NRIセキュアテクノロジーズは2020年10月7日、「CIS Benchmarksを用いたシステム堅牢化支援サービス」を提供開始した。情報セキュリティを推進する米国非営利団体CISが、情報システムを構成する製品やサービスごとに推奨する設定や手順などを記したガイドライン「CIS Benchmarks」に基づいて、NRIセキュアが個社ごとの情報システムを評価し、改善策を提案するサービスである。システムを構成する製品・サービスごとに、設計から運用段階までの安全性を評価する。
CIS Benchmarksを用いたシステム堅牢化支援サービスは、CIS Benchmarksを自社システムで活用したいと考える企業に対し、各社固有の情報システム環境やセキュリティ対策状況を踏まえつつ、アセスメントから運用プロセスの整備まで包括的に支援するサービスである。NRIセキュアが実施してきたコンサルティングの実績と、そこで得た経験やノウハウを活用する。
主な提供内容は、以下の2点である。
1. 製品・サービスごとにきめ細かなリスク評価を実施
NRIセキュアが独自に作成する「CIS Benchmarks日本語翻訳版チェックシート」を基に、対象とする情報システムを構成する製品・サービスの安全性やリスクを評価する。抽出された課題に対して、有効な対策を整理し優先度を定義したうえで、各社に適した改善計画の策定を支援する。
2. 情報システムの堅牢化に向けて運用プロセスを整備
システム運用に関する社内ドキュメントの確認や、運用担当者へのヒアリングを行ったうえで、CIS Benchmarksに沿った情報システムの堅牢化に向けて、運用プロセスを見直し必要なマニュアルを整備する。各社の状況や要望に応じて、「DevSecOps」を考慮した運用プロセスの改善案を提示したり、新規にマニュアルを作成することも可能だ。
CIS Benchmarksは、情報システムを安全に構築・維持管理するためのベストプラクティスをまとめたガイドラインである。PCやサーバー、ネットワーク機器、モバイル機器、データベース、アプリケーション、クラウドサービス等の製品やサービスに対してバージョンごとに詳細なパラメータまでを定めている。カバーしている製品・サービスの例は表1の通り。
| カテゴリ | 対象の製品・サービス(例) |
|---|---|
| PC | Windows XP/7/8/10 |
| サーバー | Windows Server 2008/2012/2016/2019, Red Hat Enterprise Linux, CentOS, Debian, Ubuntu, Amazon Linux |
| ネットワーク機器 | Cisco IOS, Palo Alto Networks, Juniper |
| モバイル機器 | Apple IOS, Google Android |
| データベース | MySQL, PostgreSQL, Oracle Database, IBM DB2, MongoDB |
| アプリケーション | Microsoft 365, Internet Explorer, Tomcat |
| クラウドサービス | AWS, Azure, GCP |
背景について同社は、高度化・巧妙化するサイバー攻撃や、普及が進むクラウドサービスにおけるユーザー設定の不備などを原因としたセキュリティインシデント(事故・事案)が増加し続けていることを挙げる。「情報システムの脆弱性が発見されるたびに個別に対処するだけではなく、日ごろから情報システム全体を安全に維持管理しておく重要性が高まっている」(同社)。
