CIS(Center for Internet Security)
CISとは
CIS(Center for Internet Security)はアメリカにある非営利団体で、インターネット・セキュリティ標準化に取り組んでいる。
米国国家安全保障局(NSA)、国防情報システム局(DISA)、米国立標準技術研究所(NIST)などの政府機関、企業、学術機関とも連携している。
いろんなものを無償・有償で提供している。
その中核をなすのが、CIS Controls。
CIS Controls
CIS Controlsは、米国立標準技術研究所(NIST)のSP800-53で定義されている事項のサブセットで、「最初に最低限行わなければならない」ことに着眼してシンプルにまとめられたフレームワーク。
2021年5月18日にバージョン8が発表され、18のカテゴリがある。英語版は87ページで、日本語に翻訳されたものもありました。
CIS Controlsについて、こちらの記事が有益でした。
他の規定とのマッピングも考慮されており、それを確認するツールが用意されている。
この辺りの基本的な対策事項は、種類が多すぎて、食傷気味ではあるものの、より具体的にその対策事項を実施する方法が、CIS Benchmarksにまとめられている。
CIS Benchmarks
CIS Benchmarksは、セキュリティ担当者がサイバーセキュリティ防御を実装および管理するのに役立つ、世界的に認められたコンセンサス主導の一連のベストプラクティス。
引用:https://aws.amazon.com/jp/what-is/cis-benchmarks/
製品・サービス固有のセキュリティ設定が具体的に定義されている。
例えば、クラウド事業では、以下のようなBenchmarkが用意されている。
https://www.cisecurity.org/cis-benchmarks/
AWSの詳細を見ていくと、Benchmarksがダウンロードでき、その他にも有益なツールが使用できる。
CIS-CATは、Benchmarksの適用状況を確認できるツール。
CIS Hardened Imageは、Benchmarksに基づいたOSイメージ。
CIS Benchmarksについて、以下の記事が分かりやすかったです。
情報量が多すぎる感はあるものの、ここまで詳細にセキュリティ設定について説明している文書はなかなかない。
設定のチェックするツールまで準備されており、有益だと感じる。