CIS Benchmarks とは何ですか?
Center of Internet Security (CIS) の CIS Benchmarks は、セキュリティ担当者がサイバーセキュリティ防御を実装および管理するのに役立つ、世界的に認められたコンセンサス主導の一連のベストプラクティスです。このガイドラインは、セキュリティエキスパートのグローバルコミュニティで作成されており、組織が新たなリスクに対してプロアクティブに自社を保護するのに役立ちます。企業は、CIS Benchmarks ガイドラインを実施して、自社のデジタルアセットにおける設定ベースのセキュリティの脆弱性を限定しています。
CIS Benchmarks が重要なのはなぜですか?
CIS Benchmarks などのツールは、25 を超えるさまざまなベンダー製品のデプロイに関して、セキュリティのベストプラクティスの概要を示しているため重要です。これは、セキュリティの専門家や対象分野の専門家によって開発されました。これらのベストプラクティスは、新しい製品またはサービスのデプロイ計画を作成したり、既存のデプロイが安全であることを検証したりするための優れた出発点となります。
CIS Benchmarks を実施する場合、次のようなステップを実行することで、一般的なリスクや新たなリスクからレガシーシステムをより適切に保護できます。
- 未使用のポートを無効化する
- 不要なアプリの許可を削除する
- 管理者権限を制限する
不要なサービスを無効にすると、IT システムとアプリケーションのパフォーマンスも向上します。
CIS Benchmarks の例
例えば、管理者は、AWS Identity and Access Management (IAM) 用の強力なパスワードポリシーの設定に役立てるために、ステップバイステップの CIS AWS Foundations Benchmark ガイドラインに従うことができます。パスワードポリシーの適用、多要素認証 (MFA) の使用、ルートの無効化、アクセスキーが 90 日ごとに確実にローテーションされるようにすること、および他の戦術は、AWS アカウントのセキュリティを改善するための、独立しているが、関連するアイデンティティのガイドラインです。
CIS Benchmarks を採用することにより、組織は次のようないくつかのサイバーセキュリティのメリットを得ることができます。
エキスパートのサイバーセキュリティガイドライン
CIS Benchmarks は、エキスパートによって精査され、実績のあるセキュリティ設定のフレームワークを組織に提供します。企業は、セキュリティを危険にさらす試行錯誤のシナリオを回避するとともに、多様な IT およびサイバーセキュリティコミュニティの専門知識からメリットを得ることができます。
世界的に認められたセキュリティ基準
CIS Benchmarks は、政府、企業、研究機関、学術機関によって同じように世界的に認識され、受け入れられている唯一のベストプラクティスガイドです。コンセンサスベースの意思決定モデルに取り組んでいるグローバルで多様なコミュニティのおかげで、CIS Benchmarks は、地域レベルの法令やセキュリティ基準よりもはるかに広く適用され、受け入れられています。
費用対効果の高い脅威防御
CIS Benchmarks のドキュメントは、誰でも無料でダウンロードして実施できます。貴社は、あらゆる種類の IT システムに関する最新のステップバイステップの手順を無料で入手できます。IT ガバナンスを実現し、予防可能なサイバー脅威による経済的および評判上の損害を回避できます。
規制コンプライアンス
CIS Benchmarks は、次のような主要なセキュリティおよびデータプライバシーフレームワークと整合的なものとなっています。
- 米国国立標準技術研究所 (NIST) Cybersecurity Framework
- Health Insurance Portability and Accountability Act (HIPAA)
- Payment Card Industry Data Security Standard (PCI DSS)
CIS Benchmarks の実施は、規制の厳しい業界で活動する組織のコンプライアンスを達成するための大きな一歩です。IT システムの設定ミスによるコンプライアンスの失敗を防ぐことができます。
CIS Benchmarks はどのような IT システムをカバーしていますか?
