現代のサイバーセキュリティにおいて、システムを安全に保つことは組織の存続に関わる最重要課題の一つです。
しかし、「どこまでセキュリティ対策を行えば安全と言えるのか」という基準を独自に定めることは非常に困難です。そこで世界的な標準として利用されているのが「CISベンチマーク」です。
本記事では、システム管理者やセキュリティ担当者の方に向けて、CISベンチマークの概要から、なぜそれが重要なのか、そして具体的な一覧やawsでの活用例、使い方までを網羅的に解説します。
CISベンチマークの基礎知識
まず、CISベンチマークを理解するために、その発行元であるCIS(Center for Internet Security)について触れておきましょう。
CIS(Center for Internet Security)とは
CISは、米国の非営利団体です。政府機関、企業、学術機関などの専門家が集まり、サイバーセキュリティに関するベストプラクティス(最良の事例・手法)を策定・維持しています。特定のベンダーに依存しない中立的な立場であることが大きな特徴で、世界中で信頼されるセキュリティ基準のデファクトスタンダードとなっています。
ベンチマークの定義と役割
CISベンチマークとは、CISが発行している「システムを安全に構成するための設定ガイドライン」のことです。 OS、ミドルウェア、クラウドサービス、ネットワーク機器など、多岐にわたる対象について、「この設定項目はオンにするべきか」「このポートは閉じるべきか」といった具体的な設定値が100ページ以上のドキュメントとしてまとめられています。
これを適用することを「ハードニング(堅牢化)」と呼びます。デフォルトの状態のシステムは、利便性を優先しているためセキュリティ的には脆弱な場合が多くあります。CISベンチマークに従って設定を変更することで、攻撃の糸口となる穴を塞ぎ、セキュリティレベルを劇的に向上させることができます。
なぜCISベンチマークが必要なのか
多くの企業や組織がCISベンチマークを採用する理由は、主に3つの観点から説明できます。
1. 客観的な安全性の証明
「セキュリティ対策をしています」と口で言うのは簡単ですが、それを証明するのは困難です。CISベンチマークという国際的な基準に準拠していることを示すことで、顧客やパートナー企業に対して、客観的な指標に基づいたセキュリティ対策を行っていることを証明できます。
2. コンプライアンス対応の効率化
PCI DSS(クレジットカード業界のセキュリティ基準)やHIPAA(医療保険の相互運用性と説明責任に関する法律)、NIST(米国国立標準技術研究所)のガイドラインなど、多くの法規制や認証基準において、CISベンチマークへの準拠が推奨、あるいは実質的な要件となっています。CISベンチマークに沿って設定を行うことで、これらのコンプライアンス要件をスムーズに満たすことが可能になります。
3. 設定ミスの防止
クラウド環境などにおけるセキュリティインシデントの多くは、高度な攻撃ではなく、単純な「設定ミス」に起因しています。CISベンチマークは、過去の事例や専門家の知見に基づいて、「どこを間違えやすいか」「どこを狙われやすいか」を網羅しています。これを利用することで、担当者の知識レベルに依存せず、一定水準以上のセキュリティ設定を確保することができます。
プロファイルレベルという概念
CISベンチマークを利用する上で避けて通れないのが「プロファイルレベル」という概念です。すべての設定を最高レベルにするのが常に正解とは限りません。CISベンチマークでは、主に以下の2つのレベルが定義されています。
レベル1(Level 1)
・ 基本的なセキュリティ要件。
・ システムの利便性やパフォーマンスへの影響が少ない。
・ すべての組織において最低限適用すべき設定。
(例:パスワードの複雑性要件の設定、不要なサービスの停止など。)
レベル2(Level 2)
・ より高度なセキュリティ要件。
・ 「多層防御」を目的としている。
・ システムの一部の機能が制限されたり、パフォーマンスに影響が出たりする可能性がある。
・ 極めて高いセキュリティが求められる環境向け。
(例:より厳しいログ取得設定、特定の通信プロトコルの完全無効化など。)
初心者の場合は、まずレベル1への準拠を目指し、環境の重要度に応じてレベル2の適用を検討するのが一般的な使い方となります。
