クラウドにおける重大なリスクの排除

クラウド環境における重大な重大度の問題を発見し、修正することで、チームをアラートに溺れさせることなく解決できます。

CISベンチマークとは?

CISベンチマークは、サイバー脅威に対するITシステムの強化について組織を導くための主要な推奨事項を提供する、公開されているセキュリティロードマップです。

Wiz エキスパートチーム
6 分で読めます

CISベンチマークは、サイバー脅威に対するITシステムの強化について組織を導くための主要な推奨事項を提供する、公開されているセキュリティロードマップです。 それらはによって作成されました Center for Internet Security (CIS) (英語)は、「接続された世界で自信を生み出す」ことを目指しているコミュニティベースの非営利団体です。 

これまでに、8つの主要なカテゴリからなる140以上のCISベンチマークが、世界中のITプロフェッショナルのコミュニティベースのコンセンサスを通じて作成されています。 これらは CIS クリティカル セキュリティ制御 また、他のものと整列させることもできます 標準化されたフレームワーク NIST、PCI-DSS、HIPAAなど。

CISベンチマークは、次の点の中心的な指針となるように設計されています。 包括的なサイバーセキュリティプログラムの準備. CISは、ベンチマークガイドラインを非商用目的でセキュリティ専門家に無料のPDFダウンロードとして提供していますが、商用メンバーシップやアドオンサービスを通じて収益を上げています。

CISベンチマークはどのようにして組織の安全性を高めますか?

Example compliance assessment against CIS EKS benchmarks

CIS ベンチマークは、世界中の IT 専門家のコンセンサスによって作成されているため、よく知られており、広く受け入れられています。 これらの専門家は、学んだ幅広い教訓とベストプラクティスを集約し、あらゆる組織がサイバー攻撃者に対して強力なスタートを切ることができます。

CISベンチマークに従うと、組織に多くのメリットがあります。

  • 悪用可能な弱点を最小限に抑えることで攻撃対象領域を縮小

  • 強固な基盤によるより強力なベースラインセキュリティ

  • 業界標準との整合性により、監査リスクを軽減しながら、コンプライアンスと全体的なセキュリティ体制を簡素化

  • 明確な設定ガイドラインによる設定ミスの減少

  • 業界のコンセンサスによって決定される最も一般的な既知の脅威に対するレジリエンスの向上

また、CISベンチマークはベンダーに依存せず、世界のITコミュニティから統合されたインテリジェンスを提供します。 さまざまなシステムやデバイスにわたってセキュリティを強化するだけでなく、CISベンチマークの修復に従うことで、システムのパフォーマンスと持続可能性を向上させることもできます。

CISベンチマークの8つのカテゴリ

組織がセキュリティプログラムに最も関連性の高いCISベンチマークを決定するのを支援するために、ベンチマークは8つの一般的なカテゴリに分類されています。

  1. クラウドプロバイダー: IDおよびアクセス制御(IAM)、システムロギングメカニズム、ネットワークセキュリティ設定、およびコンプライアンスに沿った保護手段を構成するためのベストプラクティスを提供します。Amazon Web Services(AWS、AWS Compute Servicesなど)、Alibaba Cloud、Microsoft 365などが含まれます

  2. デスクトップソフトウェア: 一般的なデスクトップアプリケーション向けの安全な設定ガイダンスを提供し、メールセキュリティ、モバイルデバイス管理、Webブラウジング、サードパーティソフトウェアのリスク軽減などを網羅しています。 これには、生産性ソフトウェア(Microsoft Office、Zoomなど)やWebブラウザ(Mozilla Firefox、Safariなど)を含むサブカテゴリが含まれます

  3. DevSecOpsツール: セキュリティチームがDevSecOpsパイプラインを保護するのを支援し、開発および統合ツール内でセキュリティ制御を構成するためのベストプラクティスを提供します。GitHubとGitLabのソフトウェアサプライチェーンのセキュリティ対策が含まれています

  4. モバイルデバイス: チームが開発者設定、オペレーティング システムのプライバシー構成、安全な Web ブラウジング設定、および詳細なアプリのアクセス許可制御の最適化に集中できるようにします。Apple、iOS、Androidのサブカテゴリが含まれます

  5. 印刷デバイス: 現在、ベンチマークは CIS Multi-Function Device の 1 つだけです。ファームウェアの更新、ネットワーク設定、ワイヤレスアクセス、ユーザー管理、ファイル共有制御など、脆弱なデバイスの強化に重点を置いています

  6. ネットワークデバイス: 一般的なベスト プラクティスとベンダー固有の構成の両方を網羅するセキュリティ強化ガイダンスを提供し、特定のハードウェアに最適なセキュリティを確保します。CiscoおよびPalo Alto Networksのネットワークセキュリティデバイスを含む

  7. オペレーティングシステム: ローカルおよびリモートアクセス、ユーザーアカウント管理、ドライバーインストールプロトコル、および安全なWebブラウザー設定の制御について説明します。サブカテゴリには、Linux(Debian、Ubuntuなど)、Microsoft Windows、Unix(IBM AIX、Apple macOSなど)が含まれます

  8. サーバーソフトウェア: 管理制御、仮想ネットワーク ポリシー、ストレージ アクセス制限、Kubernetes の安全な構成 (PKI 証明書や API サーバー設定など) を含む推奨事項を提供します。複数のサブカテゴリには、Webサーバー(Microsoft IISなど)、データベースサーバー(MongoDBなど)、仮想化サーバー(Kubernetesなど)が含まれます

