NRIセキュア、セキュリティガイドライン「CIS Benchmarks」を用いた情報システムの堅牢化サービスを提供

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は7日、「CIS Benchmarksを用いたシステム堅牢化支援サービス」の提供を開始した。

　サービスは、米国において情報セキュリティを推進する非営利団体CISが、情報システムを構成する製品やサービスごとに推奨する設定や手順などを記したガイドライン「CIS Benchmarks」に基づいて、NRIセキュアが個社ごとの情報システムを評価し、改善策を提案するもの。

　CIS Benchmarksは、PCやサーバー、ネットワーク機器、モバイル機器、データベース、アプリケーション、クラウドサービスといった製品・サービスのバージョンごとに、セキュリティレベルを高めるための詳細な設定や手順を推奨策としてまとめたもので、現在180以上の文書が公開されている。一方で、参照すべき項目数が膨大であることから、自社はどこまで対応すればよいのか、代替となる対策は何なのかなどについて、各社で判断することが難しくなっている。

　CIS Benchmarksを用いたシステム堅牢化支援サービスでは、NRIセキュアが実施してきたコンサルティングの実績とそこで培った経験やノウハウを活かし、CIS Benchmarksを自社システムで活用したいと考える企業に対して、各社固有の情報システム環境やセキュリティ対策状況を踏まえ、アセスメントから運用プロセスの整備まで包括的に支援する。

　サービスでは、NRIセキュアが独自に作成する「CIS Benchmarks日本語翻訳版チェックシート」をもとに、対象とする情報システムを構成する製品・サービスの安全性やリスクを評価する。抽出された課題に対して、有効な対策を整理し、優先度を定義したうえで、各社に適した改善計画の策定を支援する。

　また、システム運用に関する社内ドキュメントの確認や、運用担当者へのヒアリングを行ったうえで、CIS Benchmarksに沿った情報システムの堅牢化に向けて、運用プロセスを見直し、必要なマニュアルを整備する。各社の状況や要望に応じて、DevSecOpsを考慮した運用プロセスの改善案の提示や、新規のマニュアル作成にも対応する。