コラム

CISベンチマークとは? 必要な理由やメリット、注意点を解説

CISベンチマーク
CISベンチマークとは? 必要な理由やメリット、注意点を解説

多様化・巧妙化するサイバー攻撃からビジネスを守るには、組織で使用している様々なシステムやアプリケーションに適切なセキュリティ対策を講じる必要があります。しかし、使用しているシステムやサービスが多ければ多いほど、そして多機能であればあるほど管理すべき項目が増えるため、何からどのように手をつければよいかわからず、困っている企業も多いのではないでしょうか。
そこで役立つのが、製品やサービスごとに最も推奨されるセキュリティ基準を定めている「CISベンチマーク」です。本記事では、CISベンチマークが必要とされる理由や活用のメリット、注意点などについて詳しく解説します。

CISベンチマークとは、OSなどのセキュリティ対策について推奨される設定をまとめたガイドライン

CISベンチマークとは、OSやソフトウェアなどのセキュリティ対策について、推奨される設定をCIS(Center for Internet Security)という団体がまとめたガイドラインです。
CISベンチマークの対象は、OSをはじめクラウドサービス、ミドルウェア、ソフトウェアのほか、ネットワークデバイスやクラウドサービスなど多種多様です。市販されているソフトウェアやサービスごとに、推奨設定がベストプラクティス集として提供されており、サービスの機能追加に応じて不定期にバージョンアップされています。世界的に利用されるようなソフトウェアやサービスが増えるごとに、CISベンチマークも増えていくと考えられます。

CISベンチマークの主な記載内容は、下記のとおりです。

CISベンチマークの主な記載内容
  • 対策する項目名
  • 設定が必要な理由
  • 設定の確認方法
  • 設定が正しくなされなかった場合のリスク
  • 具体的な設定方法

CISとは、インターネットセキュリティの標準化を目的とする非営利団体

CISとは、インターネットセキュリティの標準化を目的としてアメリカで設立された非営利団体です。NSA(National Security Agency:アメリカ国家安全保障局)、DISA(Defense Information Systems Agency:アメリカ国防情報システム局)といった政府機関や、学術機関、企業などが協力して、ベストプラクティスの特定や開発、検証のほか、その推進、維持のために活動しています。

CISは、企業向けの様々なセキュリティ対策に関する情報を公開し、無料のセキュリティ対策ツールをリリースしてきました。中でも、サイバー攻撃の現状や未来予測を踏まえ、企業が最低限実施すべきアプローチをまとめたガイドライン「CIS Controls」は有名で、日本でも参考にする企業は少なくありません。

CISベンチマークが必要な理由

CISベンチマークは、巧妙化するサイバー攻撃などのセキュリティ上の脅威から、企業の情報資産を守るために必要とされています。

サイバー攻撃が日に日に高度化し、クラウドサービスのセキュリティホールを突くようなインシデントも発生しており、すべてのシステムやサービスに画一的なセキュリティ対策を講じる従来の方法だけでは、企業の情報資産を守ることが難しくなりました。社内で利用しているOSやソフトウェアなど、外部からの攻撃にさらされる可能性があるすべてのシステムやサービスごとに、適切な設定を行うことも重要になっています。

多様なシステム・サービスのそれぞれに個別に最適なセキュリティ対策を施すために、CISベンチマークは重要な役割を果たしているのです。

CISベンチマークの作成のプロセス

CIS内には、世界中で使われている様々な製品・サービスごとに最善のセキュリティ対策を検討するコミュニティがあり、セキュリティの専門家たちが各コミュニティで議論しながらCISベンチマークの作成を進めています。

コミュニティ内での議論で推奨設定のコンセンサスが得られたら、テストを経てベンチマークを完成させ、CISのWebサイトで公開します。

また、CISベンチマークは、公開されて終わりというわけではありません。公開後も推奨設定を実行した人からのフィードバックについて検討し、バージョンアップを繰り返します。

CISベンチマークを利用するメリット

CISベンチマークを利用すると、世界中のセキュリティの専門家が導き出したセキュリティ対策を自社の環境に導入することができます。

CISベンチマークは、世界中のセキュリティの専門家の知見を集めたガイドラインです。セキュリティ対策に悩む担当者も、CISベンチマークを参考にすることで自社の環境に潜む脆弱性を解消し、セキュリティレベルの向上が図れます。

製品・サービスがアップデートされると、それに合わせてCISベンチマークもバージョンアップされるため、CISのWebサイトからの情報収集を継続すれば、常に最新のセキュリティを維持することが可能です。

CISベンチマークを利用する際は、すべての推奨設定を導入する必要はなく、設定項目ごとに自社に必要な設定か否かを確認し、調整することもできます。推奨設定を導入しない場合のリスクを参照しながら、自社の運用体制も考慮してあえてリスクを受け入れるという判断もできるのです。

CISベンチマークの分類と提供されている製品・サービスの例

CISベンチマークは、様々な製品・サービスについて作成、公開されています。2024年1月現在、CISは8つのカテゴリーに製品・サービスを分類しています。その分類の内容や、CISベンチマークが提供されている製品・サービスの例は下記のとおりです。

クラウドプロバイダー

CISベンチマークでは、クラウドプロバイダーという分類で、クラウドベースで提供されるプラットフォーム、ストレージ、アプリケーションなどの推奨設定が公開されています。下記の9点は、公開されている製品・サービスの代表例です。

クラウドプロバイダーに分類されている主な製品・サービス
  • Alibaba Cloud
  • Amazon Web Services
  • Google Cloud Platform
  • Google Workspace
  • IBM Cloud
  • Microsoft 365
  • Microsoft Azure
  • Oracle Cloud Infrastructure
  • Snowflake

