Center for Internet Security (CIS) ベンチマークCenter for Internet Security (CIS) Benchmarks

CIS ベンチマークについてAbout CIS Benchmarks

Center for Internet Security は、"サイバー防衛のためのベスト プラクティス ソリューションを特定、開発、検証、促進、維持する" ことを使命とする非営利団体です。The Center for Internet Security is a nonprofit entity whose mission is to 'identify, develop, validate, promote, and sustain best practice solutions for cyberdefense.' 世界中の政府、企業、学術界のサイバーセキュリティおよび IT の専門家が持つ専門知識を活用しています。It draws on the expertise of cybersecurity and IT professionals from government, business, and academia from around the world. CIS ベンチマーク、コントロール、ハードニング済みイメージなどを含む標準およびベスト プラクティスを開発するために、コンセンサス意思決定モデルに従います。To develop standards and best practices, including CIS benchmarks, controls, and hardened images, they follow a consensus decision-making model.

CIS ベンチマークは、システムを安全に構成するための構成基準およびベスト プラクティスです。CIS benchmarks are configuration baselines and best practices for securely configuring a system. 各ガイダンスの推奨事項は、組織のサイバー防衛機能の向上を支援するために開発された 1 つ以上の CIS コントロールを参照しています。Each of the guidance recommendations references one or more CIS controls that were developed to help organizations improve their cyberdefense capabilities. CIS コントロールは、NIST Cybersecurity Framework (CSF) および NIST SP 800-53、ISO 27000 シリーズの規格、PCI DSS、HIPAA などを含む多くの確立された規格および規制の枠組みに対応しています。CIS controls map to many established standards and regulatory frameworks, including the NIST Cybersecurity Framework (CSF) and NIST SP 800-53, the ISO 27000 series of standards, PCI DSS, HIPAA, and others.

各ベンチマークは、コンセンサス レビューの 2 つのフェーズを経由します。Each benchmark undergoes two phases of consensus review. 1 つ目は最初の開発中で、専門家が召集され作業用ドラフトについて議論し、作成し、テストをし、ベンチマークに関する合意に達するまで行われます。The first occurs during initial development when experts convene to discuss, create, and test working drafts until they reach consensus on the benchmark. ベンチマークが公開された後の第 2 フェーズでは、コンセンサス チームがインターネット コミュニティからのフィードバックをベンチマークに組み込むために確認します。During the second phase, after the benchmark has been published, the consensus team reviews the feedback from the internet community for incorporation into the benchmark.

CIS ベンチマークは、2 つのレベルのセキュリティ設定を提供します。CIS benchmarks provide two levels of security settings:

  • レベル 1 では、あらゆるシステムで構成でき、サービスの中断や機能の低下をほとんど、またはまったく引き起こさない、不可欠となる基本セキュリティ要件を推奨しています。Level 1 recommends essential basic security requirements that can be configured on any system and should cause little or no interruption of service or reduced functionality.
  • レベル 2 では、機能の低下を引き起こす可能性のある、より高度なセキュリティを必要とする環境向けのセキュリティ設定を推奨しています。Level 2 recommends security settings for environments requiring greater security that could result in some reduced functionality.

CIS ハードニング済みイメージ は、レベル 1 またはレベル 2 CIS ベンチマーク プロファイルへとハードニングされた CIS ベンチマークに基づき、安全に構成された仮想マシン イメージです。CIS Hardened Images are securely configured virtual machine images based on CIS Benchmarks hardened to either a Level 1 or Level 2 CIS benchmark profile. ハードニングとは、システムをサイバー攻撃に対して脆弱にする潜在的な脆弱性を制限することにより、不正アクセス、サービス拒否 (DoS 攻撃)、およびその他のサイバー脅威からの保護を支援するプロセスです。Hardening is a process that helps protect against unauthorized access, denial of service, and other cyberthreats by limiting potential weaknesses that make systems vulnerable to cyberattacks.

Microsoft と CIS ベンチマークMicrosoft and the CIS Benchmarks

Center for Internet Security (CIS) は、Microsoft Azure および Microsoft 365 基礎ベンチマーク、Windows 10 ベンチマーク、Windows Server 2016 ベンチマークなどを含む Microsoft 製品およびサービスのベンチマークを公開しています。The Center for Internet Security (CIS) has published benchmarks for Microsoft products and services including the Microsoft Azure and Microsoft 365 Foundations Benchmarks, the Windows 10 Benchmark, and the Windows Server 2016 Benchmark.

CIS ベンチマークは、IT システムおよびデータをサイバー攻撃から守るためのセキュリティ規格として国際的に認められています。CIS benchmarks are internationally recognized as security standards for defending IT systems and data against cyberattacks. 何千もの企業で採用され、安全なベースライン構成を確立するための規範的なガイダンスを提供します。Used by thousands of businesses, they offer prescriptive guidance for establishing a secure baseline configuration. システムおよびアプリケーションの管理者、セキュリティ スペシャリスト、および Microsoft 製品とサービスを使用してソリューションを開発するその他のユーザーは、これらのベスト プラクティスを使用してアプリケーションのセキュリティを評価および改善することができます。System and application administrators, security specialists, and others who develop solutions using Microsoft products and services can use these best practices to assess and improve the security of their applications.

