サポートされるベンチマーク

BigFix Compliance SCM には、次のセキュリティー構成ベンチマークに基づいて作成されたチェックリストが用意されています。

Center for Internet Security (CIS)

CIS ガイドラインでは、ネットワーク・デバイス、オペレーティング・システム、ソフトウェア・アプリケーション、ミドルウェア・アプリケーションなどに適用される技術的コントロール・ルールおよび技術的コントロール値を推奨しています。CIS ガイドラインはコンセンサスに基づくもので、米国政府や各種業界で使用されています。

CIS ガイドラインは、PDF ファイルで無料で配布されており、CIS セキュリティー・ベンチマークの会員にはセキュリティー設定チェックリスト記述形式 (XCCDF) でも提供されています。XCCDF は XML ベースの言語で、ベンチマーク評価ツールやカスタム・スクリプトに使用されます。

CIS の詳細については、https://www.cisecurity.org/cis-benchmarks/ を参照してください。

国防情報システム局 (DISA) セキュリティー実装ガイド (STIG)

DISA STIG には、ソフトウェア、ハードウェア、情報システムの安全なインストール、設定、保守に関する推奨事項が記載されています。DISA STIG は、米国政府が使用する設定標準の基礎の 1 つです。

DISA STIG の詳細については、https://public.cyber.mil/stigs/ を参照してください。

クレジット・カード業界データ・セキュリティー基準 (PCI DSS)

PCI DSS は、ペイメント・カード業界に関連する技術要件や組織要件のベースラインです。

PCI DSS コンプライアンスを達成するために、安全な支払環境を組織全体に確立する必要があります。SCM は、組織のデバイスおよびサーバーのセキュリティー設定を強化し、組織の保護するデバイスが PCI DSS のセキュリティー・コンプライアンスを満たすようサポートします。

PCI DSS 標準に準拠することで、カード所有者のデータや機密認証データの安全性を確保し、悪意のあるユーザーや攻撃から十分に保護されるようにします。PCI DSS はペイメント・カード処理に関わるエンティティーすべてに適用され、PCI Security Standards Council が設定するセキュリティー標準とベスト・プラクティスへの継続的な準拠を要求します。

連邦政府共通デスクトップ基準 (FDCC)

FDCC は、米国国立標準技術研究所 (NIST) が推奨していた一連のセキュリティー設定です。FDCC は、米国政府共通設定基準 (USGCB: United States Government Configuration Baseline) に置き換えられました。

米国政府共通設定基準 (USGCB: United States Government Configuration Baseline)

USGCB は、米国連邦政府機関が導入する情報技術製品のセキュリティー設定に関するガイドです。USGCB が対応するプラットフォームは次のとおりです: Microsoft の Windows 7、Windows 7 ファイアウォール、Windows Vista、Windows Vista ファイアウォール、Windows XP、Windows XP ファイアウォール、Internet Explorer 7、Internet Explorer 8、および Red Hat Enterprise Linux 5。

USGBC は、連邦政府共通デスクトップ基準 (FDCC) から置き換わったものです。

USGCB の詳細については、http://usgcb.nist.gov/ を参照してください。