CISベンチマークの対象一覧
CISベンチマークがカバーする範囲は非常に広大です。ここでは主要なカテゴリーと対象の一覧を紹介します。現在も新しい技術が登場するたびに、リストは更新され続けています。
オペレーティングシステム(OS)
もっとも利用頻度が高いカテゴリーです。
・ Linux(Ubuntu, Red Hat, CentOS, Debian, SUSEなど)
・ Windows Server(2016, 2019, 2022など)
・ Windows Desktop(Windows 10, 11)
・ macOS
クラウドプロバイダー
近年特に重要視されているカテゴリーです。
・ Amazon Web Services (aws)
・ Microsoft Azure
・ Google Cloud Platform (GCP)
・ Oracle Cloud Infrastructure
・ Alibaba Cloud
サーバーソフトウェア・ミドルウェア
OSの上で動くソフトウェアの設定です。
・ Webサーバー(Apache, Nginx, IIS, Tomcat)
・ データベース(Oracle DB, SQL Server, MySQL, PostgreSQL, MongoDB)
・ コンテナ関連(Docker, Kubernetes)
ネットワーク機器
・ Cisco(IOS, Firewall)
・ Juniper
・ Palo Alto Networks
・ F5
デスクトップアプリケーション・ブラウザ
・ Microsoft Office
・ Google Chrome
・ Mozilla Firefox
・ Zoom
このように、インフラからアプリケーションに至るまで、システム全体を網羅するガイドラインが用意されています。
AWSにおけるCISベンチマークの重要性
クラウド利用が一般的になる中、aws環境におけるセキュリティ設定は非常に重要です。AWSには「CIS AWS Foundations Benchmark」という専用のベンチマークが存在します。
クラウドは「責任共有モデル」を採用しており、クラウド自体のセキュリティはAWSが担保しますが、クラウド「内」の設定(IAM、セキュリティグループ、ログ設定など)はユーザーの責任です。ここがおろそかになっていると、どれだけAWSが堅牢でも情報漏洩が起きてしまいます。
CIS AWS Foundations Benchmarkの主な項目
AWS向けのベンチマークは、主に以下のカテゴリーで構成されています。
1. IAM(Identity and Access Management)
ユーザー権限の管理に関する設定です。
・ ルートユーザーのMFA(多要素認証)有効化
・ IAMユーザーへのMFA有効化
・ アクセスキーの定期的なローテーション
・ 不要な権限の削除
2. ストレージ(S3など)
データの保存場所に関する設定です。
・ S3バケットの公開設定の無効化(パブリックアクセスのブロック)
・ 暗号化の強制
3. ロギングとモニタリング
不正な操作を検知するための設定です。
・ CloudTrailの有効化(全リージョン)
・ CloudTrailログファイルの整合性検証
・ AWS Configの有効化
・ 重要な変更に対するアラーム設定
4. ネットワーク
通信制御に関する設定です。
・ セキュリティグループでのSSH(ポート22)やRDP(ポート3389)の全開放(0.0.0.0/0)の禁止
・ デフォルトのセキュリティグループの使用制限
AWS環境を利用している場合、まずはこの「CIS AWS Foundations Benchmark」のレベル1に準拠しているかを確認することが、セキュリティ対策の第一歩となります。
CISベンチマークの使い方と実践ステップ
では、実際にCISベンチマークを業務でどのように使えばよいのでしょうか。具体的な使い方のステップを解説します。
ステップ1:ドキュメントの入手
CISの公式サイトから、各対象(OSやAWSなど)のベンチマークPDFをダウンロードします。
ダウンロードには無料の会員登録が必要です。 ドキュメントは英語で書かれていますが、設定項目、その理由、具体的な確認コマンド、修正コマンドが詳細に記載されています。
ステップ2:現状の評価(アセスメント)
