CISベンチマークとは

CISベンチマークは、世界中のサイバーセキュリティー専門家のコミュニティが関与するコンセンサスに基づくプロセスを通じて開発されます。これらの専門家は、組織がデジタル資産をサイバー・リスクから保護できるよう、重点を置いている領域内でセキュリティーのベスト・プラクティスを継続的に特定、改善、検証します。

CISは、8つのコア・テクノロジー・カテゴリーにまたがり、25以上のベンダー製品ファミリーを網羅する100以上のCISベンチマークを発行しています。¹非営利目的で使用する場合は、無料のPDFダウンロードを通じて入手できます。

CISベンチマークは、規範的で世界的に認められたセキュリティ標準とサイバー防御ガイドラインに従って、組織がセキュリティ体制を改善するのに役立ちます。CISベンチマークは、規制コンプライアンス、ITガバナンス、セキュリティ・ポリシーなどのビジネス・ユースケースもサポートします。

2000年10月に設立されたCISは、「人々、企業、官公庁・自治体が広範なサイバー脅威から身を守るのに役立つタイムリーなベスト・プラクティスソリューションを開発、検証、推進することで、つながった世界をより安全な場所にする」ことをミッションとする非営利組織です。²

CIS Benchmarks Communitiesは、CISベンチマークのベスト・プラクティスの開発に貢献する12,000人を超えるITセキュリティの専門家からなるグループであり、誰でも貢献できます。このコミュニティーはボランティアで構成されており、世界中の対象分野の専門家、ベンダー、テクニカル・ライター、テスター、その他のCISメンバーがいます。

CISには、米国の州、地方、部族、および領土（SLTT）官公庁・自治体にサイバー脅威の防止、保護、対応、および復旧リソースを提供するMulti-State Information Sharing and Analysis Center（MS-ISAC）の本部もあります。また、米国選挙事務所のサイバーセキュリティ・ニーズをサポートする選挙インフラ情報共有分析センター（EI-ISAC）の本部でもあります。³

CISのプロファイルレベルは、さまざまなセキュリティー推奨層を参照し、さまざまな製品に対する複数の設定が含まれています。

レベル1では、実装が容易でビジネス機能への影響が最小限に抑えられる基本レベルの構成を対象としています。

レベル2は、ビジネスの中断を最小限に抑えながら実装するためのより多くの調整と計画を必要とするハイ・セキュリティー環境に適用されます。

STIGは、官公庁・自治体の要件を満たすために米国国防総省（DOD）が公開および保守するセキュリティ基準であるセキュリティ技術実装ガイド（STIG）に対応した一連の構成ベースラインです。

CISのSTIGプロファイルは、組織がSTIGに準拠するのに役立ちます。STIGで構成されたセキュリティ・システムは、CISとSTIGの両方のコンプライアンス要件を満たします。

前述のように、8つのITテクノロジー・カテゴリーに分類された100以上のCISベンチマークがあります。

• オペレーティング・システム

• サーバー・ソフトウェア

• クラウド・プロバイダー

• モバイル・デバイス

• ネットワーク・デバイス

• デスクトップ・ソフトウェア

• 多機能プリント・デバイス

• DevSecOpsツール

このカテゴリーでは、Microsoft Windows、Linux®、Apple社のmacOSなどのコア・オペレーティング・システムのセキュリティー構成が対象となります。これらには、ローカルおよびリモートアクセス制限、ユーザー・プロファイル、認証、要因・インストール・プロトコル、インターネット・ブラウザー設定に関するベスト・プラクティス・ガイドラインが含まれます。

このカテゴリは、Microsoft Windows Server、SQL Server、VMwareなど、広く使用されているサーバー・ソフトウェアのセキュリティ設定をカバーしています。また、DockerやKubernetesなどのオープンソースのコンテナ化プラットフォームもサポートしています。

ベンチマークには、Kubernetes PKI（公開キー・インフラストラクチャー）証明書、アプリケーション・プログラミング・インターフェース（API）サーバー設定、サーバー管理制御、vNetworkポリシー、およびストレージ制限を構成するための推奨事項が含まれています。

