CIS Benchmarksは、ITシステム、ソフトウェア、ネットワーク、およびクラウド・インフラストラクチャーを安全に構成するためのベスト・プラクティスです。

CIS Benchmarksは、Center for Internet Security（CIS）によって発表されました。 この記事の執筆時点では、7つのコア・テクノロジーにわたり、合計140以上のCIS Benchmarksがあります。 CIS Benchmarksは、世界中のサイバーセキュリティーの専門家や、対象分野の専門家のコミュニティーが関与している独自のコンセンサス・ベースのプロセスを介して開発されたものです。各コミュニティーは、それぞれが焦点を当てている分野内でのセキュリティーのベスト・プラクティスを継続的に特定・改良・検証します。

CIS （ibm.com外部へのリンク）は、2000年10月に設立された非営利団体です。 CISは、サイバー防衛のためのベスト・プラクティス・ソリューションを特定・開発・検証・推進・維持するという共通の目標を持つ世界的なITコミュニティーによって運営されています。 長年にわたり、CISは、サイバーセキュリティーへの即応性を強化するために、あらゆる規模の企業向けに設計された、複数の無料ツールとソリューションを生み出し、配信してきました。

CISは、CIS Controls （ibm.com外部へのリンク）をリリースしたことで、一般的によく知られています。これは効果的なサイバー防衛のための20の防衛策や対抗策をまとめた包括的なガイドです。 CIS Controlsは、組織が、サイバー攻撃の対象領域を大幅に削減するために実装できる、優先順位づけされたチェックリストを提供しています。 CIS Benchmarksは、より安全なシステム構成の推奨事項を構築する際に、CIS Controlsを参照します。

各CIS Benchmarksには、2つのプロファイル・レベルのうちのどちらか1つのレベルに基づいた複数の構成の推奨事項が含まれています。 レベル1のベンチマーク・プロファイルは、実装しやすいベース・レベルの構成を対象とし、ビシネスの機能性には最小限の影響しか及ぼしません。 レベル2のベンチマーク・プロファイルは、高度なセキュリティー環境を想定しており、ビジネスの中断を最小限に抑えながら実行するには、より多くの調整と計画が必要となります。

CIS Benchmarksには7つのコア・カテゴリーがあります。

1. オペレーティング・システム ベンチマーク は、  Microsoft Windows、Linux、Apple OSXなどコア・オペレーティング・システムのセキュリティー構成を対象としています。 これらには、ローカル・アクセスやリモート・アクセスの制限、ユーザー・プロファイル、ドライバー・インストール・プロトコル、およびインターネット・ブラウザー構成のためのベスト・プラクティス・ガイドラインが含まれます。
   
   
2. サーバー・ソフトウェア ・ベンチマーク は、 Microsoft Windows Server、SQL Server、VMware、Docker、Kubernetesなど広く使用されているサーバー・ソフトウェアのセキュリティー構成を対象とします。 これらのベンチマークには、 Kubernetes PKI認証、APIサーバー設定、サーバー管理コントロール、xNetworkポリシー、およびストレージの制約を構成するための推奨事項が含まれます。
   
   
3. クラウド・プロバイダー ・ベンチマークは、 Amazon Web Services（AWS）、Microsoft Azure、Google、 IBM、およびその他人気のあるパブリッククラウドのセキュリティー構成 を対象としています。 これらには、ID管理とアクセス管理（IAM）、システム・ロギング・プロトコル、ネットワーク構成、および定期的なコンプライアンス対策を構成するためのガイドラインが含まれます。
   
   
4. モバイル・デバイス ・ベンチマーク はiOSやAndroidなどのモバイル・オペレーティング・システムを対象とし、開発者オプションや設定、OSプライバシー構成、ブラウザー構成、およびアプリの権限といった分野に焦点を当てています。
   
   
5. ネットワーク・デバイス ・ベンチマーク は、Cisco社、Palo Alto Networks社、Juniper社などのネットワーク・デバイスおよびアプリケーション・ハードウェア 向けの一般的なベンダー固有のセキュリティー設定ガイドラインを提供します。
   
   
6. デスクトップ・ソフトウェア ベンチマーク はMicrosoft OfficeとExchange Server、Google Chrome、Mozilla Firefox、およびSafari Browserなど、最も一般的に使用されるデスクトップ・ソフトウェア・アプリケーションの一部の セキュリティー構成 を対象としています。 これらのベンチマークは、Eメールのプライバシーやサーバー設定、モバイル・デバイス管理、デフォルトのブラウザー設定、およびサード・パーティーのソフトウェア・ブロッキングに焦点を当てています。
   
   
7. 多機能プリンター・デバイス ・ベンチマーク は、オフィス設定での多機能プリンターを構成するためのセキュリティーのベスト・プラクティスを 一括表示し、ファームウェア更新、TCP/IP構成、ワイヤレス・アクセス構成、ユーザー管理、およびファイル共有のようなトピックを対象としています。

CISは事前に設定済みのHardened Imagesも提供しています。これにより、企業は、他のハードウェアまたはソフトウェアに投資する必要に迫られず、コスト効率よくコンピューティング・オペレーションを実行できます。 Hardened Imagesは、標準的な仮想イメージよりも非常にセキュアで、サーバー攻撃につながりうるセキュリティーの脆弱性を大幅に制限します。

CIS Hardened Images （ibm.com外部へのリンク）は、CIS BenchmarksとCIS Controlsに準拠して設計・構成されたもので、様々な規制コンプライアンス組織に完全に準拠していると認められています。 CIS Hardened Imagesはほぼすべての主要なクラウド・コンピューティング・プラットフォームで使用でき、容易にデプロイ・管理できます。

CIS Benchmarksは、NIST（アメリカ国立標準技術研究所）サイバーセキュリティー・フレームワーク、PCI DSS (Payment Card Industry Data Security Standard)、HIPAA（医療保険の積算と責任に関する法律）、およびISO/EIC 2700などのセキュリティーおよびデータ・プライバシーの規制フレームワークと密接に連携（またはマップ）しています。 その結果、こうしたタイプの法規制に準拠する業界内の組織運営は、CIS Benchmarksに従うことで、コンプライアンス遵守に向けて大きく前進することができます。 さらに、CIS ControlsとCIS Hardened Imagesは、組織がGDPR（EUの一般データ保護規則）を順守するようにサポートできます。

企業はセキュリティー構成に関して常に自身で自由に選択できますが、CIS Benchmarksは以下を提供しています。

• 世界中のITおよびサイバーセキュリティーの専門家コミュニティーで集められた専門知識
  
  
• ITインフラストラクチャーのすべての分野を保護するための定期的に更新される段階的なガイダンス
  
  
• コンプライアンス管理の一貫性
  
  
• 安全に新しいクラウド・サービスを採用し、デジタル・トランスフォーメーション戦略を実行するための柔軟なテンプレート
  
  
• 高い運用効率とサステナビリティーを得るために導入が容易な構成。