CIS ベンチマークのセキュリティ強化評価
CIS ベンチマークは、セキュリティ構成強化のゴールドスタンダードであり、PCI DSS、FedRAMP、HIPAA、およびほぼすべての主要なセキュリティ フレームワークによって参照されています。 KENSAI は、Windows サーバーから Kubernetes クラスターに至るまで、インフラストラクチャ全体にわたる CIS ベンチマーク評価を自動化し、最初に修正すべきものに優先順位を付けます。
CIS 評価の実行 → CIS ダッシュボードを参照CIS ベンチマークとは何ですか?
Center for Internet Security (CIS) は、世界中のサイバーセキュリティ専門家との合意に基づいて開発された、ベンダーに依存しないセキュリティ構成ガイドラインを公開しています。 CIS ベンチマークは 100 を超えるテクノロジーをカバーし、攻撃対象領域を削減する具体的でテスト可能な構成の推奨事項を定義します。
CIS ベンチマークは、次の 2 つの実装レベルで構成されています。
- レベル 1:運用への影響を最小限に抑えた必須のセキュリティ構成。これらは、すべての組織が実装する必要がある「必須」の設定です。レベル 1 チェックに失敗した場合は、基本的な強化が適用されていないことを意味します。
- レベル 2:高セキュリティ環境向けのより包括的なセキュリティ設定。レベル 2 の推奨事項の中には、機能に影響を与えたり、ワークフローの変更が必要になる場合があります。機密性の高いシステムまたは規制されたシステムに推奨されます。
💡 CIS コントロールと CIS ベンチマーク:CIS コントロール (旧称クリティカル セキュリティ コントロール) は、高レベルのベスト プラクティスです。何すること。 CIS ベンチマークは規範的な構成ガイダンスです -どうやって特定のテクノロジーに対してそれを行うためです。どちらも補完的なものです。 KENSAI は両方に対する評価をサポートします。
主要な CIS ベンチマークの対象範囲
アカウント ポリシー、監査ポリシー、ユーザー権利の割り当て、セキュリティ オプション、Windows ファイアウォール、高度な監査ポリシー - 300 以上の個別チェック。
ファイルシステム構成、ソフトウェア更新、特殊目的サービス、ネットワーク構成、ロギング、アクセス制御、システムメンテナンス — ディストリビューションごとに 250 以上のチェック。
API サーバー構成、コントローラー マネージャー、スケジューラー、etcd、ワーカー ノード、RBAC ポリシー、ネットワーク ポリシー - クラウドネイティブ セキュリティにとって重要です。
ホスト構成、デーモン構成、Docker デーモン ファイル、コンテナー イメージ、コンテナー ランタイム — コンテナー スタック全体を保護します。
IAM 構成、ロギングとモニタリング、ネットワーキング、ストレージ - すべてのクラウド展開が通過する必要があるクラウド固有のベンチマーク。
サーバー構成、SSL/TLS 設定、HTTP ヘッダー、アクセス制御、ロギング - Web サーバーの攻撃対象領域を大幅に削減します。
認証、アクセス制御、監査、ネットワーク構成、暗号化 - 最も貴重なデータ資産を保護します。
CIS ベンチマーク スコア: 見た目の良さ
新しく入社した組織の平均 CIS レベル 1 コンプライアンス スコア
業界平均 — 基本的な硬化には改善の余地が大きい
| CIS スコア範囲 | 成熟度レベル | 典型的な状態 |
|---|---|---|
| 90–100% | 素晴らしい | 成熟した強化プログラム、継続的なモニタリング |
| 75–89% | 良い | 積極的な強化努力、ある程度の技術的負債 |
| 50–74% | 公平 | アドホックな強化、一貫性のない構成管理 |
| <50% | 貧しい | デフォルト設定が蔓延しており、攻撃対象領域が大きい |
CIS ベンチマークと規制遵守
CIS ベンチマークは、事実上すべての主要なコンプライアンス フレームワークで参照または受け入れられています。
| フレームワーク | CIS ベンチマーク リファレンス |
|---|---|
| PCI DSS v4.0 | 要件 2.2: 業界で認められた硬化標準を適用する (CIS が明示的にリストされている) |
| フェドランプ | CM-6: すべてのコンポーネントに USGCB または CIS ベンチマークが必要 |
