標準

Security Configuration Management はさまざまな機関の標準をチェックリストの基準とします。

Center for Internet Security
Center for Internet Security (CIS) ガイドラインでは、ネットワーク・デバイス、オペレーティング・システム、ソフトウェア・アプリケーション、ミドルウェア・アプリケーションなどに適用可能な技術的コントロール・ルールおよび技術的コントロール値を推奨しています。CIS ガイドラインはコンセンサスに基づくもので、米国政府や各種業界で使用されています。
CIS ガイドラインは、PDF 形式で無料で配布されており、CIS セキュリティー・ベンチマークの会員にはセキュリティー設定チェックリスト記述形式 (XCCDF) でも提供されています。XCCDF は XML ベースの言語で、ベンチマーク評価ツールやカスタム・スクリプトに使用されます。
CIS の詳細については、https://www.cisecurity.org/ を参照してください。
国防情報システム局セキュリティー実装ガイド
国防情報システム局 (DISA: Defense Information Systems Agency) は、セキュリティー実装ガイド (STIG: Security Technical Implementation Guidelines) を発行しています。STIG には、ソフトウェア、ハードウェア、情報システムの安全なインストール、設定、保守に関する推奨事項が記載されています。STIG は、米国国防総省が使用する設定標準の基礎の 1 つです。
DISA および STIG の詳細については、http://www.disa.mil/ を参照してください。
連邦政府共通デスクトップ基準
連邦政府共通デスクトップ基準 (FDCC: Federal Desktop Core Configuration) は、米国国立標準技術研究所 (NIST) が推奨する一連のセキュリティー設定です。FDCC は、米国政府共通設定基準 (USGCB: United States Government Configuration Baseline) に置き換えられました。
クレジット・カード業界データ・セキュリティー基準
Payment Card Industry Data Security Standard (PCI DSS) は、ペイメント・カード業界に関連する技術要件や組織要件のベースラインです。
PCI DSS コンプライアンスを達成するために、安全な支払環境を組織全体に確立する必要があります。SCM は、組織のエンドポイントおよびサーバーのセキュリティー設定を強化し、組織の保護するエンドポイントが PCI DSS のセキュリティー・コンプライアンスを満たすようサポートします。
PCI DSS 標準に準拠することで、カード所有者のデータや機密認証データの安全性を確保し、悪意のあるユーザーや攻撃から十分に保護されるようにします。PCI DSS はペイメント・カード処理に関わるエンティティーすべてに適用され、PCI Security Standards Council が設定するセキュリティー標準とベスト・プラクティスへの継続的な準拠を要求します。
PCI DSS の詳細については、The Defense Information Systems Agency の Web サイト ( www.pcisecuritystandards.org/security_standards/) および「クレジット・カード業界データ・セキュリティー基準 (PCI DSS) ユーザー・ガイド」を参照してください。
米国政府共通設定基準
米国政府共通設定基準 (USGCB: United States Government Configuration Baseline) は、米国連邦政府機関が導入する情報技術製品のセキュリティー設定に関するガイドです。USGCB が対応するプラットフォームは次のとおりです: Microsoft の Windows 7、Windows 7 ファイアウォール、Windows Vista、Windows Vista ファイアウォール、Windows XP、Windows XP ファイアウォール、Internet Explorer 7、Internet Explorer 8、および Red Hat Enterprise Linux 5。
USGBC は、連邦政府共通デスクトップ基準 (FDCC) から置き換わったものです。
USGCB の詳細については、http://usgcb.nist.gov/ を参照してください。