CIS は、25 以上のベンダー製品ファミリーにまたがる 100 を超えるベンチマークを公開しています。すべてのタイプの IT システムに対して CIS Benchmarks を適用およびモニタリングすると、本質的に安全な IT 環境が構築され、セキュリティソリューションでさらに防御できます。CIS Benchmarks がカバーするテクノロジーは、大きく次の 7 つのカテゴリに分類できます。
オペレーティングシステム
オペレーティングシステムの CIS Benchmarks は、Amazon Linux を含む一般的なオペレーティングシステムに標準のセキュリティ設定を提供します。これらのベンチマークには、次のような機能に関するベストプラクティスが含まれています。
- オペレーティングシステムのアクセスコントロール
- グループポリシー
- ウェブブラウザの設定
- パッチ管理
クラウドインフラストラクチャとサービス
クラウドインフラストラクチャ向けの CIS Benchmarks は、クラウド環境 (AWS が提供するものなど) を安全に設定するために企業が使用できるセキュリティ標準を提供します。ガイドラインには、仮想ネットワーク設定、AWS Identity and Access Management (IAM) 設定、コンプライアンスおよびセキュリティコントロールなどのベストプラクティスガイドラインが含まれています。
サーバーソフトウェア
サーバーソフトウェア向けの CIS Benchmarks は、サーバー設定、サーバー管理コントロール、ストレージ設定、および一般的なベンダーのサーバーソフトウェアの設定ベースラインと推奨事項を提供します。
デスクトップソフトウェア
CIS Benchmarks は、組織が通常使用するデスクトップソフトウェアのほとんどをカバーしています。ガイドラインには、次のようなデスクトップソフトウェア機能を管理するためのベストプラクティスが含まれています。
- サードパーティーのデスクトップソフトウェア
- ブラウザの設定
- アクセス権
- ユーザーアカウント
- クライアントデバイス管理
モバイルデバイス
モバイルデバイス向けの CIS Benchmarks は、携帯電話、タブレット、および他の小型デバイスで実行されるオペレーティングシステムのセキュリティ設定をカバーしています。モバイルブラウザの設定、アプリケーションの許可、プライバシー設定などに関する推奨事項を提供します。
ネットワークデバイス
CIS Benchmarks は、ファイアウォール、ルーター、スイッチ、仮想プライベートネットワーク (VPN) などのネットワークデバイスのセキュリティ設定も提供します。これらには、これらのネットワークデバイスの設定と管理を安全なものとするために、ベンダーに関わらない推奨事項とベンダー固有の推奨事項の両方が含まれています。
多機能印刷デバイス
多機能プリンター、スキャナー、コピー機などのネットワーク周辺機器向けの CIS Benchmarks は、ファイル共有設定、アクセス制限、ファームウェア更新などの安全な設定のベストプラクティスをカバーしています。
CIS Benchmarks レベルとは何ですか?
組織が独自のセキュリティ目標を達成するのに役立つよう、CIS は各 CIS Benchmarks ガイドラインにプロファイルレベルを割り当てます。各 CIS プロファイルには、異なるレベルのセキュリティを提供する推奨事項が含まれています。組織は、自社のセキュリティとコンプライアンスのニーズに基づいてプロファイルを選択できます。
レベル 1 プロファイル
レベル 1 プロファイルの設定に関する推奨事項は、IT システムを設定するための基本的なセキュリティに関する推奨事項です。それらを実行するのは簡単で、ビジネス機能や稼働状況に影響を与えません。これらの推奨事項により、IT システムへのエントリポイントの数が減り、サイバーセキュリティのリスクが軽減されます。
レベル 2 プロファイル
レベル 2 のプロファイル設定の推奨事項は、セキュリティが優先される機密性の高いデータに最適です。これらの推奨事項を実施するには、中断を最小限に抑えて包括的なセキュリティを実現するための専門知識と入念な計画が必要です。レベル 2 プロファイルの推奨事項の実施は、規制コンプライアンスの達成にも役立ちます。
STIG プロファイル
Security Technical Implementation Guide (STIG) は、国防情報システム局 (DISA) の設定ベースラインのセットです。米国国防総省は、これらのセキュリティ標準を公開および維持しています。STIG は、米国政府の要件を満たすように特別に作成されています。
CIS Benchmarks は、組織が STIG を遵守するのに役立つように設計されたレベル 3 の STIG プロファイルも明示しています。STIG プロファイルには、STIG 固有のレベル 1 およびレベル 2 プロファイルの推奨事項が含まれており、他の 2 つのプロファイルではカバーされていないが、DISA の STIG で必要とされる推奨事項がさらに提供されます。
CIS STIG Benchmarks に従ってシステムを設定すると、IT 環境は CIS と STIG の両方に準拠します。
CIS Benchmarks はどのように開発されていますか?
CIS コミュニティは、独自のコンセンサスベースのプロセスに従って、さまざまなターゲットシステム向けの CIS Benchmarks を開発、承認、維持します。全体として、CIS Benchmarks 開発プロセスは次のようになっています。
- コミュニティは、特定のベンチマークの必要性を特定します。
- コミュニティは、ベンチマークの範囲を確立します。
- ボランティアは、CIS WorkBench コミュニティのウェブサイトでディスカッションスレッドを作成します。
- 特定の IT システムの CIS コミュニティに所属しているエキスパートが、作業ドラフトのレビューとディスカッションに時間を費やします。
- エキスパートは、コンセンサスが得られるまで、推奨事項を作成、ディスカッション、テストします。
- これらのエキスパートがベンチマークを完成させ、CIS のウェブサイトで公開します。
- コミュニティからさらに多くのボランティアが CIS Benchmarks に関するディスカッションに参加します。
- コンセンサスチームは、ベンチマークを実施した人から寄せられるフィードバックを検討します。
- 同チームは、CIS Benchmarks の新しいバージョンで改定と更新を行います。
CIS Benchmarks の新しいバージョンのリリースは、対応する IT システムの変更またはアップグレードにも依存します。
CIS Benchmarks を実施するにはどうすればよいですか?
