ホーム
Topics
CIS Benchmarksとは
CIS Benchmarksは、ITシステム、ソフトウェア、ネットワーク、およびクラウド・インフラストラクチャーを安全に構成するためのベスト・プラクティスです。
CIS Benchmarksは、Center for Internet Security(CIS)によって発表されました。 この記事の執筆時点では、7つのコア・テクノロジーにわたり、合計140以上のCIS Benchmarksがあります。 CIS Benchmarksは、世界中のサイバーセキュリティーの専門家や、対象分野の専門家のコミュニティーが関与している独自のコンセンサス・ベースのプロセスを介して開発されたものです。各コミュニティーは、それぞれが焦点を当てている分野内でのセキュリティーのベスト・プラクティスを継続的に特定・改良・検証します。
CIS (ibm.com外部へのリンク)は、2000年10月に設立された非営利団体です。 CISは、サイバー防衛のためのベスト・プラクティス・ソリューションを特定・開発・検証・推進・維持するという共通の目標を持つ世界的なITコミュニティーによって運営されています。 長年にわたり、CISは、サイバーセキュリティーへの即応性を強化するために、あらゆる規模の企業向けに設計された、複数の無料ツールとソリューションを生み出し、配信してきました。
CISは、CIS Controls (ibm.com外部へのリンク)をリリースしたことで、一般的によく知られています。これは効果的なサイバー防衛のための20の防衛策や対抗策をまとめた包括的なガイドです。 CIS Controlsは、組織が、サイバー攻撃の対象領域を大幅に削減するために実装できる、優先順位づけされたチェックリストを提供しています。 CIS Benchmarksは、より安全なシステム構成の推奨事項を構築する際に、CIS Controlsを参照します。
各CIS Benchmarksには、2つのプロファイル・レベルのうちのどちらか1つのレベルに基づいた複数の構成の推奨事項が含まれています。 レベル1のベンチマーク・プロファイルは、実装しやすいベース・レベルの構成を対象とし、ビシネスの機能性には最小限の影響しか及ぼしません。 レベル2のベンチマーク・プロファイルは、高度なセキュリティー環境を想定しており、ビジネスの中断を最小限に抑えながら実行するには、より多くの調整と計画が必要となります。
CIS Benchmarksには7つのコア・カテゴリーがあります。
CISは事前に設定済みのHardened Imagesも提供しています。これにより、企業は、他のハードウェアまたはソフトウェアに投資する必要に迫られず、コスト効率よくコンピューティング・オペレーションを実行できます。 Hardened Imagesは、標準的な仮想イメージよりも非常にセキュアで、サーバー攻撃につながりうるセキュリティーの脆弱性を大幅に制限します。
CIS Hardened Images (ibm.com外部へのリンク)は、CIS BenchmarksとCIS Controlsに準拠して設計・構成されたもので、様々な規制コンプライアンス組織に完全に準拠していると認められています。 CIS Hardened Imagesはほぼすべての主要なクラウド・コンピューティング・プラットフォームで使用でき、容易にデプロイ・管理できます。
CIS Benchmarksは、NIST(アメリカ国立標準技術研究所)サイバーセキュリティー・フレームワーク、PCI DSS (Payment Card Industry Data Security Standard)、HIPAA(医療保険の積算と責任に関する法律)、およびISO/EIC 2700などのセキュリティーおよびデータ・プライバシーの規制フレームワークと密接に連携(またはマップ)しています。 その結果、こうしたタイプの法規制に準拠する業界内の組織運営は、CIS Benchmarksに従うことで、コンプライアンス遵守に向けて大きく前進することができます。 さらに、CIS ControlsとCIS Hardened Imagesは、組織がGDPR(EUの一般データ保護規則)を順守するようにサポートできます。
ハイブリッド・マルチクラウドに確実に移行し、クラウド・ジャーニーのすべてのフェーズにセキュリティーを組み込みます。IBMのセキュリティー・サービスにより、データ、アプリケーション、および環境の保護およびモニタリングを実行します。
クラウド・リソースの構成を管理し、組織と法規制のガイドラインへのコンプライアンスを一元的に管理します。