CIS Benchmarksは、米国のCIS(Center For Internet Security)が発行しているシステムを安全に構成するための構成基準およびベストプラクティスが記載されたガイドラインである。システムをセキュアにするための設定方法が記載されており、その内容はセキュリティ専門家やベンダ、コミュニティメンバなどによって、開発・更新されている。
構成の対象として Windows ServerやRed Hat Enterprise LinuxなどのOS、ApacheやDockerなどのミドルウェア、さらに、Cisco Systems やPalo Alto Networksなどの主要ベンダーのネットワークデバイスなど幅広く、140種類以上のベンチマークが発行されているのが特徴である。
CIS Benchmarksの各ベンチマークは、対策の項目名、項目の適用対象、項目の詳細説明、設定が必要な根拠、設定の確認方法、設定補法、影響、デフォルト値、そして対応するCIS Controlで構成されている。各項目を達成するために、どこを確認すればよいのか、どのように設定するのかが具体的に記載されている。
例として Windows Server 2016のCIS Benchmarkでは、以下のような項目の設定例について記載されており、実際の設定値ベースでシステムの構成をセキュリティ観点から確認するのに有用である。
- アカウントポリシー
- ローカルポリシー
- イベントログ
- 制限グループ
- システムサービス
- レジストリ
- ファイルシステム
企業側でもCIS Benchmarksを利用して、自社でセキュリティ設定のチェックを行うケースも増えており、今後も活用、普及が期待されているガイドラインである。