このカテゴリーでは、Amazon Web Services（AWS）、Microsoft Azure、Google、IBM®などの一般的なパブリッククラウド環境のセキュリティ構成について説明します。ベンチマークには、IDおよびアクセス管理（IAM）、システム・ログ・プロトコル、ネットワーク構成、規制コンプライアンス保護を構成するためのクラウド・セキュリティ・ガイドラインが含まれています。

このカテゴリーは、モバイル・オペレーティング・システムを対象とし、開発者のオプションと設定、OSのプライバシー設定、ブラウザーの設定、アプリの権限などの領域に焦点を当てます。

このカテゴリーでは、Cisco社、Palo Alto Networks社、Juniper社などのネットワーク・デバイスおよび該当ハードウェアに関する一般的なセキュリティ構成ガイドラインとベンダー固有のセキュリティ構成ガイドラインを提供します。

このカテゴリーでは、Microsoft OfficeやExchange Server、Google Chrome、Mozilla Firefox、Safariブラウザなど、最も一般的に使用されるデスクトップ・ソフトウェア・アプリケーションのセキュリティー設定を網羅します。これらのベンチマークは、Eメールのプライバシーとサーバー設定、モバイル・デバイス管理、デフォルトのブラウザー設定、サードパーティ・ソフトウェアのブロックに重点を置いています。

このカテゴリでは、オフィス環境で多機能プリンターを設定するためのセキュリティーのベスト・プラクティスについて概説します。ファームウェアの更新、TCP/IP設定、ワイヤレス・アクセス設定、ユーザー管理、ファイル共有などをカバーしています。

このカテゴリはサプライチェーンを網羅し、DevSecOpsパイプラインをセキュリティ確保します。初期設計から統合、テスト、デリバリー、デプロイメントに至るまで、ソフトウェア開発ライフサイクル全体にわたるセキュリティ管理のベスト・プラクティスを提供します。

長年にわたり、CISはCISベンチマークをサポートする他の無料ツールと有料ソリューションを作成および配布してきました。これらのリソースは、組織がサイバーセキュリティーの準備をさらに強化するのに役立ちます。

以前はSANS Critical Security Controls（SANS Top 20 Controls）として知られていたCIS Critical Security Controls（CSC）は、効果的なサイバー防御のための18の保護手段と対策に関する包括的なガイドです。CIS Controlsとも呼ばれるこれらは無料で使用でき、組織が実装してサイバー攻撃の対象範囲を大幅に削減できる優先順位付けされたチェックリストを提供します。

CISベンチマークは、より安全なシステム構成の推奨事項に言及する際に、これらのサイバーセキュリティーのベスト・プラクティスを参照しています。

CISはまた、事前構成されたHardened Imagesも提供するため、企業は追加のハードウェアやソフトウェアに投資することなく、コスト効率よくオペレーションを実行できます。強化されたイメージは標準の仮想イメージよりもはるかに安全で、サイバー攻撃につながる可能性のあるセキュリティー上の脆弱性を大幅に制限できます。

CIS Hardended Imageは、CIS BenchmarksおよびCIS Controlsに準拠して設計および構成されており、さまざまな規制コンプライアンス組織に全面的に準拠していると認められています。CIS Hardened Imagesは、ほぼすべての主要なクラウド・コンピューティング・プラットフォームで利用でき、デプロイおよび管理が簡単です。

CIS SecureSuiteメンバーシップ・プログラムは、組織にサイバーセキュリティーのツールとリソースを提供します。米国のSLTT（州、地方、部族、地域）官公庁・自治体および教育機関はメンバーシップが無料ですが、海外の商用ユーザーおよび官公庁・自治体の支払いオプションは異なります。

CIS WorkBenchは、CIS ControlsとCIS Benchmarks Communitiesを統合する集中プラットフォームであり、CISベンチマークの継続的な開発のためのコラボレーションを可能にします。

CIS SecureSuiteメンバーが利用できるCIS SecureSuite Build Kitは、セキュリティのオートメーションとシステムの修復をCISベンチマークに提供するリソースで構成されています。

CIS Configuration Assessment Tool（CAT）は、CISベンチマークに照らし合わせてシステムの構成設定を自動スキャンします。CIS SecureSuiteメンバーが利用できます。