各 CIS Benchmarks には、推奨事項の説明、推奨事項の理由、およびシステム管理者が推奨事項を適切に実施するために従うことができる手順が含まれています。各ベンチマークは、ターゲット IT システムの各領域をカバーするため、数百ページで構成される場合があります。
CIS Benchmarks の実施とすべてのバージョンリリースへの対応は、人が対応すると複雑になります。そのため、多くの組織では、自動化ツールを使用して CIS コンプライアンスをモニタリングしています。CIS は、IT システムをスキャンして CIS コンプライアンスレポートを生成するために使用できる無料のプレミアムツールも提供します。これらのツールは、既存の設定が CIS Benchmarks の推奨事項を満たしていない場合にシステム管理者に警告します。
CIS Benchmarks には他にどのようなセキュリティリソースが含まれていますか?
CIS は、次の 2 つの主要なリソースを含む、組織のインターネットセキュリティを向上させるための他のリソースも公開しています。
CIS Controls
CIS Controls (旧称: CIS Critical Security Controls) は、CIS がシステムおよびネットワークセキュリティの包括的なベストプラクティスガイドとして公開しているもう 1 つのリソースです。このガイドには、優先度が高く、IT システムで極めて広く蔓延しており、破壊的であるサイバーセキュリティの脅威に対して効果的であることが証明されている 20 のセーフガードとアクションのチェックリストが含まれています。
CIS Controls は、次のような主要な標準および規制のフレームワークのほとんどに対応しています。
- 米国国立標準技術研究所 (NIST) Cybersecurity Framework
- NIST 800-53
- Health Insurance Portability and Accountability Act (HIPAA)、Payment Card Industry Data Security Standard (PCI DSS)、Federal Information Security Management Act (FISMA)、および ISO 27000 シリーズの標準に含まれる他のフレームワーク
CIS Controls は、これらのいずれかのコンプライアンスフレームワークに従うための開始点を提供します。
CIS Benchmarks とCIS Controls
CIS Controls はシステムとネットワーク全体を保護するためのより一般的なガイドラインですが、CIS Benchmarks は安全なシステム設定のための非常に具体的な推奨事項です。CIS Benchmarks は、CIS Controls を実装するための重要なステップです。これは、各 CIS Benchmarks の推奨事項は、1 つ以上の CIS Controls に言及しているためです。
例えば、CIS Control 3 は、コンピュータシステム向けに安全なハードウェアおよびソフトウェア設定を提案します。CIS Benchmarks は、ベンダーに関わらないガイダンスとベンダー固有のガイダンス、および管理者が CIS Control 3 を実装するために従うことができる詳細な手順を提供します。
CIS Hardened Images
仮想マシン (VM) は、専用のコンピューターハードウェアをエミュレートする仮想コンピューティング環境です。VM イメージは、システム管理者が同様のオペレーティングシステム設定で複数の VM をすばやく作成するために使用するテンプレートです。ただし、VM イメージが正しく設定されていない場合、VM イメージから作成された VM インスタンスも誤って設定され、脆弱になります。
CIS は、CIS Benchmarks 標準に既に設定されている VM イメージである CIS Hardened Images を提供します。
CIS Hardened Images を使用するメリット
CIS Hardened Images は、次の特徴があるため便利です。
- CIS Benchmarks ベースラインに事前設定済み
- デプロイと管理が簡単
- CIS によって更新およびパッチ適用済み
セキュリティとコンプライアンスのニーズに応じて、レベル 1 またはレベル 2 のプロファイルに設定された CIS Hardened Images を選択できます。
AWS で CIS Benchmarks を使用するにはどうすればよいですか?
CIS は AWS 独立系ソフトウェアベンダー (ISV) パートナーであり、AWS は CIS Security Benchmarks Member 企業です。CIS Benchmarks には、AWS クラウドサービスのサブセットの安全な設定とアカウントレベルの設定に関するガイドラインが含まれています。
例えば、CIS は、次のような AWS in CIS Benchmarks のベストプラクティス構成設定について概説しています。
- CIS AWS Foundations Benchmark
- CIS Amazon Linux 2 Benchmark
- CIS Amazon Elastic Kubernetes Service (EKS) Benchmark
- AWS End User Compute Benchmark
AWS Marketplace で CIS で強化された Amazon Elastic Compute Cloud (EC2) イメージにアクセスすることもできるため、Amazon EC2 イメージが CIS Benchmarks を満たしていることについて安心できます。
同様に、チェックを自動化して、AWS デプロイが CIS AWS Foundations Benchmark 標準で設定された推奨事項を満たしているようにすることができます。AWS Security Hub は、43 のコントロールで構成される CIS AWS Foundations Benchmark 標準、および 14 の AWS のサービス全体で 32 の Payment Card Industry Data Security Standard (PCI DSS) 要件をサポートしています。AWS Security Hub が有効になると、各コントロールとそのコントロールに関する各関連リソースに対して、継続的な自動化セキュリティチェックを即座に実行します。
今すぐ無料の AWS アカウントを作成して、クラウドインフラストラクチャの CIS コンプライアンスを確実にし、AWS の使用を開始しましょう。