サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

CISベンチマーク

CISベンチマーク
目次
  • CISベンチマークとは
  • CISベンチマークに含まれている内容

CISベンチマークとは

現代のインターネットセキュリティについて調べてみると、「CISベンチマーク」という用語に行き当たることがあるでしょう。さて、これはなんでしょうか。

「CIS」は「Center of Internet Security」という、世界中のセキュリティ専門家が集まってインターネットセキュリティに関する標準化を行う国際的な非営利法人です。

そして「ベンチマーク」ですが、ITの用語では性能測定の意味で使われることが多いですが、英語の意味としては「基準・標準」といった意味です。

CISの文脈においては、「CISが定めた、特定のインターネット上の情報資産がセキュアであるかどうかを評価するための一定の基準」とでも読み解くことができるでしょう。

CISベンチマークに含まれている内容

CISベンチマークに含まれている内容は以下の通りです。

  • 特定の項目(着目点)
  • あるべき設定
  • 設定の調べ方
  • その設定が満たされていなかった場合の脅威・リスク
  • 設定の実施方法

単純化して例を挙げれば、クラウドプロバイダーのAWSに関しては、

  • S3のバケット設定において
  • デフォルトでパブリック設定になっていないこと
  • AWSのコンソールからS3を開いて設定を確認
  • 設定を失敗した場合、S3バケットの内容が誤って公開されることがある
  • AWSのコンソールからS3を開いて以下の設定を行う(略)

といった内容が羅列されていますし、Windowsの場合は、

  • Windows Firewallにおいて
  • インバウンド通信へのFirewallが有効になっていること
  • GPOを確認する
  • Windows内部で動いているサービスに外部から不正なアクセスがある
  • GPOにて以下の設定を行う(略)

といった内容になります。

このようにCISベンチマークは、さまざまな製品やサービスといった情報資産をセキュアに設定、利用を行うための指針が、どのようにチェックして対策すべきかも含めて示されており、これらに従うことで安心安全に情報資産を利用できるというわけです。

また、CISベンチマークは単なるチェックシートとしてではなく、さまざまなセキュリティ製品やサービスが、情報資産がCISベンチマークに適合しているかを調べる機能を有しています。

こういった製品やサービスをうまく使いこなすことで、煩雑なチェック作業をアウトソースして安心安全を担保できます。例えばSHIFT SECURITYのクラウド診断は、三大クラウドプロバイダーであるAWS、Microsoft Azure、GCPそれぞれについてCISベンチマークとの適合をチェックしています。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

著者 おがさわらなるひこ

2015年より株式会社SHIFTにてソフトウェアテスト自動化の顧客導入支援・プラットフォーム開発に従事。加えてSHIFT SECURITY設立に兼務で参画し、初期の標準化や教育などを担当。2019年に同社専任になってからは、開発者向けのソフトウェアセキュリティサービス、スマートフォンアプリ診断手法および社内ツール開発などを主な業務とする。 個人としては主にデスクトップ領域のオープンソースソフトウェアの愛好家であり、翻訳やバグ報告、雑誌やWeb媒体への執筆、イベントへの登壇なども行う。隠れた趣味はリバーカヤック。

\ 記事をシェアする /

サービスに関する
お問い合わせ