【野村総研】NRIセキュア、米国のガイドライン「CIS Benchmarks」を用いた情報システムの堅牢化サービスを提供開始 - グッドウェイ：金融・IT業界・フィンテック情報ポータルサイト（GoodWay Fintech）

2020/10/07	【野村総研】NRIセキュア、米国のガイドライン「CIS Benchmarks」を用いた情報システムの堅牢化サービスを提供開始	\| by:ウェブ管理者

NRIセキュアテクノロジーズ株式会社（本社：東京都千代田区、社長：小田島潤、以下「NRIセキュア」）は、「CIS Benchmarks1を用いたシステム堅牢化支援サービス（以下「本サービス」）」を本日より提供します。本サービスは、米国において情報セキュリティを推進する非営利団体CISが、情報システムを構成する製品やサービスごとに推奨する設定や手順などを記したガイドライン「CIS Benchmarks」に基づいて、NRIセキュアが個社ごとの情報システムを評価し、改善策を提案するものです。

「CIS Benchmarks」が注目される背景
高度化・巧妙化するサイバー攻撃や、普及が進むクラウドサービスにおけるユーザ設定の不備等を原因としたセキュリティインシデント（事故・事案）が増加し続けている昨今、情報システムの脆弱性が発見されるたびに個別に対処するだけではなく、日ごろから情報システム全体を安全に維持管理しておく重要性が高まっています。

情報システムを安全に構築・維持するためのガイドラインとして、米国をはじめ海外で高く評価されているのが、「CIS Benchmarks」です。このガイドラインは、PCやサーバ、ネットワーク機器、モバイル機器、データベース、アプリケーション、クラウドサービスといった製品・サービス2のバージョンごとに、セキュリティレベルを高めるための詳細な設定や手順を推奨策としてまとめており、現在180以上の文書が公開されています。一方で、参照すべき項目数が膨大であることから、自社はどこまで対応すればよいのか、代替となる対策は何なのか、などについて各社で判断することは困難な場合が多いのが実情です。

本サービスの概要
NRIセキュアは、CISが策定するサイバー攻撃対策のためのフレームワーク「CIS Controls」3の日本語訳を長年担当し、「CIS SecureSuite Membership」4にも参加しています。本サービスでは、NRIセキュアが実施してきた数多くのコンサルティングの実績とそこで培った経験やノウハウを活かし、「CIS Benchmarks」を自社システムで活用したいと考える企業に対して、各社固有の情報システム環境やセキュリティ対策状況を踏まえ、アセスメントから運用プロセスの整備まで包括的に支援します。

本サービスのおもな提供内容は、以下の2点です。

１.製品・サービスごとにきめ細かなリスク評価を実施
NRIセキュアが独自に作成する「CIS Benchmarks日本語翻訳版チェックシート」をもとに、対象とする情報システムを構成する製品・サービスの安全性やリスクを評価します。抽出された課題に対して、有効な対策を整理し、優先度を定義したうえで、各社に適した改善計画の策定を支援します。

2.情報システムの堅牢化に向けて運用プロセスを整備
システム運用に関する社内ドキュメントの確認や、運用担当者へのヒアリングを行ったうえで、「CIS Benchmarks」に沿った情報システムの堅牢化に向けて、運用プロセスを見直し、必要なマニュアルを整備します。各社の状況や要望に応じて、DevSecOps5を考慮した運用プロセスの改善案の提示や、新規にマニュアルを作成することも可能です。

原文はこちら
https://www.nri.com/jp/news/newsrelease/lst/2020/cc/1007_1

15:07 | IT：一般

< 前の記事へ次の記事へ >一覧へ戻る