セキュリティ:CISベンチマーク
更新日:2019年3月27日
梧桐はクマですね。
CISベンチマークというものをご存知でしょうか。
日本ではあまり知られていないようなので、ここに備忘がてら書いておこうと思います。
■CISベンチマークはなんのために使うのか
まず、企業のセキュリティが妥当なレベルなのかを懸念する場合、どう対策するかを考えてみます。
一般的には、購入した機器メーカーやソフトウェアベンダーの推奨設定を使用します。
ですが、その設定が非現実的であったり、特殊な事情で推奨を採用できない場合に、どの程度まで逸脱してもいいかはどうやって判断するべきでしょうか。。
SIer(システムインテグレーター)の営業さんが良く来てくれる会社なら、その方に依頼することができます。
ですが、そのSIerが信頼できる水準を理解し、会社の特殊な事情を考慮して設定をしてくれているかは、どうやって判断するべきでしょうか。
パソコンやサーバーやネットワーク機器が適切に設定されているのか。
されていない場合にどう設定するべきなのか。
企業全体のIT機器を包括的に確認するためには特定の基準が必要になります。
CISベンチマークはこういうときに推奨される基準・標準として利用されます。
■CISベンチマークはどういうものか
CIS(Center for Internet Security:国際インターネット・セキュリティ組織)は、以下のサイトに情報を公開しています。英語です。
英語を読むのは大変なので、簡単に書いておきます。
CISはインターネット・セキュリティ標準化に取り組む団体の名前です。
米国NSA(国家安全保障局)、DISA(国防情報システム局)、NIST(米国立標準技術研究所)などの米国政府機関と、企業、学術機関などの協力により制定されました。
セキュリティ基準や要件のフレームワークはCISベンチマーク以外にもいろいろとあるのですが、その多くはコンプライアンスに関する報告に多くを割いており、サイバー攻撃に対して技術的な対策を簡単に教えてくれるものではありませんでした。
たとえばNISTの推奨勧告を読んでみればわかりますが、その内容は膨大かつ抽象的で、IT担当者がこれからどのような施策を立てるべきかを考えるには妥当ではないわけです。
実際の脅威に関係するITセキュリティの向上をコントロールするための、より具体的な指針がCISベンチマークである、ということになります。
トップから個人情報を入れると以下のようなサイトが出てきてPDFで必要なファイルを得られます。
PDFの表紙と目次の一部を張っときます。これはWindows 10用ですね。
Windowsなら、パスワードの長さをどうしろとかファイアウォールの設定をどうしろとか、そんなことの推奨が載っています。なお、現在のパスワード最小桁数の推奨は14文字ですってよ奥さん。長いネ……
■経験的に役に立つのか?
以前、筆者はCISベンチマークを基準としたコンサルティングサービスを顧客に販売したことがありますが、基本あまり不信感は抱かれません。ただ、知らないとは言われますね。これはPwCなどのコンサルティングファームがISMSやNISTフレームワークを利用しているからのような気がします。経営よりのコンサルとしては会社全体のポリシーを策定支援したいでしょうから、ITに限定したくないというのがあるのでしょう。私はITサービス屋なので、CISが便利だと思っています。
クレジットカード会社が準拠する標準であるPCI-DSSを採用したい場合もCISをたたき台とする企業があるようです。レベル分けしてある基準が書いてあって、対策方法も書いてあるので、ある意味馬鹿正直にやってれば報われるというのが楽ではあります。ただ、日本語がないですが。。。
また、有償ですがツールがあるので、それをパソコンに入れて使って問題を調べることもできます。
定量的にあなたの会社のITセキュリティどうですかっていうのを網羅的に扱えるものは少ないので、CISベンチマークは当面、ITセキュリティ基準としての有効性は保たれそうに思います。
■CISベンチマークのカテゴリ
カテゴリに分かれてまして、以下のような分類です。
IT関係の職業人であれば、OSとかは見慣れたものが多いのでは。
◆Operating Systems
Microsoft Windows
Microsoft Windows Server
Debian Linux
Ubuntu Linux
Amazon Linux Linux
CentOS Linux Linux
Oracle Linux Linux
Red Hat Linux Linux
SUSE Linux Linux
Apple OS UNIX
IBM AIX UNIX
Oracle Solaris UNIX
Microsoft Windows Server Microsoft Windows
◆Server Software
Microsoft IIS Web Server
VMware Virtualization
Microsoft SharePoint Collaboration Server
MongoDB Database Server
IBM DB2 Database Server
BIND DNS Server
Apache Tomcat Web Server
Microsoft SQL Server Database Server
NGINX Web Server
PostgreSQL Database Server
Apache HTTP Server Web Server
Docker Virtualization
Oracle Database Database Server
Kubernetes Virtualization
MIT Kerberos Authentication Server
Oracle MySQL Database Server
◆Cloud Providers
Amazon Web Services
Google Cloud Computing Platform
Microsoft Azure
◆Mobile Devices
Apple iOS
Google Android
◆Network Devices
Cisco
Palo Alto Networks
Juniper
◆Desktop Software
Microsoft Office Productivity Software
Google Chrome Web Browser
Microsoft Exchange Server Productivity Software
Microsoft Internet Explorer Web Browser
Mozilla Firefox Web Browser
Safari Browser Web Browser
◆Multi Function Print Devices
こんな感じです。
この職業に従事する人でないとあまり関心は持てない話題かもしれませんが、まあ何かの参考にまで。
梧桐でした。