Center for Internet Security Benchmarks

FrontPage

Center for Internet Security Inc は米国の州、地方、政府機関のサイバー攻撃の防御、対応、回復を担うMulti-State Information Sharing and Analysis Center（MS-ISAC）と、選挙事務所や選挙インフラシステムのサーバーセキュリティを担うElections Infrastructure Information Sharing and Analysis Center (EI-ISAC) の運用を行っている非営利法人です。 CIS Benchmarkはホームページによると「実証済みのガイドラインにより、サイバー攻撃に対して最も脆弱なオペレーティングシステム、ソフトウェア、およびネットワークを保護できます。進化するサイバーセキュリティの課題と闘うために、ボランティアのITコミュニティによって継続的に検証されています。」となっています。STIG同様にハードウェアからOS、アプリケーションに至る各個別製品の具体的な設定方法が掲載されており、NIST Cybersecurity Framework (CSF)、NIST SP 800-53、ISO 27000、PCI DSSなどの規格、枠組みに対応しています。BenchmarkはLevel 1（設定しても弊害がない基本的なセキュリティ要件）、Level 2（機能低下を起こすがより高度なセキュリティ環境向けセキュリティ要件）の2つの設定が提供されています。ツールを除き、実証済みのガイドラインが無償でダウンロードでき、2020年3月段階で、およそ600製品/バージョンが登録されています。STIG同様に、必要に応じて改訂されています。

• https://www.cisecurity.org/cis-benchmarks/

攻撃ベクトルの研究
OWASP ASVS 4.0
最低限検討すべきデフォルト緩和策 端末編
最低限検討すべきデフォルト緩和策 セキュリティ仕様・Webアプリケーション編
詳細設定対策に必要な措置
MITRE ATT＆CKに基づく詳細設定対策