すべての CIS ベンチマークと同様に Microsoft ベンチマークは、ソフトウェア開発、監査とコンプライアンス、セキュリティ研究、運用、政府、法律に及ぶさまざまなバックグラウンドを持つ内容領域専門家からの情報提供に基づくコンセンサス レビュー プロセスを使用して作成されました。Like all CIS benchmarks, the Microsoft benchmarks were created using a consensus review process based on input from subject matter experts with diverse backgrounds spanning software development, audit and compliance, security research, operations, government, and law. Microsoft は、これらの CIS の取り組みにおいて不可欠なパートナーでした。Microsoft was an integral partner in these CIS efforts. たとえば、リストされたサービスに対して Office 365 がテストされ、その結果となる Microsoft 365 基礎ベンチマークは、アカウントと認証、データ管理、アプリケーションのアクセス許可、ストレージ、およびその他のセキュリティ ポリシー領域を対象とした適切なセキュリティ ポリシーを設定するための幅広い推奨事項をカバーしています。For example, Office 365 was tested against the listed services, and the resulting Microsoft 365 Foundations Benchmark covers a broad range of recommendations for setting appropriate security policies that cover account and authentication, data management, application permissions, storage, and other security policy areas.

CIS は、Microsoft 製品およびサービスのベンチマークに加えて、CIS ベンチマークを満たすように構成された Azure 仮想マシンでの使用するための CIS ハードニング済みイメージも公開しています。In addition to the benchmarks for Microsoft products and services, CIS has also published CIS Hardened Images for use on Azure virtual machines configured to meet CIS benchmarks. それらには、Azure 上での実行が保証された Microsoft Windows Server 2016 向け CIS ハードニング済みイメージが含まれます。These include the CIS Hardened Image for Microsoft Windows Server 2016 certified to run on Azure. CIS は、Azure Marketplace で利用可能なすべての CIS 強化されたイメージが、Azure で実行されることが認定されていることを示しています。CIS states that, 'All CIS hardened images that are available on the Azure Marketplace are certified to run on Azure. これらは、クラウド OS ネットワークを介してプロバイダによってホストされている Microsoft Cloud プラットフォーム、およびカスタマーによって管理されているオンプレミスのプライベート クラウド Windows Server Hyper-v 展開を介して、Azure パブリッククラウドとの変換準備と互換性を事前テスト済みです。They have been pre-tested for readiness and compatibility with the Azure public cloud, the Microsoft Cloud Platform hosted by service providers through the Cloud OS Network, and on-premise private cloud Windows Server Hyper-V deployments managed by customers.'

対象となる Microsoft のクラウド サービスMicrosoft in-scope cloud services

監査、レポート、証明書Audits, reports, and certificates

Microsoft 製品およびサービスの CIS ベンチマークの全ての一覧を入手してください。Get a complete list of CIS benchmarks for Microsoft products and services.

実装方法How to implement

よく寄せられる質問Frequently asked questions

CIS ベンチマーク設定に準拠することにより、アプリケーションのセキュリティは確保されますか ?Will following CIS Benchmark settings ensure the security of my applications?

CIS ベンチマークは、対象となる Microsoft 製品およびサービスを採用しているすべてのユーザーに基礎レベルのセキュリティを確立します。CIS benchmarks establish the basic level of security for anyone adopting in-scope Microsoft products and services. ただし、これらはすべての考えうるセキュリティ構成およびアーキテクチャを網羅したリストとしてではなく、出発点として見なされなければなりません。However, they should not be considered as an exhaustive list of all possible security configurations and architecture but as a starting point. 各組織は、特定の状況、ワークロード、コンプライアンス要件を引き続き評価し、それに応じて環境を調整する必要があります。Each organization must still evaluate its specific situation, workloads, and compliance requirements and tailor its environment accordingly.

CIS ベンチマークはどの程度の頻度で更新されますか ?How often are CIS Benchmarks updated?

改訂された CIS ベンチマークのリリースは、それを開発した IT プロフェッショナルのコミュニティ、およびベンチマークがサポートするテクノロジーのリリース スケジュールに応じて変わってきます。The release of revised CIS Benchmarks changes depending on the community of IT professionals who developed it and on the release schedule of the technology the benchmark supports. CIS は、新しいベンチマークおよび既存のベンチマークの更新を発表する月次レポートを配布します。CIS distributes monthly reports that announce new benchmarks and updates to existing benchmarks. これらを受け取るには CIS Workbench に登録し (無料)、プロフィール画面の [ニュースレターを受け取る] をオンにします。To receive these, register for the CIS Workbench (it's free) and check Receive newsletter in your profile.

Microsoft CIS ベンチマークの開発に貢献したのは誰ですか ?Who contributed to the development of Microsoft CIS Benchmarks?

CIS は、"ベンチマークは内容領域専門家、テクノロジ ベンダー、パブリックおよびプライベートの CIS ベンチマーク コミュニティ メンバー、および CIS ベンチマーク開発チームの惜しみないボランティア活動によって開発されています。" と述べています。CIS notes that its 'Benchmarks are developed through the generous volunteer efforts of subject matter experts, technology vendors, public and private CIS Benchmark community members, and the CIS Benchmark Development team.' たとえば、「CIS Microsoft Azure 基礎ベンチマーク v1.0.0 が公開されました (CIS Microsoft Azure Foundations Benchmark v1.0.0 Now Available)」に、Azure の貢献者の一覧が記載されています。For example, you'll find a list of Azure contributors on CIS Microsoft Azure Foundations Benchmark v1.0.0 Now Available.