コラム

CISベンチマークとは? 必要な理由やメリット、注意点を解説

CISベンチマーク
CISベンチマークとは? 必要な理由やメリット、注意点を解説

多様化・巧妙化するサイバー攻撃からビジネスを守るには、組織で使用している様々なシステムやアプリケーションに適切なセキュリティ対策を講じる必要があります。しかし、使用しているシステムやサービスが多ければ多いほど、そして多機能であればあるほど管理すべき項目が増えるため、何からどのように手をつければよいかわからず、困っている企業も多いのではないでしょうか。

そこで役立つのが、製品やサービスごとに最も推奨されるセキュリティ基準を定めている「CISベンチマーク」です。本記事では、CISベンチマークが必要とされる理由や活用のメリット、注意点などについて詳しく解説します。

CISベンチマークとは、OSなどのセキュリティ対策について推奨される設定をまとめたガイドライン

CISベンチマークとは、OSやソフトウェアなどのセキュリティ対策について、推奨される設定をCIS(Center for Internet Security)という団体がまとめたガイドラインです。
CISベンチマークの対象は、OSをはじめクラウドサービス、ミドルウェア、ソフトウェアのほか、ネットワークデバイスやクラウドサービスなど多種多様です。市販されているソフトウェアやサービスごとに、推奨設定がベストプラクティス集として提供されており、サービスの機能追加に応じて不定期にバージョンアップされています。世界的に利用されるようなソフトウェアやサービスが増えるごとに、CISベンチマークも増えていくと考えられます。

CISベンチマークの主な記載内容は、下記の通りです。

CISベンチマークの主な記載内容
  • 対策する項目名
  • 設定が必要な理由
  • 設定の確認方法
  • 設定が正しくなされなかった場合のリスク
  • 具体的な設定方法

CISとは、インターネットセキュリティの標準化を目的とする非営利団体

CISとは、インターネットセキュリティの標準化を目的としてアメリカで設立された非営利団体です。NSA(National Security Agency:アメリカ国家安全保障局)、DISA(Defense Information Systems Agency:アメリカ国防情報システム局)といった政府機関や、学術機関、企業などが協力して、ベストプラクティスの特定や開発、検証のほか、その推進、維持のために活動しています。

CISは、企業向けの様々なセキュリティ対策に関する情報を公開し、無料のセキュリティ対策ツールをリリースしてきました。中でも、サイバー攻撃の現状や未来予測を踏まえ、企業が最低限実施すべきアプローチをまとめたガイドライン「CIS Controls」は有名で、日本でも参考にする企業は少なくありません。

CISベンチマークが必要な理由

CISベンチマークは、巧妙化するサイバー攻撃などのセキュリティ上の脅威から、企業の情報資産を守るために必要とされています。

サイバー攻撃が日に日に高度化し、クラウドサービスのセキュリティホールを突くようなインシデントも発生しており、すべてのシステムやサービスに画一的なセキュリティ対策を講じる従来の方法だけでは、企業の情報資産を守ることが難しくなりました。社内で利用しているOSやソフトウェアなど、外部からの攻撃にさらされる可能性があるすべてのシステムやサービスごとに、適切な設定を行うことも重要になっています。

多様なシステム・サービスのそれぞれに個別に最適なセキュリティ対策を施すために、CISベンチマークは重要な役割を果たしているのです。

CISベンチマークの作成のプロセス

CIS内には、世界中で使われている様々な製品・サービスごとに最善のセキュリティ対策を検討するコミュニティがあり、セキュリティの専門家たちが各コミュニティで議論しながらCISベンチマークの作成を進めています。

コミュニティ内での議論で推奨設定のコンセンサスが得られたら、テストを経てベンチマークを完成させ、CISのWebサイトで公開します。

また、CISベンチマークは、公開されて終わりというわけではありません。公開後も推奨設定を実行した人からのフィードバックについて検討し、バージョンアップを繰り返します。

CISベンチマークを利用するメリット

CISベンチマークを利用すると、世界中のセキュリティの専門家が導き出したセキュリティ対策を自社の環境に導入することができます。

CISベンチマークは、世界中のセキュリティの専門家の知見を集めたガイドラインです。セキュリティ対策に悩む担当者も、CISベンチマークを参考にすることで自社の環境に潜む脆弱性を解消し、セキュリティレベルの向上が図れます。