入手したドキュメントに基づき、現在のシステムが基準を満たしているかを確認します。 しかし、数百項目ある設定を手動で一つ一つコマンドを叩いて確認するのは現実的ではありません。そこで、自動化ツールの活用が推奨されます。
自動化ツールの例
・ CIS-CAT Pro: CISが有料会員向けに提供している公式ツールです。
・ AWS Security Hub: AWS上で「CIS AWS Foundations Benchmark」への準拠状況を自動チェックする機能があります。AWSユーザーであれば、これを使うのが最も手軽です。
・ Amazon Inspector / Amazon GuardDuty: これらも脆弱性診断や脅威検知に役立ちます。
・ OpenSCAP: Linux環境などで使えるオープンソースのセキュリティスキャナです。
ステップ3:ギャップ分析と対応方針の決定
ツールでスキャンを行うと、「Pass(合格)」「Fail(不合格)」の結果が出ます。 ここで重要なのは、「Failになった項目をすべて機械的に修正してはいけない」ということです。
たとえば、レガシーなシステムとの連携のために、あえて古いプロトコルを許可している場合などがあります。ベンチマークの設定を強制適用することで、システムが動かなくなるリスク(可用性の侵害)があります。
したがって、以下のフローで判断します。
- Fail項目を確認する。
- その設定を変更した場合のシステムへの影響を調査する。
- 影響がない、または許容できる場合は、設定を変更(Remediation)する。
- システムへの影響が大きく設定変更できない場合は、「リスク受容」として記録を残すか、代替のセキュリティ対策(緩和策)を検討する。
ステップ4:設定の適用(レメディエーション)
方針が決まったら、実際に設定を変更します。 Linuxサーバーなどであれば、AnsibleやChefなどの構成管理ツールを使って、コードベースで設定を適用すると、複数のサーバーに対して一貫性のある設定が可能になります。AWSであれば、CloudFormationやTerraformなどのIaC(Infrastructure as Code)ツールで設定を管理することが望ましいです。
ステップ5:継続的な監視
セキュリティ設定は一度行えば終わりではありません。新しいサーバーの追加、設定変更、AWSの新機能追加などにより、環境は常に変化します。 定期的にスキャンを実行し、意図しない設定変更(ドリフト)が発生していないかを監視し続ける体制を作ることが重要です。
CISベンチマークを活用する上での注意点
最新版を利用する
CISベンチマークは定期的に更新されています。古いバージョンのベンチマークを使っていると、新しい脅威に対応できない場合があります。常に最新のバージョンを確認するようにしてください。
スコア対象と非スコア対象
ベンチマークの中には「Scored(スコア対象)」と「Not Scored(非スコア対象)」の項目があります。
・ Scored: セキュリティ準拠の点数計算に含まれる項目。設定変更が推奨される。
・ Not Scored: 点数には含まれないが、環境によっては推奨される設定や、手動での確認が必要な項目。
免責事項の理解
CISベンチマークはあくまで「ガイドライン」です。これを適用したからといって、100%安全になるわけでも、すべての攻撃を防げるわけでもありません。また、適用によって発生したシステム障害についてCISが責任を負うわけではありません。必ず検証環境でテストを行ってから本番環境に適用してください。
まとめ
CISベンチマークは、複雑化するサイバーセキュリティの世界において、私たちが目指すべき「基準点」を示してくれる羅針盤のような存在です。
・ 一覧にあるように、OSからクラウドまで広範囲をカバーしている。
・ awsをはじめとするクラウド環境では、責任共有モデルに基づきユーザー自身が設定を行う必要があり、その際の強力なガイドとなる。
・ 正しい使い方は、自動化ツールで現状を把握し、システムへの影響を考慮しながら段階的に適用することである。
セキュリティ対策に「完璧」はありませんが、CISベンチマークに準拠することで、既知の脅威の多くを排除し、組織のセキュリティレベルを確実に高めることができます。
まずは、自社で最も重要なシステム、あるいは最も利用頻度の高いAWS環境から、ベンチマークによる診断を始めてみてはいかがでしょうか。
