IaaSに関するCISベンチマーク

1000年後も続く世界を

始めに

CISベンチマークとは

CISベンチマークとは、 CIS (Center for Internet Security)が公開している、 OSやソフトウェア利用時のセキュリティ設定(パスワード設定等)に関するベンチマークです。

セキュリティに関する設定が適切に行われているほどベンチマーク結果が高くなり、不適切な場合に低くなります。

ベンチマークに記載されているからと言って、必ずしも全て実施する必要はありませんが、一通り設定することで、 各段にセキュリティが強化されます。

ISMS等マネジメント系の考え方との違い

ISMS等のマネジメントは「リスクを洗い出し、許容可能なレベルになるように対策を行う」考え方であるのに対し、 CISベンチマークは「この対策を行えばセキュリティが強化される」と言う考え方です。

事務所の物理セキュリティに例えると、「何も置いていない倉庫には鍵もかけない」が、 貴重品の置いてある部屋については建物の鍵だけでなく、部屋自身にも鍵をつけ、さらに金庫も設置する」と言うように、 リスクに応じて必要な対策を行うのがISMSです。 それに対し、「建物に鍵がかかっているから1点、部屋にも鍵がかかっているから1点」と言うように、実施状況を 確認して点数化するのがCISベンチマークです。

IaaSのCISベンチマーク

CISベンチマークの「Cloud Providers」から、 AWS (Amazon Web Services)、GCP (Google Cloud Platform)、AzureそれぞれのCISベンチマークを ダウンロードすることができます。

また、それぞれのベンチマーク内容(英語)をExcelファイルとCSVファイルにしましたので、必要に応じて利用してください。

AWS (Excelファイル), (csvファイル)

gcp (Excelファイル), (csvファイル)

Azure (Excelファイル), (csvファイル)

また、それぞれのCISベンチマークの大項目を記載しておきます。

AWS (Amazon Web Services)

GCP (Google Cloud Platform)

※GCPのCISベンチマークについて、詳細説明と確認用スクリプトをこちらで作成中です。

Azure