製品やサービスの設定をセキュアに。
サイバー攻撃から情報システムを守る堅牢化支援
「CIS Benchmarksを用いたシステム堅牢化支援サービス」は、情報システムのセキュアな環境を維持(堅牢化)していくことを支援するコンサルティングサービスです。これまで、金融機関や製造業をはじめとする多くの企業に対して提供してきた、CIS Benchmarks関連のコンサルティング実績を活かし、製品・サービスのバージョン毎に適切な設定、セキュアな環境の実現を支援し、サイバー攻撃から情報システムを守ります。
高度化・巧妙化するサイバー攻撃や、普及が進むクラウドサービスにおけるユーザ設定の不備等を原因とした情報漏洩等のセキュリティ事故が増加し続けています。そのため、情報システムの脆弱性が発見されるたびに個別に対処するだけではなく、日ごろから情報システム全体を安全に維持管理しておく重要性が高まっており、以下のような課題を抱える企業が多く見受けられます。
サーバ、ネットワーク機器等の製品/サービスのバージョン毎に、セキュア設定基準を自社で整備するのは困難である
AWSやAzure等のクラウド管理コンソールの設定不備による、セキュリティ事故が世間を騒がせており、自社の設定状況に不備がないか不安である
米国のCIS(Center For Internet Security)が開発した、情報システムを安全に構成するためのベストプラクティスが記載されたガイドラインです。CIS Benchmarksは、PCやサーバ、ネットワーク機器、モバイル機器、データベース、アプリケーション、クラウドサービス等の製品やサービスに対してバージョンごとに詳細なパラメータまで定めており、現在、180以上の文書が提供されています。
※ガイドラインは次のサイトから無料でダウンロードすることができます。
https://www.cisecurity.org/cis-benchmarks/
表1:CIS Benchmarksがカバーしている製品・サービスの例
カテゴリ |
対象の製品・サービス(例) |
PC |
Windows XP/7/8/10 |
サーバ |
Windows Server 2008/2012/2016/2019, Red Hat Enterprise Linux, CentOS, Debian, Ubuntu, Amazon Linux |
ネットワーク機器 |
Cisco IOS, Palo Alto Networks, Juniper |
モバイル機器 |
Apple iOS, Google Android |
データベース |
MySQL, PostgreSQL, Oracle Database, IBM Db2, MongoDB |
アプリケーション |
Microsoft 365, Internet Explorer, Tomcat |
クラウドサービス |
AWS, Azure, GCP |
表2:CIS Benchmarksに記載されている項目とその内容
項目 |
内容 |
推奨事項 |
システムを堅牢化するための具体的な設定内容 |
根拠 |
「推奨事項」を設定すべき理由 |
監査 |
「推奨事項」に従い設定されているか確認する手順 |
修復 |
「推奨事項」を設定するための手順 |
影響 |
「推奨事項」を設定する際に考慮すべき影響 |
デフォルト値 |
「推奨事項」に関連する設定項目のデフォルト値 |
CIS Benchmarksは、米国の信頼できるセキュリティ団体が作成したガイドラインであるため、海外拠点の理解が得られやすく、CIS Benchmarksをもとに策定したサイバー対策指針をグローバル展開する際の親和性が高いという特色があります。実際に国内外のグローバル企業でも多く活用されています。
「CIS Benchmarksを用いたシステム堅牢化支援サービス」では、標準メニューをご用意しています。以下の標準メニューより、必要なメニューを選択いただくことができます。
製品/サービスのバージョン毎のセキュアな設定状況について、他社事例も考慮の上、お客様固有のシステム環境やセキュリティ事情を踏まえたセキュリティアセスメントや、実践的な方針案をご提示することが可能です。
NRIセキュアはCIS SecureSuite Membership契約を締結しており、CIS Benchmarksを活用したコンサルティングサービスが可能です。また、CISの専門スタッフとも密にコミュニケーションを取ることができ、CIS Benchmarksに関する最新情報の入手やCIS Benchmarksに関する不明点等を迅速に解決可能です。
あらゆる分野のプロフェッショナルによる強力なバックアップが可能で、お客様の課題に合わせて最も効果的な体制でご支援します。
お問い合わせください。
その他、サイバー攻撃対策の網羅的な評価をご希望の場合には、以下サービスもご参照ください