クラウドセキュリティの
学び場

CISベンチマークとは

現代のインターネットセキュリティについて調べてみると、「CISベンチマーク」という用語に行き当たることがあるでしょう。さて、これはなんでしょうか。

「CIS」は「Center of Internet Security」という、世界中のセキュリティ専門家が集まってインターネットセキュリティに関する標準化を行う国際的な非営利法人です。

そして「ベンチマーク」ですが、ITの用語では性能測定の意味で使われることが多いですが、英語の意味としては「基準・標準」といった意味です。

CISの文脈においては、「CISが定めた、特定のインターネット上の情報資産がセキュアであるかどうかを評価するための一定の基準」とでも読み解くことができるでしょう。

CISベンチマークに含まれている内容

CISベンチマークに含まれている内容は以下の通りです。

• 特定の項目（着目点）
• あるべき設定
• 設定の調べ方
• その設定が満たされていなかった場合の脅威・リスク
• 設定の実施方法

単純化して例を挙げれば、クラウドプロバイダーのAWSに関しては、

• S3のバケット設定において
• デフォルトでパブリック設定になっていないこと
• AWSのコンソールからS3を開いて設定を確認
• 設定を失敗した場合、S3バケットの内容が誤って公開されることがある
• AWSのコンソールからS3を開いて以下の設定を行う（略）

といった内容が羅列されていますし、Windowsの場合は、

• Windows Firewallにおいて
• インバウンド通信へのFirewallが有効になっていること
• GPOを確認する
• Windows内部で動いているサービスに外部から不正なアクセスがある
• GPOにて以下の設定を行う（略）

といった内容になります。

このようにCISベンチマークは、さまざまな製品やサービスといった情報資産をセキュアに設定、利用を行うための指針が、どのようにチェックして対策すべきかも含めて示されており、これらに従うことで安心安全に情報資産を利用できるというわけです。

また、CISベンチマークは単なるチェックシートとしてではなく、さまざまなセキュリティ製品やサービスが、情報資産がCISベンチマークに適合しているかを調べる機能を有しています。

こういった製品やサービスをうまく使いこなすことで、煩雑なチェック作業をアウトソースして安心安全を担保できます。例えばSHIFT SECURITYのクラウド診断は、三大クラウドプロバイダーであるAWS、Microsoft Azure、GCPそれぞれについてCISベンチマークとの適合をチェックしています。