今回は、情報システムを安全に構成・構築・維持管理するための、

構成基準及びベストプラクティスをまとめたガイドラインである、CIS Benchmarks について紹介します。

まず、『CIS（Center for Internet Security）』とは、

米国国家安全保障局（NSA）・国防情報システム局（DISA）・米国立標準技術研究所（NIST）等の政府機関と、企業・学術機関等が協力し、

インターネット・セキュリティ標準化に取り組む目的のもと、2000年に設立された米国団体の略称となります。

CIS Benchmarksは、PCやサーバをはじめ、ネットワーク機器・モバイル機器・データベース・アプリケーション・クラウドサービス等の製品またはサービスに対して、

安全に構築・維持管理するためのベストプラクティスをまとめたガイドラインです。

CIS Benchmarksの対象となるシステムの詳細は、

・Windows Server、Red Hat Enterprise Linux等OS

・Apache、Docker、Oracle DB等ミドルウェア

・Cisco、Palo Alto Networks等主要ベンダーネットワークデバイス

・その他デスクトップソフトウェア、モバイルデバイス等

・Amazon Web Services(AWS)やMicrosoft Azure(Azure)等のクラウドプロバイダ

と幅広いシステムで、ベンチマークが発行されています。

各対象のバージョンごとに、システムをセキュアにするための設定方法や詳細パラメータまで記載されています。

また、海外拠点の理解を得られやすいガイドラインとなっており、

CIS Benchmarksをもとに策定されたサイバー対策指針を、グローバル展開する際での親和性が高いといった特徴があり、

実際に国内外のグローバル企業で多く活用されています。

CIS Benchmarksは、対象分野の専門家・テクノロジーベンダー・パブリック及びプライベートコミュニティメンバーや、CISベンチマーク開発チームのボランティア活動等を通じ、開発されています。

システムを安全に構成するためのベストプラクティスであるCIS Benchmarksを活用することで、

様々なOS・ミドルウェア・アプリケーションをセキュアな設定にすることが可能です。

こういったある一定の基準に沿った構成にすることにより、

対策の抜け漏れが減り、堅牢なシステムにするための近道となります。

参考：

CIS Benchmarksを活用したシステムの堅牢化について: NECセキュリティブログ | NEC

CIS Benchmarks｜セキュリティ用語解説｜NRIセキュア (nri-secure.co.jp)