CISベンチマークとは？

CISベンチマークは、特定のテクノロジーを対象とした、綿密に作成された包括的なセキュリティ設定ガイドラインのセットです。Center for Internet Security (CIS) によって開発されたこれらのベンチマークは、サイバー脅威を防止、検知、および対応する組織の能力を強化するための鍵となります。基本的なサイバーハイジーン対策と組み合わせて使用することで、CISベンチマークは、これらのさまざまなテクノロジーをサイバー脅威から保護するように設計されています。

CISベンチマークは、セキュリティのベストプラクティスを示しています。これには、運用システムからクラウドサービスまで、さまざまなプラットフォームに合わせたアドバイスが含まれています。このガイダンスは、幅広い専門家からの意見に基づき、関連性と実用性を確保しています。また、進化するサイバー脅威に対応するため、定期的に調整も行われています。

CISベンチマークの分類

CISベンチマークは、対象とするテクノロジーの種類に基づいてカテゴリ別に分類されています。この分類により、組織はそれぞれのシステムやプラットフォームに適した関連ベンチマークに焦点を絞ることができます。CISベンチマークのカテゴリは次のとおりです。

• クラウドプロバイダー（AWS、Azure、Google Cloudを含む）
• デスクトップソフトウェア（Microsoft Office、Zoomを含む）
• DevSecOpsツール（GitHubでソフトウェアサプライチェーンのセキュリティをカバー）
• モバイルデバイス（Apple iOSおよびGoogle Androidを搭載）
• 多機能プリントデバイス
• ネットワークデバイス（さまざまなCiscoデバイスおよびJuniper OSを含む）
• オペレーティングシステム（Windows、macOS、Linuxの各種フレーバーを含む）
• サーバーソフトウェア（Apache Tomcat、Docker、MongoDB、NGINXを含む）
• サーバーソフトウェア（Apache Tomcat、Docker、MongoDB、NGINXを含む）

CISコントロールとの統合

CISコントロールは、サイバーセキュリティ防御を強化するために組織が取るべき行動に関する優先順位が付けられたベストプラクティスのセットであり、サイバーセキュリティの向上に向けたより広範なロードマップを提供します。CISベンチマークとCISコントロールは連携して機能し、CISベンチマークは、テクノロジー固有の詳細なガイダンスを提供することにより、CISコントロールの実装をサポートします。

ガイドラインでは、各コントロールについて、コントロールが重大である理由、実装のための手順とツール、および個々の防御アクション（セーフガードと呼ばれます）について説明します。CISコントロールのバージョン8（2021年5月）には、次の18項目のコントロールが含まれています。

1. エンタープライズアセットのインベントリーとコントロール
2. ソフトウェアアセットのインベントリーとコントロール
3. データ保護
4. エンタープライズアセットとソフトウェアの安全な設定
5. アカウント管理
6. アクセス制御管理
7. 継続的な脆弱性管理
8. 監査ログ管理
9. EメールとWebブラウザの保護
10. マルウェア防御
11. データ復旧
12. ネットワークインフラストラクチャ管理
13. ネットワーク監視と防御
14. セキュリティ意識とスキルのトレーニング
15. サービスプロバイダー管理
16. アプリケーションソフトウェアセキュリティ
17. インシデント対応管理
18. ペネトレーションテスト

クラウドセキュリティにおけるCISベンチマークの役割

企業は、CISベンチマークに記載されているガイダンスを実装することで、サイバーセキュリティ対策を強化し、セキュリティのベストプラクティスを念頭に置いてシステムを設定することができます。これにより脆弱性が削減され、データ侵害やサイバー攻撃のリスクが最小化されます。

CISベンチマークは、組織がさまざまな企業コンプライアンス要件を満たす上でも極めて重要です。たとえば、GDPRやHIPAAなどの規制では、厳格なデータ保護対策が義務付けられています。CISベンチマークに準拠することで、組織はこれらの規制に対するコンプライアンスを証明できます。さらに、コンプライアンス評価を自動化することで、組織はイノベーションに集中できます。