デスクトップソフトウェア

デスクトップソフトウェアとは、デスクトップ上で動作するアプリケーションソフトウェアに関するCISベンチマークの分類です。下記のように、インターネットブラウザやWeb会議用のソフトウェアなど、様々な製品が含まれています。

デスクトップソフトウェアに分類されている主な製品・サービス
  • Google Chrome
  • Microsoft Edge
  • Microsoft Exchange Server
  • Microsoft Office
  • Mozilla Firefox
  • Safari
  • Zoom

DevSecOpsツール

DevSecOpsツールについても、CISベンチマークが存在します。

DevSecOpsとは、開発(Development)、セキュリティ(Security)、運用(Operations)を組み合わせた開発のアプローチで、プログラムなどの開発サイクル全体にセキュリティという観点を導入し、安全かつ迅速に開発を進める手法です。
DevSecOpsツールはこの手法を支援するためのツールで、CISベンチマークが公開されているのは、GitHubのみとなっています。

モバイルデバイス

CISベンチマークには、スマートフォン、タブレットなどのモバイルデバイス用のソフトウェアに関するカテゴリーもあります。このカテゴリーが対象としているのは、下記の2種類のモバイルデバイス用OSです。

モバイルデバイスに分類されている主な製品・サービス
  • Apple iOS
  • Google Android

多機能プリントデバイス

CISベンチマークでは、多機能プリントデバイスという分類で、多機能プリンターやスキャナー、コピー機などに関する推奨設定も公開されています。この分類では、特定のメーカーや製品に関する推奨設定ではなく、ファイル共有やアクセス制限といった環境設定のベストプラクティスを公開している点が特徴的です。

ネットワークデバイス

CISベンチマークには、ネットワークへの通信を中継する機器に関する、ネットワークデバイスという分類も存在します。スイッチやルーターなどの推奨設定が、メーカー別に公開されています。CISベンチマークが公開されている企業の主な例は、下記のとおりです。

ネットワークデバイスについてCISベンチマークが公開されている主なメーカー
  • Cisco Systems
  • F5
  • Fortinet
  • Juniper Networks
  • Palo Alto Networks

オペレーティングシステム

オペレーティングシステムという分類で、パソコンなどの動作の根幹となるOSの推奨設定も公開されています。下記のような、様々なOSの推奨設定の確認が可能です。

オペレーティングシステムに分類されている主な製品・サービス
  • Amazon Linux
  • mac OS
  • Microsoft Windows
  • Microsoft Windows Server
  • Oracle Linux
  • Oracle Solaris

サーバーソフトウェア

サーバーソフトウェアとは、サーバーの管理やストレージ管理、サーバー用のソフトウェアなどに関するCISベンチマークの分類です。下記のような製品・サービスの推奨設定を参照することができます。

サーバーソフトウェアに分類されている主な製品・サービス
  • Apache HTTP Server
  • BIND
  • Docker
  • IBM Db2
  • IBM WebSphere
  • Microsoft IIS
  • Microsoft SQL Server
  • Oracle Database

CISベンチマークのプロファイルレベル

CISベンチマークには、自社のビジネスへの影響を踏まえて設定を適用するかどうか、適切な判断ができるようにするための、「プロファイルレベル」という項目が定められています。プロファイルレベルの主な種類は、「レベル1」と「レベル2」の2種類です。

レベル1というプロファイルレベルは、実装しやすい基本的な設定項目で、ビジネスに及ぼす影響は最小限です。

レベル2のプロファイルレベルが定められた設定項目は、高度なセキュリティ環境を構築できますが、ビジネスのパフォーマンスに影響を与える可能性があります。ビジネスが中断しないよう、事前の入念な計画と調整が欠かせません。

CISベンチマークを利用する際の注意点

CISベンチマークを利用する際は、あくまでもベストプラクティス集だという点に注意しなければなりません。すべての企業にとって最適な設定だと断言できるわけではなく、利用すれば必ずセキュリティレベルが最善になるわけでもありません。自社の環境に応じて、CISベンチマークの設定が自社にも適していることを確認した上で導入しましょう。

また、セキュリティ上の脅威をオールマイティにカバーできるわけではない点にも注意が必要です。CISベンチマークを参考にしながら、別途、セキュリティ対策の導入も検討することをおすすめします。

CISベンチマークを参考に、自社に最適なセキュリティ環境を構築しよう

CISベンチマークは、自社が利用している製品・サービスのセキュリティ対策に世界中の専門家の知見を活用できるガイドラインです。CISベンチマークの活用によって、効果的なセキュリティ対策を講じることができるようになります。

ただし、CISベンチマークの設定が自社にとって最善であるとは限りません。CISベンチマークの設定が自社の環境に適しておらず、設定を変更したことでビジネスに影響が及ぶ可能性も考えられます。
そのため、CISベンチマークを利用する際には、自社の状況に照らして、推奨設定を自社でも適用すべきか判断することが重要です。同時に、情報資産を適切に管理できる、CISベンチマーク以外のセキュリティ対策の導入も検討しましょう。

インターコムの「MaLion」シリーズは、Windows、Mac、iPhone、AndroidのIT資産を総合的に管理し、情報漏洩を防ぐソフトウェアです。端末ごとのセキュリティポリシー設定や違反者の警告通知、印刷操作・外部デバイス接続・メール監視のほか、個人情報ファイル制御など、社内外の端末の管理に必要な機能を標準搭載しています。
CISベンチマークの活用と並行して実行できるセキュリティ対策をお探しの場合は、ぜひご検討ください。

「MaLion」シリーズのラインアップ
クラウド版 オンプレミス版
MaLionCloud
MaLion 7

関連記事

▲