CIS Benchmarks しーあいえす べんちまーくす
簡単に言うとこんな感じ!
世界中のセキュリティ専門家が「このOSやソフトウェアはこう設定しておけば安全だよ」ってまとめた、公式の”セキュリティ設定チェックリスト”なんだ!「パスワードは最低8文字」「不要なサービスはオフに」みたいな具体的な設定項目が数百個並んでるよ。
CIS Benchmarksとは
CIS Benchmarks(Center for Internet Security Benchmarks)は、非営利団体「CIS(Center for Internet Security)」が公開している、OSやミドルウェア・クラウドサービスなどのセキュリティ設定基準です。Windows・Linux・AWS・Azure・Dockerなど100種類以上の環境に対応した具体的な設定ガイドラインが無償で提供されています。
各ベンチマークには「このレジストリ値を〇〇に設定せよ」「このサービスは無効化せよ」といった具体的かつ測定可能な設定項目が列挙されており、設定が準拠しているかどうかを自動スキャンツールで確認することもできます。こうした設定強化のことをハードニング(Hardening)と呼びます。
政府機関・金融機関・医療機関などのセキュリティ要件が厳しい現場だけでなく、一般企業のシステム調達・構築時にも「CIS Benchmarksに準拠した構成で納品すること」と要件定義に盛り込まれるケースが増えています。システムを発注する立場でも、この言葉が出てきたらセキュリティ設定の品質基準として意識しておくと安心です。
CIS Benchmarksの構造と設定レベル
CIS Benchmarksの設定項目はすべて2つのプロファイルに分類されています。システムの用途やリスク許容度に応じて選択します。
| プロファイル | 通称 | 概要 |
|---|---|---|
| Level 1 | 基本設定 | 業務への影響が少なく、ほぼすべての環境で適用可能な最低限の設定。まずここから始める |
| Level 2 | 高セキュリティ設定 | より厳格な設定。機能制限が増える場合があるため、機密性が特に高い環境向け |
各設定項目には以下の情報が付属しています。
- 説明(Description) — 何のための設定か
- 根拠(Rationale) — なぜこの設定が必要か
- 影響(Impact) — 設定変更による業務への影響
- 監査手順(Audit) — 設定されているかを確認する方法
- 修正手順(Remediation) — 設定を変更する具体的な手順
- CIS Controls対応(References) — より上位の統制フレームワークとの対応
覚え方
「L1=とりあえず全員、L2=機密データを扱う人」と覚えると実務で迷いません。
対応している主なプラットフォーム例
| カテゴリ | 例 |
|---|---|
| OS(Windows) | Windows Server 2019/2022、Windows 10/11 |
| OS(Linux) | Ubuntu、RHEL、CentOS、Debian |
| クラウド | AWS Foundations、Azure、Google Cloud |
| コンテナ | Docker、Kubernetes |
| ミドルウェア | Apache、nginx、MySQL、PostgreSQL |
| ネットワーク機器 | Cisco IOS、Palo Alto |
歴史と背景
- 2000年 — CIS(Center for Internet Security)が米国で設立。政府・民間・学術機関が連携するセキュリティ非営利団体
- 2000年代前半 — 「The CIS Security Benchmarks」として最初のガイドラインを公開。当初はWindowsとLinuxが中心
- 2008年 — CIS Controls(旧称: SANS Critical Security Controls)が公開され、ベンチマークと統制フレームワークが体系化
- 2013年 — クラウド環境向けベンチマークの整備が加速。AWSベンチマークが登場
- 2017年 — CIS Controls v7が公開。ベンチマークとの対応関係が明確化される
- 2021年 — CIS Controls v8が公開。クラウド・リモートワーク時代に合わせて再編
- 現在 — 対応プラットフォームは100種類以上。PCI DSS・HIPAA・ISO 27001などのコンプライアンス要件との対応マッピングも提供され、グローバルで標準的な設定基準として定着
CIS Benchmarksと関連フレームワークの位置づけ
CIS Benchmarksは単独で使うのではなく、他のセキュリティフレームワークと組み合わせて活用します。
CIS Controls との違い
| 項目 | CIS Controls | CIS Benchmarks |
|---|---|---|
| 粒度 | 組織全体の統制方針(18項目) | システム個別の具体的設定値 |
| 対象読者 | CISO・セキュリティ担当責任者 | インフラエンジニア・ベンダー |
| 用途 | セキュリティ戦略の策定 | サーバー・端末の設定確認 |
| 具体性 | 抽象的(「アクセス制御を行う」) | 具体的(「レジストリ値をXXXに設定」) |
主要コンプライアンスとの対応
CISはベンチマークと以下の規制・規格とのマッピング表を公式提供しています。
| コンプライアンス規格 | CIS Benchmarksとの関係 |
|---|---|
| PCI DSS | CIS L1準拠でPCI DSS要件を多くカバー |
| HIPAA | 医療データ保護要件との対応マッピングあり |
| ISO/IEC 27001 | 付属書Aの技術管理策との対応あり |
| NIST SP 800-53 | 連邦政府向け統制との対応マッピングあり |
関連する規格・RFC
| 規格番号 | 内容 |
|---|---|
| NIST SP 800-70 | National Checklist Program(政府機関向け設定チェックリストプログラム。CIS BenchmarksはNCPの参照先として登録されている) |
| ISO/IEC 27002:2022 | 情報セキュリティ管理策の実践規範。CIS Benchmarksの設定項目が対応する管理策の根拠となる |
関連用語
- CIS Controls — CIS Benchmarksの上位にあたる組織全体のセキュリティ統制フレームワーク
- NIST CSF — 米国標準技術研究所が策定したサイバーセキュリティフレームワーク
- PCI DSS — クレジットカード業界のセキュリティ基準。CIS準拠で多くの要件をカバー
- ISO/IEC 27001 — 情報セキュリティマネジメントシステムの国際規格
- ハードニング — 不要機能の無効化や設定強化でシステムを堅牢にする作業
- 脆弱性スキャン — システムの設定不備や既知の脆弱性を自動検出するツール・作業
- SCAP — セキュリティ設定の自動評価を標準化するプロトコル群。CIS-CAT Proが採用
- ゼロトラスト — すべてのアクセスを検証するセキュリティモデル。CIS Benchmarks準拠が前提の一部となる