サイバーセキュリティにおける最大の課題の1つは、堅牢なセキュリティ対策と運用効率のバランスを取ることです。CISベンチマークは、このバランスを念頭に置いて設計されています。これらは、システムのパフォーマンスやユーザーの生産性に過度の負担をかけない、セキュリティに対する実用的なアプローチを提供します。CISベンチマークに従うことで、組織は運用の効率を損なうことなく、高レベルのセキュリティを維持できます。

全体として、CISベンチマークが組織のセキュリティポスチャに与える影響は甚大です。セキュリティを強化するだけでなく、組織はサイバーセキュリティへの取り組みに関して、利害関係者、顧客、パートナーの信頼を獲得することができます。

CISベンチマークの実装

CISベンチマークを理解したうえでその実装に移行するには、戦略的なアプローチが必要です。以下は、CISベンチマークを組織のサイバーセキュリティ戦略に効果的に統合するのに役立つ具体的な手順です。

1. 現在のシステムを評価する：既存のITインフラストラクチャを評価して、適用可能なCISベンチマークを特定します。
2. ベンチマークの優先順位を付ける：まず、最も重要なシステムに対応するベンチマークに焦点を当てます。
3. 実装計画を作成する：各ベンチマークを実装するための手順、タイムライン、および責任をまとめた詳細な計画を作成します。
4. チームをトレーニングする：実装プロセスをスムーズに完了できるよう、CISベンチマークの重要性についてスタッフを教育します。
5. 段階的に実装し、繰り返す：1つまたは2つのベンチマークを実装するパイロットプログラムから始め、実装を徐々に拡大して他のベンチマークを含めます。
6. 監視して調整する：ベンチマークの実装の有効性を定期的に確認し、必要に応じて調整します。

ツールとリソースは、実装を成功させるうえで重要な役割を果たし、ベンチマークを正しく効率的に適用するのに役立ちます。役に立つツールやリソースには、次のものがあります。

• CIS-CAT Pro：システムをスキャンしてのCISベンチマークへのコンプライアンスを評価する設定評価ツールです。
• 自動設定管理システム：Ansible、Chef、Puppetなどのツールを使用すると、CISベンチマークに準拠した一貫したアプリケーションのためのセキュリティ設定を自動化および体系化できます。
• SIEM（セキュリティ情報およびイベント管理）ツール：これらのツールは、継続的モニタリングおよびレポートを提供します。

成功の鍵となるのは、実装上の課題を認識して対処することです。一般的な課題（およびそれらを克服する方法）には、次のものがあります。

• リソースの制約：リソースが限られている場合は、セキュリティ上の最も大きな利点を提供するベンチマークを優先します。
• 変更に対する抵抗：スタッフのトレーニング時にCISベンチマークの利点を強調し、計画プロセスにステークホルダーを関与させます。
• 多様な環境での複雑さ：複雑な環境に対しては、段階的な実装を検討し、必要に応じて専門家のアドバイスを求めます。

クラウドストライクが組織によるCISベンチマークの達成を可能にする方法

これまで見てきたように、CISベンチマークは、サイバーセキュリティの強化に向けて組織を導くうえで重要な役割を果たしています。CISベンチマークは、ITシステムのセキュリティ保護、規制標準へのコンプライアンスの確保、セキュリティと運用効率のバランスの維持のための体系的なアプローチを提供します。クラウドストライクはCISと提携し、CrowdStrike Falcon®プラットフォームを使用して、CISが管理するエンドポイントを保護し、全米の州、地方、部族、準州 (SLTT) 政府、K-12公立学校、公立病院が、コストを削減しながらサイバーセキュリティ保護の向上を享受できるようにしています。

Falconプラットフォームは、現代の企業がCISベンチマークに準拠するのに役立つ主要なツールを提供します。このプラットフォームは、不正アクセス、悪意のあるコードの実行、ラテラルムーブメント、データの流出など、最新のサイバー脅威を防止、検知、修復するために不可欠です。

CrowdStrike Falcon® Cloud SecurityのCSPM（クラウドセキュリティポスチャ管理）を使用すると、組織は、クラウド環境を監視および保護するための高度な機能にアクセスして、コンプライアンスを強化し、統一されたセキュリティポスチャを維持できます。