に進化しているなかで、企業にはより統合されたインテリジェントなアプローチが必要です。

そこで役立つのがTaniumです。Taniumは、可視性、制御性、対応性を1つのプラットフォームに統合することで、コンプライアンスプロセスの効率化、リスクの低減、信頼性と迅速性、拡張性を備えた運用を可能にします。

Tanium Risk & Complianceでは、評価、実施、レポートの機能が1つのプラットフォームに統合されているため、分散したツールをつなぎ合わせたり、コンプライアンスの検証を手作業で行ったりする必要性はありません。

このプラットフォームでは、リアルタイムテレメトリを使用することで、CISベンチマークに基づく継続的なシステム評価や、ドリフトの自動修正により、資産のインベントリ、コンプライアンス状態、変更履歴などの監査のエビデンスが集約されます。

Tanium Autonomous Endpoint Management（AEM）の一部である、Risk & Complianceは、資産検出、パッチ管理、設定の強制適用、脅威検知のためのソリューションと連係して機能します。これらの機能を組み合わせることで、リアルタイムの可視化、脆弱性の優先順位付け、修復の効率化を実現し、従来の単体ソリューションでは対応しきれなかった課題に対応できます。

Taniumは、継続的な監視、ワークフローの自動化、パートナー製品との緊密な統合を通じて、企業における継続的なコンプライアンスの確保と、監査や脅威など、さまざまなものに対応できる、レジリエンスの高いセキュリティポスチャの構築を支援します。

Tanium AEMは、規制要件の変化や新たな脅威に先手を打って対応できるように支援するとともに、運用のオーバーヘッドを減らし、コンプライアンスのワークフローを効率化し、IT、セキュリティ、運用の各チーム間の連携強化を実現します。

カスタマイズされた無料のデモをご予約ください。Taniumが、受動的なチェックリスト的な対応から、リアルタイムの監査対応のセキュリティへと移行するうえでどのように役立つかをお確かめいただけます。