CIS-CAT Liteは、ITシステムを評価するための無料ツールです。CIS-Cat Proと比較して、この制限バージョンでは、より少ないCISベンチマークに対する基本レベルのアセスメントが提供されます。

CISベンチマークは、ガバナンス、リスク、コンプライアンス（GRC）戦略を持つ組織が、業界および政府の規制へのコンプライアンスを維持しながらガバナンスとリスクを管理するのに役立ちます。

CISベンチマークは、セキュリティおよびデータ・プライバシー規制フレームワークに密接に沿っている、または「マッピング」されています。その結果、この種の規制によって管理される業種・業務で活動する組織は、CISベンチマークを遵守することでコンプライアンスに向けて大きな成果を遂げることができます。そのような規制機関には以下が含まれます。

• 米国国立標準技術研究所（NIST）サイバーセキュリティーフレームワークは、民間企業がサイバーセキュリティー・リスク管理と情報セキュリティ（InfoSec）を改善するために従うことができる包括的なガイダンスとベスト・プラクティスを提供します。

• ペイメントカード業界データ・セキュリティー基準（PCI DSS）は、カード保有者のデータ（カード保有者のプライマリー・アカウント番号（PAN）、氏名、有効期限、サービス・コード）およびその他のカード保有者の機微情報をライフサイクル全体にわたって保護するための一連のセキュリティー要件です。

• 医療保険の相互運用性と説明責任に関する法律（HIPAA）は、保護された医療情報（PHI）の使用、開示、安全なストレージの要件を定めています。

• ISO/IEC 27001は、ISO 27001とも呼ばれ、国際標準化組織（ISO）と国際電気標準会議（IEC）が共同で開発した、世界的に認められた主要な情報セキュリティ標準です。機密情報資産の管理と保護のための、体系的で構造化されたリスク・ベースのアプローチを提供します。

• 一般データ保護規則（GDPR）は、EU内外の組織によるEU居住者の個人データの取り扱い方法を規定する欧州連合（EU）法です。

企業はセキュリティー構成について常に独自の選択を行うことができますが、CISベンチマークには次のようなベンチマークがあります。

• 業界で認められた標準： ITとサイバーセキュリティーの専門家の世界的なコミュニティーによって開発されたCISベンチマークは、企業がサイバーセキュリティーに対する強力な取り組みを確立し、顧客と利害関係者の信頼を高めるのに役立ちます。

• 定期的に更新されるガイダンス：CISベンチマークは組織がITインフラストラクチャーのあらゆる側面を保護できるように、定期的に更新されるステップ・バイ・ステップのガイダンスを提供します。たとえば、Windowsに関連するCISベンチマークは、リリースから90日以内に最新バージョンに定期的に更新されます。また、CIS Hardended Imageは毎月更新され、最新のセキュリティーのベスト・プラクティスで常に最新の状態に保たれています。

• ガバナンス、リスク、コンプライアンス（GRC）のサポート：CISベンチマークは、組織が業種・業務や官公庁・自治体の規制へのコンプライアンスを維持しながら、ガバナンスとリスクを管理するための組織戦略であるガバナンス、リスク、コンプライアンス（GRC）への取り組みを支援するフレームワークを提供しています。

• カスタマイズ：CISベンチマークは、新しいクラウド・サービスとワークロードを安全に採用し、デジタル・トランスフォーメーションを実行するための柔軟なテンプレートを提供します。たとえば、CIS SecureSuiteのメンバーは、特定のビジネスおよびテクノロジーの要件に合わせて、CIS WorkBenchプラットフォーム内でCISベンチマークを調整できます。

• 柔軟性：CISベンチマークは、ファイアウォール、ルーター、サーバーなどのセキュリティ設定の基本的な推奨事項を提供します。また、システムとデバイスのセットアップと管理に役立つベンダー固有のガイドラインも提供しています。中立的な主要な機能とベンダー固有の主要な機能を組み合わせることで、システムが進化するニーズに適応できる柔軟性が実現します。

• 導入の容易さ：DevSecOpsやその他のチームは、運用効率とサステナビリティーを向上させるために、導入が簡単なセキュリティー構成を備えたCISベンチマークを利用しています。