web-dev-qa-db-ja.com

CISメンバーでなくてもCISベンチマークを使用する方法

CISセキュリティベンチマーク を使用してLinuxシステムを監査しようとしています。セキュリティ関連のベンチマークを実行できる OpenSCAP または Lynis のようなOSツールがあり、closeをCISベンチマークに適用しますが、同じではありません。

自由に利用できるベンチマークをPDF形式で変換し、OpenSCAPまたはLynisにフィードして結果を公開できるものに変換するという面倒な作業を行った人はいますか?

調べてみたが見つけられなかったが、見落としているのかもしれない。

4
Isaac

私は物事の法的側面をチェックしました-これは基本的に私が何も役に立たなかった理由を説明しています。つまり、CISベンチマークを使用して、メンバーでないとCISベンチマークと呼ぶことはできません。

無料で提供されているPDFの「利用規約」からの引用:

使用条件この作品は、Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International Public Licenseの下でライセンスされています。ライセンス条項へのリンクは https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode にあります。CISベンチマークコンテンツに関連するクリエイティブコモンズライセンスをさらに明確にするために、 (i)CISに適切なクレジットが付与されていること、(ii)ライセンスへのリンクが提供されていることを条件として、組織内および組織外の非営利目的でのみ使用できるようにコンテンツをコピーおよび再配布することが許可されています。さらに、リミックス、変換、またはCISベンチマークに基づいて構築する場合、同じライセンスの対象である場合にのみ、変更された資料を配布できます。元のベンチマークライセンスとしての条件およびお客様の派生物はCISベンチマークではなくなります。 CISベンチマークの商用利用には、Center for Internet Securityの事前承認が必要です。

【重点鉱山】

つまり、PDFをある種のスクリプトに変換すると、それを「CISベンチマーク」と呼ぶことができなくなり、商用利用もできなくなります。

したがって、CISベンチマークの対象となる資産が本当に必要な場合、メンバーシップを回避する方法はありません。 コスト面 思ったほど悪くはありませんが、非常に小さな組織では難しいかもしれません。

Tenable は機械可読形式を発行しますが、ライセンスも制限されているため、支払いを行う方法はありません。

その「公正な」セキュリティに関心がある場合、もちろん、さまざまな優れた選択肢があり(質問を参照)、それらの多くはCISに触発された(またはその逆)ようです。しかし、私たちの場合、お客様はCISについて質問していたため、メンバーシップを取得する必要があります。

3
Isaac