CISベンチマーク しーあいえすべんちまーく
簡単に言うとこんな感じ!
「サーバーやクラウドを安全に使うための設定チェックリスト」だよ!世界中のセキュリティ専門家が集まって「これだけはやっておけ!」ってまとめた公式ガイドラインなんだ。「うちのシステム、ちゃんと設定できてる?」を確認するモノサシってこと!
CISベンチマークとは
CIS(Center for Internet Security)ベンチマークとは、米国の非営利団体CISが策定した、OSやクラウド・ミドルウェアなどのセキュリティ設定基準のことです。「何をどう設定すれば安全か」を具体的な手順レベルで定義しており、世界中の企業・政府機関のセキュリティ担当者が参考にしています。
たとえばWindowsサーバーを立ち上げるとき、「パスワードの最低文字数は何文字にすべきか」「不要なサービスは何を止めるべきか」といった設定項目が数百個あります。CISベンチマークはそれらに対して「推奨値」と「理由」をセットで示してくれます。いわばセキュリティのお手本設定集です。
ベンチマークはAWS・Azure・GCPなどのクラウド環境、Linux・Windows・macOSなどのOS、Docker・Kubernetesなどのコンテナ技術など、100種類以上の技術領域をカバーしており、無償で公開されています。システムを発注・調達する側のビジネスパーソンにとっても、「CISベンチマーク準拠」を要件に含めるだけで、セキュリティ品質を客観的に担保できる強力な武器になります。
CISベンチマークの構造と中身
CISベンチマークは2つのレベル(プロファイル)に分かれており、リスクと運用負荷のバランスで選べるようになっています。
| プロファイル | 概要 | 対象 |
|---|---|---|
| Level 1 | 業務への影響を最小限に抑えた基本的な推奨設定。ほぼすべての環境で適用可能 | 一般企業全般 |
| Level 2 | より厳格な設定。一部の機能制限を伴うが、高いセキュリティが必要な環境向け | 金融・医療・政府機関など |
各推奨項目には以下の情報が含まれています。
| 項目 | 内容例 |
|---|---|
| 推奨設定値 | パスワード最低長:14文字以上 |
| 設定根拠 | なぜその値が必要か(攻撃手法との関係) |
| 監査手順 | 現在の設定値を確認するコマンド・手順 |
| 修正手順 | 推奨値に変更するための具体的な操作手順 |
| 影響 | 設定変更によって生じる可能性のある副作用 |
「ハードニング」との関係
CISベンチマークに沿って設定を締め固める作業をハードニング(Hardening)と呼びます。直訳すると「硬化」。デフォルト設定のまま使うのは玄関に鍵をかけないようなもの——ハードニングは「鍵をかけてチェーンもかけて防犯カメラも付ける」行為です。
対応製品・環境の種類
【OS系】
Windows Server / Windows Desktop
Ubuntu / RHEL / CentOS / Amazon Linux
【クラウド系】
AWS Foundations / Azure / GCP / Oracle Cloud
【コンテナ系】
Docker / Kubernetes
【ミドルウェア系】
Apache / Nginx / MySQL / PostgreSQL
【ネットワーク機器】
Cisco IOS / Palo Alto / Check Point歴史と背景
- 2000年 — CIS(Center for Internet Security)が米国で設立。政府・企業・学術機関が共同でセキュリティ基準を作るという珍しい形態の非営利団体
- 2003年頃 — 最初のベンチマーク群を公開。当初はWindowsやSolarisなどが対象
- 2009年 — CIS Controls(旧称SANS Top 20)と統合し、設定基準(ベンチマーク)と管理策(コントロール)の両輪体制が確立
- 2013年 — AWSベンチマークを公開。クラウド時代への対応が始まる
- 2018年 — CIS Controls v7 リリース。クラウド・モバイル・IoTを強く意識した内容に改訂
- 2021年 — CIS Controls v8 リリース。テレワーク・ゼロトラスト時代に対応
- 現在 — AWS・Azure・GCPの各サービスに対応したベンチマークが毎年更新されており、SOC2・PCI DSS・ISOなどの準拠にも活用される事実上の世界標準
他のセキュリティフレームワークとの関係
CISベンチマークは単独で使うものではなく、他のフレームワークや規格と組み合わせて使われます。
| フレームワーク | 役割 | CISベンチマークとの関係 |
|---|---|---|
| NIST CSF | リスク管理の全体的な枠組み | ベンチマークの設定項目がNISTの管理策にマッピング済み |
| ISO 27001 | 情報セキュリティ管理体制の認証 | ベンチマーク準拠がISO要件の技術的証拠になる |
| PCI DSS | クレジットカード情報の保護規格 | Level 2ベンチマークがPCI要件と高い親和性 |
| SOC 2 | クラウドサービスの信頼性監査 | ベンチマーク準拠が監査証拠として活用される |
| CIS Controls | CISが定める管理策の親フレームワーク | ベンチマークはControls実装の具体的手順 |
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| NIST SP 800-53 | 米国政府向けセキュリティ管理策。CISベンチマークの各項目がこの規格にマッピングされている |
| ISO/IEC 27001 | 情報セキュリティ管理システム(ISMS)の国際規格。CISベンチマーク準拠が技術的根拠になる |
| CIS Controls v8 | CISが定める18の管理策群。ベンチマークの親フレームワーク |
関連用語
- ./471-zero-trust.md — ゼロトラスト:「何も信頼しない」前提でアクセス制御するセキュリティモデル
- ./472-soc2.md — SOC 2:クラウドサービスの信頼性を第三者が監査する報告制度
- ./473-nist-csf.md — NIST CSF:米国NISTが策定したサイバーセキュリティリスク管理の枠組み
- ./475-iso27001.md — ISO 27001:情報セキュリティ管理体制の国際認証規格
- ./476-penetration-test.md — ペネトレーションテスト:実際に攻撃を試みてシステムの脆弱性を検証する手法
- ./477-vulnerability-scan.md — 脆弱性スキャン:システムのセキュリティ上の弱点を自動で検出するツール・手法
- ./478-hardening.md — ハードニング:OSやミドルウェアの設定を締め固めてセキュリティを高める作業
- ./479-cspm.md — CSPM(クラウドセキュリティ態勢管理):クラウド設定の誤りを継続的に検出・修正する仕組み