| ヒパア | 技術的な安全対策 - CIS ベンチマークは構成管理要件を満たします |
| SOC2 | CC6.1: 論理アクセス制御 - CIS の強化は強力な証拠です |
| ISO 27001:2022 | 付属書 A 8.9: 構成管理 - CIS ベンチマークは実装として認められています |
| NIST CSF | PR.IP-1: ベースライン構成 — CIS ベンチマークが標準です |
一般的な CIS ベンチマークの失敗
- パスワードポリシーが強制されていません:最大存続期間、複雑さ、ロックアウト設定はデフォルトのまま
- 不要なサービスが実行されている:FTP、Telnet、rsh、NFS が不要な場合に有効になる
- 監査ログが無効になっています:システムイベント、ログオンイベント、特権の使用が記録されない
- 世界中で書き込み可能なファイル:過剰な権限を持つファイルにより、すべてのユーザーが重要なシステム ファイルを変更できるようになります
- アクティブなデフォルトアカウント:ゲスト アカウント、デフォルトのデータベース ユーザーは無効になっていない
- 古い TLS 構成:TLS 1.0/1.1 および弱い暗号スイートは引き続き有効です
- セキュリティヘッダーがありません:HSTS、X-Frame-Options、CSP が Web サーバーに構成されていない
- コンテナは root として実行されます:root権限で実行されるDockerコンテナ
- Kubernetes RBAC は寛容すぎる:デフォルトのサービスアカウント権限は制限されていません
- クラウドストレージのパブリックアクセス:S3/GCS バケットにブロックパブリックアクセス設定がありません
KENSAI が CIS ベンチマーク評価を提供する方法
✓ 100 以上のテクノロジーをカバー
Windows、Linux、macOS、主要なデータベース、Web サーバー、Kubernetes、Docker、および 3 つの主要なクラウド プラットフォームすべてを現在の CIS ベンチマークと比較して評価します。
✓ エージェントレスおよびエージェントベース
エージェントを導入せずに迅速に対応できるネットワークベースの CIS 評価。エージェントベースで、OS およびアプリケーションレベルの詳細なチェックを行います。
✓ 優先的な修復
すべての CIS 障害が同じというわけではありません。 KENSAI は、セキュリティ ROI を最大化するために、悪用可能性、規制への影響、修復作業によって発見結果を優先します。
✓ ベースラインドリフト検出
システムが強化されたベースラインから逸脱したときにアラートを送信します。これは、不正な構成変更や、強化せずに導入された新しいシステムを検出するために重要です。
✓ CIS スコアの傾向
CIS コンプライアンス スコアを長期的に追跡します。監査人に継続的な改善を示し、強化プログラムの価値を実証します。
✓ コンプライアンスのマッピング
すべての CIS の調査結果は、それを参照するコンプライアンス フレームワークにマッピングされます。1 つの評価により、PCI DSS、FedRAMP、SOC 2 などの証拠が同時に推進されます。
CIS 強化の概要
- 現在の状態を評価します。KENSAI の CIS 評価を実行してベースライン スコアを確立し、最も影響の大きいギャップを特定します
- リスクごとに優先順位を付ける:まずレベル 1 の障害、特にインターネットに接続されたシステムやデータを保持するシステムに焦点を当てます。
- 体系的に修復します。コードとしてのインフラストラクチャ (Ansible、Chef、Puppet、Terraform) を使用して大規模な強化を適用する
- 変更を検証します。修復後に再スキャンして構成が有効になっていることを確認します
- ドリフト検出を実装します。強化を元に戻す構成変更を監視する
- 定期的に繰り返します:新しいシステム、新しいベンチマーク、システムの変更には継続的な評価が必要です
インフラストラクチャ全体の CIS ベンチマーク スコアを把握する
KENSAI は、現在の CIS ベンチマークに対してサーバー、コンテナ、クラウド アカウント、データベースをスキャンし、単一スコア、優先順位付けされた調査結果、コンプライアンス プログラムに必要な修復証拠を提供します。
CIS 評価の実行 → 硬化の専門家に相談する