製品・サービスがアップデートされると、それに合わせてCISベンチマークもバージョンアップされるため、CISのWebサイトからの情報収集を継続すれば、常に最新のセキュリティを維持することが可能です。

CISベンチマークを利用する際は、すべての推奨設定を導入する必要はなく、設定項目ごとに自社に必要な設定か否かを確認し、調整することもできます。推奨設定を導入しない場合のリスクを参照しながら、自社の運用体制も考慮してあえてリスクを受け入れるという判断もできるのです。

CISベンチマークの分類と提供されている製品・サービスの例

CISベンチマークは、様々な製品・サービスについて作成、公開されています。2026年6月現在、CISは7つのカテゴリに製品・サービスを分類しています。その分類の内容や、CISベンチマークが提供されている製品・サービスの例は下記の通りです。

クラウドプロバイダー

CISベンチマークでは、クラウドプロバイダーという分類で、クラウドベースで提供されるプラットフォーム、ストレージ、アプリケーションなどの推奨設定が公開されています。下記の9点は、公開されている製品・サービスの代表例です。

クラウドプロバイダーに分類されている主な製品・サービス
  • Alibaba Cloud
  • Amazon Web Services
  • Google Cloud Platform
  • Google Workspace
  • IBM Cloud Foundations
  • Microsoft 365
  • Microsoft Azure
  • Oracle Cloud Infrastructure
  • Snowflake

デスクトップソフトウェア

デスクトップソフトウェアとは、デスクトップ上で動作するアプリケーションソフトウェアに関するCISベンチマークの分類です。下記のように、WebブラウザーやWeb会議用のソフトウェアなど、様々な製品が含まれています。

デスクトップソフトウェアに分類されている主な製品・サービス
  • Google Chrome
  • Microsoft Exchange Server
  • Microsoft Office
  • Microsoft Web Browser
  • Mozilla Firefox
  • Safari Browser

DevSecOpsツール

DevSecOpsツールについても、CISベンチマークが存在します。

DevSecOpsとは、開発(Development)、セキュリティ(Security)、運用(Operations)を組み合わせた開発のアプローチで、プログラムなどの開発サイクル全体にセキュリティという観点を導入し、安全かつ迅速に開発を進める手法です。
DevSecOpsツールはこの手法を支援するためのツールで、CISベンチマークが公開されているのは、下記の3点のみとなっています。

DevSecOpsツールに分類されている主な製品・サービス
  • GitHub
  • GitLab
  • Visual Studio Code GPO

モバイルデバイス

CISベンチマークには、スマートフォン、タブレットなどのモバイルデバイス用のソフトウェアに関するカテゴリもあります。このカテゴリが対象としているのは、下記の3種類のモバイルデバイス用OSです。

モバイルデバイスに分類されている主な製品・サービス
  • Apple iOS
  • Google Android
  • Microsoft Intune Apple iOS, iPadOS, macOS

ネットワークデバイス

CISベンチマークには、ネットワークへの通信を中継する機器に関する、ネットワークデバイスという分類も存在します。スイッチやルーターなどの推奨設定が、メーカー別に公開されています。CISベンチマークが公開されている企業の主な例は、下記の通りです。

ネットワークデバイスについてCISベンチマークが公開されている主なメーカー
  • Cisco
  • F5
  • Fortinet
  • Juniper
  • Palo Alto Networks

オペレーティングシステム

オペレーティングシステムという分類で、パソコンなどの動作の根幹となるOSの推奨設定も公開されています。下記のような、様々なOSの推奨設定の確認が可能です。

オペレーティングシステムに分類されている主な製品・サービス
  • Amazon Linux
  • Apple macOS
  • Microsoft Windows Desktop
  • Microsoft Windows Server
  • Oracle Linux
  • Oracle Solaris

サーバーソフトウェア

サーバーソフトウェアとは、サーバーの管理やストレージ管理、サーバー用のソフトウェアなどに関するCISベンチマークの分類です。下記のような製品・サービスの推奨設定を参照することができます。

サーバーソフトウェアに分類されている主な製品・サービス
  • Apache HTTP Server
  • BIND
  • Docker
  • IBM Db2
  • IBM WebSphere
  • Microsoft IIS
  • Microsoft SQL Server
  • Oracle Database

