クラウドセキュリティの
学び場

SHIFT SECURITY セキュリティの学び場用語・国際規格 CISベンチマーク

CISベンチマーク

2022.09.01 用語・国際規格

CISベンチマークとは
CISベンチマークに含まれている内容

CISベンチマークとは

現代のインターネットセキュリティについて調べてみると、「CISベンチマーク」という用語に行き当たることがあるでしょう。さて、これはなんでしょうか。

「CIS」は「Center of Internet Security」という、世界中のセキュリティ専門家が集まってインターネットセキュリティに関する標準化を行う国際的な非営利法人です。

そして「ベンチマーク」ですが、ITの用語では性能測定の意味で使われることが多いですが、英語の意味としては「基準・標準」といった意味です。

CISの文脈においては、「CISが定めた、特定のインターネット上の情報資産がセキュアであるかどうかを評価するための一定の基準」とでも読み解くことができるでしょう。

CISベンチマークに含まれている内容

CISベンチマークに含まれている内容は以下の通りです。

特定の項目（着目点）
あるべき設定
設定の調べ方
その設定が満たされていなかった場合の脅威・リスク
設定の実施方法

単純化して例を挙げれば、クラウドプロバイダーのAWSに関しては、

S3のバケット設定において
デフォルトでパブリック設定になっていないこと
AWSのコンソールからS3を開いて設定を確認
設定を失敗した場合、S3バケットの内容が誤って公開されることがある
AWSのコンソールからS3を開いて以下の設定を行う（略）

といった内容が羅列されていますし、Windowsの場合は、

Windows Firewallにおいて
インバウンド通信へのFirewallが有効になっていること
GPOを確認する
Windows内部で動いているサービスに外部から不正なアクセスがある
GPOにて以下の設定を行う（略）

といった内容になります。

このようにCISベンチマークは、さまざまな製品やサービスといった情報資産をセキュアに設定、利用を行うための指針が、どのようにチェックして対策すべきかも含めて示されており、これらに従うことで安心安全に情報資産を利用できるというわけです。

また、CISベンチマークは単なるチェックシートとしてではなく、さまざまなセキュリティ製品やサービスが、情報資産がCISベンチマークに適合しているかを調べる機能を有しています。

こういった製品やサービスをうまく使いこなすことで、煩雑なチェック作業をアウトソースして安心安全を担保できます。例えばSHIFT SECURITYのクラウド診断は、三大クラウドプロバイダーであるAWS、Microsoft Azure、GCPそれぞれについてCISベンチマークとの適合をチェックしています。

あなたの疑問を一緒に解決します！

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します！
ぜひご気軽にご投稿ください。

お問い合わせ

クラウドの脆弱性診断にご興味があるかたはこちら

お問い合わせ

著者おがさわらなるひこ

2015年より株式会社SHIFTにてソフトウェアテスト自動化の顧客導入支援・プラットフォーム開発に従事。加えてSHIFT SECURITY設立に兼務で参画し、初期の標準化や教育などを担当。2019年に同社専任になってからは、開発者向けのソフトウェアセキュリティサービス、スマートフォンアプリ診断手法および社内ツール開発などを主な業務とする。個人としては主にデスクトップ領域のオープンソースソフトウェアの愛好家であり、翻訳やバグ報告、雑誌やWeb媒体への執筆、イベントへの登壇なども行う。隠れた趣味はリバーカヤック。