Written by 前田 誉彦
2022年、エムオーテックス入社。
セキュリティエンジニアとして日々セキュリティ運用として監視・分析に従事。
お客様に合ったセキュリティ構成の検討、サイバー攻撃情勢の情報収集や発信などの業務を行っています。
中小企業の情シス1,000人に聞いた
「クラウドサービスのセキュリティ対策」実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
1.CISベンチマークとは?
CISベンチマークとは、CIS(Center for Internet Security)が作成しているセキュリティに関連する推奨させる設定などを定義したベストプラクティス集です。
CISは、セキュリティに関連する情報を共有するコミュニティを持つ非営利団体であり、CISベンチマークは、主にクラウドサービスやオペレーティングシステムやアプリケーションなどのコンピュータシステムの推奨設定などを公開しています。
2.CISベンチマークはなぜ必要なのか?
セキュリティの脅威が増加するにつれて、各種システムを保護するためには、クラウドサービスに限らず、OSや各種アプリケーションについても適切な設定が必要です。
推奨設定を公開しているCISベンチマークを基準とすることで、今まで気づいていなかった重要な設定箇所や、設定に関する考え方などを習得することができます。
3.CISベンチマークはどのようにして作られているか
CISはコミュニティを運営しており、コミュニティ内には例えばMicrosoft 365のコミュニティ、AWSのコミュニティ、Amazon Linuxのコミュニティ、Apache HTTP Serverのコミュニティなど、様々な製品・サービスのコミュニティが存在します。
それぞれのコミュニティで、セキュリティの専門家やセキュリティベンダー、情報システム管理者達により、活発に議論が繰り広げられています。
これらのコミュニティで作成されたベンチマークが、v.1.0.0としてリリースされ、製品・サービスのアップデートに伴いベンチマークのバージョンもアップデートされていきます。
CIS ベンチマークの記載項目と内容について
4.CISベンチマークを利用するメリット
CISベンチマークを利用することで、各種システムのセキュリティを確保できます。
また、CISベンチマークを自組織の設定の基準とすることもできます。
CISベンチマークの各項目を確認し、実際の設定と比較することで、必要に応じて設定を調整し、脆弱な設定となっている箇所をつぶしていく事ができます。
内容によっては、自社の運用ではリスクを受け入れるという判断をする場面もあるかもしれません。
CISベンチマークには影響範囲なども記載されているものもあるため、記載されている情報を活用することで、自組織でどう設定すべきかという判断をするための材料とすることができます。
5.CISベンチマークを利用する際に気をつけなければならない点
CISベンチマークはあくまでベストプラクティス集としての位置付けとなります。
そのため、CISベンチマークがすべての状況に適用できるわけではなく、すべての状況に対して適切な設定という訳ではありません。
そのため、自組織に必要な設定かどうか、状況に応じて適切に判断する必要があります。さらに、CISベンチマークは、全てのセキュリティに関する部分をカバーしている訳ではないため、脆弱性を完全に排除できるものではありません。
可能であれば、ベンダーやメーカーのホームページなど、その他必要なセキュリティに関する情報も収集した方が良いです。
— まとめ —
CISベンチマークは、セキュリティに関連するベストプラクティスを定義されているため、このベンチマークに従うことで、各種システムのセキュリティを向上させることができます。
しかし、CISベンチマークは自組織のすべての状況に対して適切な設定ではない場合もあるため、組織の状況に応じて適切に判断し、適切な設定を行う必要があります。
このように、CISベンチマークを適切に利用することで、セキュリティに関するリスクを低く抑えることができます。
エムオーテックスでは、CISベンチマークの項目をベースとした、クラウドサービスの設定診断を提供しています。サービスの詳細はこちら!
中小企業の情シス1,000人に聞いた
「クラウドサービスのセキュリティ対策」実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