CISベンチマークのプロファイルレベル

CISベンチマークには、自社のビジネスへの影響を踏まえて設定を適用するかどうか、適切な判断ができるようにするための、「プロファイルレベル」という項目が定められています。プロファイルレベルの主な種類は、下記の3種類です。

CISベンチマークのプロファイルレベルの主な種類
プロファイル 概要
レベル1プロファイル 一般的な企業や組織向けの推奨設定。業務への影響を最小限に抑えながら、セキュリティリスクの低減を目指すレベルで、多くの組織で導入しやすい基本的な設定が中心。
レベル2プロファイル より高いセキュリティが求められる環境向けの設定。利便性や運用負荷に影響を与える可能性もあるが、厳格な管理を実現できる。
STIGプロファイル アメリカ国防総省(DoD)のDISAが策定するSTIG(Security Technical Implementation Guide)との整合性を考慮した設定。政府機関や高度なセキュリティ要件を持つ組織で利用されることがある。

CISベンチマークを利用する際の注意点

CISベンチマークを利用する際は、いくつかの注意点があります。主な注意点としては、下記3点が挙げられます。

CISベンチマークを利用する際の注意点
項目 概要
すべての企業に最適な設定ではないため闇雲に導入しない CISベンチマークは、すべての企業にとって最適な設定とは言えないため、自社環境への導入効果を確認してから導入する。
設定のみですべての脅威をカバーできると考えず別の対策を検討する 標的型攻撃や内部不正、ゼロデイ攻撃などには対応できないため、別の対策の導入を検討する。
互換性の問題が発生し得るため事前テストを行う 設定変更により既存の業務システムやアプリケーションに影響を与える可能性があるため、テスト環境での事前検証が必要になる。

すべての企業に最適な設定ではないため闇雲に導入しない

CISベンチマークは、あくまでもベストプラクティス集だという点を念頭に置いて活用する必要があります。すべての企業にとって最適な設定だと断言できるわけではなく、利用すれば必ずセキュリティレベルが最善になるわけでもありません。自社の環境に応じて、CISベンチマークの設定が自社にも適していることを確認した上で導入しましょう。

設定のみですべての脅威をカバーできると考えず別の対策を検討する

CISベンチマークは、セキュリティ上の脅威をオールマイティにカバーできるわけではない点にも注意が必要です。主に設定面のセキュリティ強化を目的としているため、標的型攻撃や内部不正、ゼロデイ攻撃などには対応できません。CISベンチマークを参考にしながら、別途、セキュリティ対策の導入も検討することをお勧めします。

互換性の問題が発生し得るため事前テストを行う

CISベンチマークに準拠した設定を適用すると、既存の業務システムやアプリケーションとの互換性に問題が生じる場合がある点にも注意しましょう。

例えば、アクセス制御の設定を変更した結果、従業員が業務上必要な情報へアクセスできなくなるケースも考えられます。また、既存のセキュリティ製品や管理ツールと設定が競合する可能性もあります。

そのため、本番環境へ適用する前に検証環境で十分なテストを行い、業務への影響を確認することが重要です。

CISベンチマークを参考に、自社に最適なセキュリティ環境を構築しよう

CISベンチマークは、自社が利用している製品・サービスのセキュリティ対策に世界中の専門家の知見を活用できるガイドラインです。CISベンチマークの活用によって、効果的なセキュリティ対策を講じることができるようになります。

ただし、CISベンチマークの設定が自社にとって最善であるとは限りません。CISベンチマークの設定が自社の環境に適しておらず、設定を変更したことでビジネスに影響が及ぶ可能性も考えられます。
そのため、CISベンチマークを利用する際には、自社の状況に照らして、推奨設定を自社でも適用すべきか判断することが重要です。同時に、情報資産を適切に管理できる、CISベンチマーク以外のセキュリティ対策の導入も検討しましょう。

インターコムの「MaLion」シリーズは、Windows、Mac、iPhone、AndroidのIT資産を総合的に管理し、情報漏洩を防ぐソフトウェアです。端末ごとのセキュリティポリシー設定や違反者の警告通知、印刷操作・外部デバイス接続・メール監視のほか、個人情報ファイル制御など、社内外の端末の管理に必要な機能を標準搭載しています。
CISベンチマークの活用と並行して実行できるセキュリティ対策をお探しの場合は、ぜひご検討ください。

「MaLion」シリーズのラインアップ
クラウド版 オンプレミス版
MaLionCloud
MaLion 7
▲