NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、社長:小田島 潤、以下「NRIセキュア」)は、「CIS Benchmarks[i]を用いたシステム堅牢化支援サービス(以下「本サービス」)」を本日より提供します。本サービスは、米国において情報セキュリティを推進する非営利団体CISが、情報システムを構成する製品やサービスごとに推奨する設定や手順などを記したガイドライン「CIS Benchmarks」に基づいて、NRIセキュアが個社ごとの情報システムを評価し、改善策を提案するものです。
-
「CIS Benchmarks」が注目される背景
高度化・巧妙化するサイバー攻撃や、普及が進むクラウドサービスにおけるユーザ設定の不備等を原因としたセキュリティインシデント(事故・事案)が増加し続けている昨今、情報システムの脆弱性が発見されるたびに個別に対処するだけではなく、日ごろから情報システム全体を安全に維持管理しておく重要性が高まっています。
情報システムを安全に構築・維持するためのガイドラインとして、米国をはじめ海外で高く評価されているのが、「CIS Benchmarks」です。このガイドラインは、PCやサーバ、ネットワーク機器、モバイル機器、データベース、アプリケーション、クラウドサービスといった製品・サービス[ii]のバージョンごとに、セキュリティレベルを高めるための詳細な設定や手順を推奨策としてまとめており、現在180以上の文書が公開されています。一方で、参照すべき項目数が膨大であることから、自社はどこまで対応すればよいのか、代替となる対策は何なのか、などについて各社で判断することは困難な場合が多いのが実情です。
-
本サービスの概要
NRIセキュアは、CISが策定するサイバー攻撃対策のためのフレームワーク「CIS Controls」[iii]の日本語訳を長年担当し、「CIS SecureSuite Membership」[iv]にも参加しています。本サービスでは、NRIセキュアが実施してきた数多くのコンサルティングの実績とそこで培った経験やノウハウを活かし、「CIS Benchmarks」を自社システムで活用したいと考える企業に対して、各社固有の情報システム環境やセキュリティ対策状況を踏まえ、アセスメントから運用プロセスの整備まで包括的に支援します。
本サービスのおもな提供内容は、以下の2点です。
1.製品・サービスごとにきめ細かなリスク評価を実施
NRIセキュアが独自に作成する「CIS Benchmarks日本語翻訳版チェックシート」をもとに、対象とする情報システムを構成する製品・サービスの安全性やリスクを評価します。抽出された課題に対して、有効な対策を整理し、優先度を定義したうえで、各社に適した改善計画の策定を支援します。
2.情報システムの堅牢化に向けて運用プロセスを整備
システム運用に関する社内ドキュメントの確認や、運用担当者へのヒアリングを行ったうえで、「CIS Benchmarks」に沿った情報システムの堅牢化に向けて、運用プロセスを見直し、必要なマニュアルを整備します。各社の状況や要望に応じて、DevSecOps[v]を考慮した運用プロセスの改善案の提示や、新規にマニュアルを作成することも可能です。
本サービスの詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/cisbenchmarks
NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、グローバルな規模で安全な情報システム環境と社会の実現に貢献していきます。
[i] CIS Benchmarks:
CIS(Center for Internet Security)は、米国国家安全保障局(NSA)、国防情報システム局(DISA)、米国立標準技術研究所(NIST)などの政府機関と、企業、学術機関などが協力して、インターネット・セキュリティ標準化に取り組む目的で2000年に設立された団体です。CIS Benchmarksは、情報システムを安全に構築・維持管理するためのベストプラクティスをまとめたガイドラインのことで、PCやサーバ、ネットワーク機器、モバイル機器、データベース、アプリケーション、クラウドサービス等の製品やサービスに対してバージョンごとに詳細なパラメータまでを定めています。2020年10月現在、180以上の文書が提供されています。詳細は次のWebサイトをご参照ください。https://www.cisecurity.org/cis-benchmarks/
[ii] 製品・サービスの具体例は、文末の「ご参考」を参照ください。
[iii] CIS Controls:
サイバーセキュリティに関する技術分野に焦点を当て、現在発生しているサイバー攻撃や近い将来に発生が予測される攻撃の傾向を踏まえ、多岐にわたる対策の中から、自社(組織)が実施すべき対策と、その優先順位を導くためのアプローチを提示したフレームワークです。米国国家安全保障局(NSA)等の米国の公的機関や情報セキュリティ専門企業等が共同で研究し、米国のセキュリティ専門団体であるSANS Instituteが取りまとめたもので、現在はCISが改訂・管理しています。詳細は次のWebサイトをご参照ください。https://www.nri-secure.co.jp/service/consulting/ciscontrols
[iv] CIS SecureSuite Membership:
CISのプロダクトの利用やCIS Benchmarks等の最新情報の取得、CISのスタッフや開発者との連携等が可能となる仕組みです。CIS SecureSuite Membershipを契約することで、CISから提供されるプロダクトや情報をコンサルティングサービスに活用することが可能になります。
[v] DevSecOps:
システム開発(Development)と運用(Operation)を密接に連携させ、迅速かつ頻繁にソフトウェアを開発する手法「DevOps」に、セキュリティを担保する取り組みも一体化させ、開発工程の自動化を図ることです。
ご参考
-
CIS Benchmarksがカバーしている製品・サービスの例
カテゴリ |
対象の製品・サービス(例) |
PC |
Windows XP/7/8/10 |
サーバ |
Windows Server 2008/2012/2016/2019, Red Hat Enterprise Linux, CentOS, Debian, Ubuntu, Amazon Linux |
ネットワーク機器 |
Cisco IOS, Palo Alto Networks, Juniper |
モバイル機器 |
Apple iOS, Google Android |
データベース |
MySQL, PostgreSQL, Oracle Database, IBM Db2, MongoDB |
アプリケーション |
Microsoft 365, Internet Explorer, Tomcat |
クラウドサービス |
AWS, Azure, GCP |
※上記製品・サービス名称は各企業・団体の商標または登録商標です。
ニュースに関するお問い合わせ
NRIセキュアテクノロジーズ株式会社 広報担当
E-mail:info@nri-secure.co.jp