CIS(Center for Internet Security)

国際インターネット・セキュリティ組織

米国のNSA(National Security Agency/国家安全保障局)、DISA(Difense Informaton Systems Agency/国防情報システム局)、NIST(National Institute of Standards and Technology/米国立標準技術研究所)などの米国政府機関と、企業、学術機関などが協力して、インターネット・セキュリティ標準化に取り組む団体の名称。CISでは、Solaris、Linux、HP.UX、Cisco IOS Router、Windos 2000、Windows NTののサーバー向けベンチマークを作成している。詳細情報はURL(http://www.cisecurity.org/)で知ることができる。CISは2002年7月17日に、第一段として、Windows 2000ワークステーションのセキュリティがパッチおよび構成の要件を満たしているかどうかをテストして、セキュリティを保証するベンチマーク・レベル1「Gold Standard(俗称)」の支持を表明した。詳細情報はURL(http://www.cisecurity.org/bench_win2000.html)で知ることができる。ただし、「Gold Standard」が登場したから、Windows 2000を使っても安心というほど単純なことではなく、クラッカーは「Gold Standard」を利用して、セキュリティがパッチおよび構成の要件を満たしていないサーバーを検索するようになるし、同時に「Gold Standard」でチェックできていないセキュリティ・ホールを探す手段に利用するなど、「Gold Standard」を攻撃手法の選択用ツールに利用してくることだろう。Microsoft社は2002年12月12日に、Internet ExplorerやWindows XPなどに搭載されているJavaVM「Microsoft VM」に7種類のセキュリティ・ホールが存在することを明らかにしに安全上の欠陥があり、最悪の場合は第3者によってコンピュータに記憶されたファイルを自由に操作されるなどの危険性があると発表し、「Microsoft VMの問題により、システムが侵害される(810030) (MS02-069)」を公開し、修正プログラムをリリースした。詳細情報はURL(http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-069.asp)で知ることができる。