(2001.7.2,Mary Mosquera=InternetWeek

 企業やインターネット・ユーザー・グループが集まって設立したセキュリティ団体,The Center for Internet Security(CIS)が米国時間7月2日に,発足後初めてのOS向けセキュリティー基準をリリースした。Solaris向けのセキュリティ・ベンチマーク「CIS Benchmark for Solaris (V 1.0) 」である。

 金融や軍事機関,EC(電子商取引)といったインフラ系サイトのセキュリティの重要性に注目したもので,クラッカー(悪意を持つハッカー)の攻撃に対抗する,より安全な製品の提供を支援することを目的としている。

 このベンチマークは,システムのコンフィギュレーションについて詳細に規定しており,コンピュータやネットワークのセキュリティを確保できるようにする。Benchmark for Solarisおよびセキュリティ設定の評価ソフトウエアは,CISのWWWサイト(http://www.cisecurity.org/)から入手可能である。

 「システムがセキュリティ・コンフィギュレーションの最低限の基準を満たしておらず,またインターネットにつながっている限り,それがどんなシステムであってもDDoS(distributed denial of service)攻撃を免れることはできない」(CIS)。

 なおCISは,「Windows NTやWindows 2000,Linux,HP-UX,AIXといったSolaris以外のOS向けベンチマークもまもなく提供する」(CISのCEOを務めるClint Kreitner氏)という。

 「このベンチマーク基準に適合するということは,情報の窃盗や悪用から企業を守るだけでなく,情報漏洩に関連するさまざまな訴訟からも企業を守ることになる」(同氏)。

 このベンチマークと評価ソフトウエアは,コンピュータ・セキュリティの緊急対策チームであるInternet Storm CenterやCERT Coordination Centerが新たなセキュリティー・ホールを報告に合わせて,逐次アップデートを行っていく。なおCISのメンバ企業・団体には,米Visa,米PricewaterhouseCoopers,米Intel,SANS Institute,米Guardentなどがある。

 「企業や団体は,コンピュータ・アーキテクチャの広範な分野に取り組んでいる。しかし,一般に共通して認められている包括的なセキュリティ基準はこれまでなかった。CISのベンチマークは企業・団体に(このための)共通の言語を提供する」(Naval Surface Warfare Center情報システム・セキュリティ・マネージャのFred Kerby氏)。

Copyright(c) 2001 CMP Media LLC. All rights reserved.

[記事へ]
[CISの関連ページ]

 セキュリティに関する情報は総合IT情報サイト『IT Pro』の「セキュリティ」で詳しくお読みいただけます。

◎関連記事
e-businessの基本中の基本,それは組織としての個人情報保護
(ISC)2がシステム・セキュリティ認定プログラム「SSCP」を発表
ハードウエアのセキュリティ仕様「1.0」版をCompaq,HP,IBM,Intel,Microsoft主導のTCPAが公開
米国電子工業会がオンライン・プライバシ保護で米政府に要求突きつける
子どもと家族のプライバシを保護するため,学校に要求すべき“8箇条”
業界人は,オンライン・プライバシの業界自主規制を信頼していない
【TechWeb特約】Amazom.comが顧客情報の譲渡でプライバシ条項を一部改訂
米Microsoftが「子どもを有害サイトなどから守る」教育用ツールを発表
IBM,Microsoft,Ciscoなど19社と米政府,サイバーテロ対策組織「IT-ISAC」を発足
CERT/CCが警告したTCPスタックの深刻なぜい弱性