CIS-CAT Liteをwindowsに使ってみる!

CIS Controls

今回はCIS-CAT Liteというツールを使ってみたいと思います。

現在CISの勉強を行っていますが、実際に使っている環境に対してCISにどのくらい適合できているのかを確認したいと思っている方は多いのではないでしょうか?

そのようなときにCIS-CAT Liteというツールを使うことで、OSに限定してですが、調査することが可能です。

興味がある方はこの記事を読んで頂ければ幸いでございます。

なお、内容については個人的な見解もありますので、予めご了承ください。

CIS-CAT Liteのダウンロード

まずはこちらが無いと話になりませんので、ダウンロードします。

こちらのサイトに行くことで以下のような画面が表示されるかと思います。

こちら英語ですが、そんなに難しいことは書いてありませんので、Google翻訳に頼りつつ必要事項を入力していきます。

必要事項を入力して、最後の「Get CIS-CAT」ボタンを押すと、入力したメールアドレス宛にリンクが記載されたメールが飛んできます。

メールのリンクをクリックするといきなりダウンロードが始まりますのが、標的型攻撃のリンク型ではないので大丈夫です。
※念のためアクセス先が「learn.cisecurity.org」となっているかちゃんと確認しましょう!

ダウンロードしたらzipファイルですので、まずは解凍してください。

メール本文に書いてありますが、ダウンロードするファイルがバージョン3とバージョン4があります。

今回はバージョン3を使用します。(正直バージョン4の使い方がわかりませんでした・・・GUIで動く感じではなく、CUIで動かすやつなのではという感じです。)

解凍バージョン3のフォルダを開くと以下のようになっているかと思います。(2019/10/2はCIS-CAT Lite v3.0.61です。)

その中の「CISCAT.jar」を起動します。(プロファイル等の覗くので管理者権限がないとダメだと思います。)

起動すると以下の画面が上がりますので、今回のOSであるWIndows10を選択します。(赤枠のやつです。)

Windows10を選択したら「Next」で次に進みます。

次にProfileを選択する画面になりますので、以下の「general use」のProfleを選択し、「Next」で次に進みます。

なお、英語の個所についてはとりあえずこれを使っておけばOK的な内容が書いてあります。

次に出力する箇所や形式の個所ですが、Pro版だと色々選べるのでしょうか、Lite版ですので選択できる個所が以下のように限られています。

デフォルトのままでOKなので、「Next」を押して次に行きます。ファイルの保存先も指定できるので、そこはご自由にどうぞ。

POSTで送ることもできるみたいなのですが、こちらは実施したことがありません。

以下のように最終の確認画面が出ますので、軽く確認をして、「Start Assessment」を押して実行します。

実行すると以下のように300を超える項目を順番にスキャンするので、少し待ちます。(1、2分もかからないかと思います。)

物凄く「Fali」(不合格)というのが出てきていますが、落ち込まないように。(試験前にやると凹む可能性がありますので、慎重に)

終わったら、レポートが見れるようになりますので、「View Reports」を押して見てみましょう。

以下のようにとてもきれいな形式のファイルが出来上がります。

形式がHTML形式なのも良いところですね。(ツールで拾いやすそう)

中身を見てみるとCISのWindows10のベンチマークに合わせた項目に対して自分のPCがどの程度適合しているのかが分かります。

勿論私のPCは私用のものですので、全然ダメダメなことが分かります・・・

CISに要件を合わせたいとか、セキュリティの基準としてCISを採用したいと考えている人は一度使用してみては如何でしょうか。

色々できると噂のPro版もありますが、有償ですので私は使ったことがありません。

使ったことがある方はどのような感じかを教えて頂けると嬉しいです!

最後に

今回CIS-CAT Liteを使用して自分のPCであるWindows10がどの程度CISに適合しているか見てみました。(全然ダメだということは分かってましたが・・・)

組織として導入の際に気を付けることとしては、あくまでも「基準」であるということです。

組織によってはCISに合わせると業務が回らなくなる可能性があります。

社内の実態をよく知らない経営層が最近の流行りとしてこれを取り入れた場合、現場が混乱してしまい大ダメージを受ける可能性もあります。

自分たちの組織の状況と合わせて上手く運用していくことが必要です。

また、CIS-CAT LiteではOSの調査はできますが、NW関係の調査は行うことができません。

現状のアクセスルールやサーバ関係・ファイル関係の権限の付与や管理は別で行う必要があります。

あくまで、OSのベンチマークとの比較であることを念頭に置かなければいけません。

これがOKだからといって「CIS Controls」と整合性が取れているというわけではないので気を付けてください。

中身ついて軽く検討をしたいですが、それは次回時間ができた際に行おうと思います。(忘れてたらプッシュしていただけると頑張ります!)

不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。

イラスト図解式 この一冊で全部わかるセキュリティの基本 [ 宮本 久仁男 ]

posted with カエレバ
楽天市場
Amazon
7net
スポンサーリンク

コメント