• 梧桐彰

セキュリティ:CISベンチマーク

最終更新: 2019年3月27日

梧桐はクマですね。


CISベンチマークというものをご存知でしょうか。

日本ではあまり知られていないようなので、ここに備忘がてら書いておこうと思います。



■CISベンチマークはなんのために使うのか


まず、企業のセキュリティが妥当なレベルなのかを懸念する場合、どう対策するかを考えてみます。


一般的には、購入した機器メーカーやソフトウェアベンダーの推奨設定を使用します。


ですが、その設定が非現実的であったり、特殊な事情で推奨を採用できない場合に、どの程度まで逸脱してもいいかはどうやって判断するべきでしょうか。。


SIer(システムインテグレーター)の営業さんが良く来てくれる会社なら、その方に依頼することができます。


ですが、そのSIerが信頼できる水準を理解し、会社の特殊な事情を考慮して設定をしてくれているかは、どうやって判断するべきでしょうか。


パソコンやサーバーやネットワーク機器が適切に設定されているのか。

されていない場合にどう設定するべきなのか。


企業全体のIT機器を包括的に確認するためには特定の基準が必要になります。


CISベンチマークはこういうときに推奨される基準・標準として利用されます。



■CISベンチマークはどういうものか


CIS(Center for Internet Security:国際インターネット・セキュリティ組織)は、以下のサイトに情報を公開しています。英語です。

https://www.cisecurity.org/


英語を読むのは大変なので、簡単に書いておきます。


CISはインターネット・セキュリティ標準化に取り組む団体の名前です。


米国NSA(国家安全保障局)、DISA(国防情報システム局)、NIST(米国立標準技術研究所)などの米国政府機関と、企業、学術機関などの協力により制定されました。


セキュリティ基準や要件のフレームワークはCISベンチマーク以外にもいろいろとあるのですが、その多くはコンプライアンスに関する報告に多くを割いており、サイバー攻撃に対して技術的な対策を簡単に教えてくれるものではありませんでした。


たとえばNISTの推奨勧告を読んでみればわかりますが、その内容は膨大かつ抽象的で、IT担当者がこれからどのような施策を立てるべきかを考えるには妥当ではないわけです。


実際の脅威に関係するITセキュリティの向上をコントロールするための、より具体的な指針がCISベンチマークである、ということになります。


トップから個人情報を入れると以下のようなサイトが出てきてPDFで必要なファイルを得られます。




PDFの表紙と目次の一部を張っときます。これはWindows 10用ですね。



Windowsなら、パスワードの長さをどうしろとかファイアウォールの設定をどうしろとか、そんなことの推奨が載っています。なお、現在のパスワード最小桁数の推奨は14文字ですってよ奥さん。長いネ……



■経験的に役に立つのか?


以前、筆者はCISベンチマークを基準としたコンサルティングサービスを顧客に販売したことがありますが、基本あまり不信感は抱かれません。ただ、知らないとは言われますね。これはPwCなどのコンサルティングファームがISMSやNISTフレームワークを利用しているからのような気がします。経営よりのコンサルとしては会社全体のポリシーを策定支援したいでしょうから、ITに限定したくないというのがあるのでしょう。私はITサービス屋なので、CISが便利だと思っています。


クレジットカード会社が準拠する標準であるPCI-DSSを採用したい場合もCISをたたき台とする企業があるようです。レベル分けしてある基準が書いてあって、対策方法も書いてあるので、ある意味馬鹿正直にやってれば報われるというのが楽ではあります。ただ、日本語がないですが。。。

また、有償ですがツールがあるので、それをパソコンに入れて使って問題を調べることもできます。



定量的にあなたの会社のITセキュリティどうですかっていうのを網羅的に扱えるものは少ないので、CISベンチマークは当面、ITセキュリティ基準としての有効性は保たれそうに思います。



■CISベンチマークのカテゴリ


カテゴリに分かれてまして、以下のような分類です。

IT関係の職業人であれば、OSとかは見慣れたものが多いのでは。


◆Operating Systems

  • Microsoft Windows

  • Microsoft Windows Server

  • Debian Linux

  • Ubuntu Linux

  • Amazon Linux Linux

  • CentOS Linux Linux

  • Oracle Linux Linux

  • Red Hat Linux Linux

  • SUSE Linux Linux

  • Apple OS UNIX

  • IBM AIX UNIX

  • Oracle Solaris UNIX

  • Microsoft Windows Server Microsoft Windows


◆Server Software

  • Microsoft IIS Web Server

  • VMware Virtualization

  • Microsoft SharePoint Collaboration Server

  • MongoDB Database Server

  • IBM DB2 Database Server

  • BIND DNS Server

  • Apache Tomcat Web Server

  • Microsoft SQL Server Database Server

  • NGINX Web Server

  • PostgreSQL Database Server

  • Apache HTTP Server Web Server

  • Docker Virtualization

  • Oracle Database Database Server

  • Kubernetes Virtualization

  • MIT Kerberos Authentication Server

  • Oracle MySQL Database Server


◆Cloud Providers

  • Amazon Web Services

  • Google Cloud Computing Platform

  • Microsoft Azure


◆Mobile Devices

  • Apple iOS

  • Google Android


◆Network Devices

  • Cisco

  • Palo Alto Networks

  • Juniper


◆Desktop Software

  • Microsoft Office Productivity Software

  • Google Chrome Web Browser

  • Microsoft Exchange Server Productivity Software

  • Microsoft Internet Explorer Web Browser

  • Mozilla Firefox Web Browser

  • Safari Browser Web Browser


◆Multi Function Print Devices



こんな感じです。

この職業に従事する人でないとあまり関心は持てない話題かもしれませんが、まあ何かの参考にまで。


梧桐でした。

©2020 Neo Logic Security.