CISベンチマークの構造

各 CIS ベンチマークには、特定の製品に関する推奨事項の一覧が含まれており、推奨事項の数は製品の複雑さによって異なります。

多くのベンチマークには、非常に詳細な推奨事項が何百も含まれています。 推奨事項ごとに、その評価ステータスには、自動化できるか、手動で構成する必要があるかが示されます。 

各 CIS ベンチマークには、次の 2 つのプロファイルのいずれかが割り当てられます。

  • レベル1: ミッションクリティカルでないデバイスの適切なレベルのセキュリティを達成するための基本的なセキュリティガイドライン。レベル 1 のアクションがシステムの機能に影響を与えることはほとんどありません。

  • レベル2: ミッションクリティカルなデバイスに対するセキュリティガイドラインの強化。これらのアクションはシステムの機能に影響を与える可能性がありますが、はるかに強力なセキュリティを提供します。

最後に、各推奨事項には 2 つの重点領域が含まれています。

  • 監査: 特定の領域でどの程度安全であるかを調査するのに役立ちます

  • 修復: その領域でシステムを強化するための構成に関する推奨事項を含むアクション手順

一般的な CIS の推奨事項をアンパックすると、次のようになります。

CIS基盤ベンチマーク Amazon Web Services(AWS)、Google Cloud Computing Platform、Microsoft Azure、Alibaba Cloudなどの組織のクラウドサービスプロバイダー(CSP)セキュリティのすべての側面をカバーしています。

次の 2 つの例は、 AWS の CIS Foundations ベンチマーク これにより、一般的なベンチマークの推奨事項に含まれる内容をよりよく理解できます。 1 つはレベル 1 の例 (基本的なセキュリティ ガイドライン) で、もう 1 つはレベル 2 の例 (より強力なセキュリティ ガイドライン) です。

Number1.192.12
TitleEnsure that all the expired SSL/TLS certificates stored in AWS IAM are removedEnsure MFA delete is enabled on S3 buckets
Assessment statusAutomatedManual
ProfileLevel 1Level 2
DescriptionTo enable HTTPS connections to your website or application in AWS, you need an SSL/TLS server certificate. You can use ACM or IAM to store and deploy server certificates. Use IAM as a certificate manager only when you must support HTTPS connections in a region that is not supported by ACM. IAM securely encrypts your private keys and stores the encrypted version in IAM SSL certificate storage. IAM supports deploying server certificates in all regions, but you must obtain your certificate from an external provider for use with AWS. You cannot upload an ACM certificate to IAM. Additionally, you cannot manage your certificates from the IAM Console.Once MFA Delete is enabled on your sensitive and classified S3 bucket it requires the user to have two forms of authentication.
Rationale statementRemoving expired SSL/TLS certificates eliminates the risk that an invalid certificate will be deployed accidentally to a resource such as AWS Elastic Load Balancing (ELB), which can damage the credibility of the application/website behind the load balancer. As a best practice, it is recommended to delete expired certificates.Adding MFA delete to an S3 bucket requires additional authentication when you change the version state of your bucket or you delete an object version adding another layer of security in the event your security credentials are compromised or unauthorized access is granted.
Impact statementDeleting the certificate could have implications for your application if you are using an expired server certificate with ELB, CloudFront, etc. One has to make configurations at the respective services to ensure there is no interruption in application functionality.Enabling MFA delete on an S3 bucket could require additional administrator oversight. Enabling MFA delete may impact other services that automate the creation and/or deletion of S3 buckets.
Audit procedureAudit steps provided (console and command line)Audit steps provided (console and command line)
Remediation procedureRemediation steps provided (console and command line)Remediation steps provided (command line only)
Default valueBy default, expired certificates won't get deleted.n/a
ReferencesReferences providedReferences provided
CIS Controls mappingCIS v8 - 3.1 Establish and Maintain a Data Management Process CIS v7 - 13 Data ProtectionCIS v8 - 3.3 Configure Data Access Control Lists 6.5 Require MFA for Administrative Access CIS v7 - 14.6 Protect Information through Access Control Lists

Wiz:Kubernetes CISベンチマーク認定を組み込んだ市場初の製品

統合クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)プラットフォームとして、 Wizは、最初に認められたベンダーでした CIS SecureSuite Vendor Certification for 3 つの主要な Kubernetes ベンチマークを取得しており、最新の EKS、AKS、GKE CIS ベンチマークへの準拠を簡素化しながら、Kubernetes 環境をクラウドネイティブに保護する方法を提供します。

CIS Benchmarks を採用することで、セキュリティ チームはベスト プラクティスから学び、今日の主要な脅威に対して組織全体を強化することができます。 Wizを使えば、その多くを1つの画面から行うことができ、すべてのツールからのデータを集約して、「有毒な組み合わせ「—組織に対する実際のリスクに基づく独自の脆弱性スコア。 また、エージェントレスであるため、組織の規模に関係なく、組織全体に簡単にデプロイできます。

Wizは、明確な修復ガイダンスを使用して脆弱性をプロアクティブに特定し、攻撃者の一歩先を行くことでクラウド環境を保護することができます。 

今すぐデモを依頼する Wizを使用して、Kubernetesのコンプライアンスを簡素化し、セキュリティ体制全体を向上させましょう。

100+ Built-In Compliance Frameworks

See how Wiz eliminates the manual effort and complexity of achieving compliance in dynamic and multi-cloud environments.

デモを見る