セキュリティベースラインとは何ですか？

組織のシステムやサービスに対して定める、最低限満たすべきセキュリティ設定基準のこと。これを下回る設定は許可されない「床」として機能する。

セキュリティベースラインのポイントは？

OS・ミドルウェア・クラウドサービスごとに設定値をリスト化した基準。CIS BenchmarkやSTIG（米国防省基準）などの公開ガイドラインをベースにすることが多い。定期的なコンプライアンスチェックでベースラインからの逸脱を検知する

【せきゅりてぃべーすらいん】

💡 セキュリティの「最低ライン」を全員が守るための共通ルール集

📌 このページのポイント

セキュリティベースラインの階層イメージ

ひよこ

セキュリティベースラインって何が「ベース」なの？

ペンギン先生

「この設定は必ず守ってね」という最低ラインのことだよ。例えば「デフォルトパスワードは必ず変える」「不要なポートは閉じる」みたいな設定の一覧なんだ。

ひよこ

誰が決めるの？

ペンギン先生

組織のセキュリティチームが決めるんだけど、CIS BenchmarkやNIST、Microsoftの基準など公開されているガイドラインをベースにすることが多いよ。

ひよこ

一度決めたら終わりなの？

ペンギン先生

いや、OSのアップデートや新しい脆弱性が見つかるたびに見直しが必要なんだよ。だいたい半年〜1年ごとにレビューするのが一般的だね。

ひよこ

守れているかどうかはどうやって確認するの？

ペンギン先生

CSPM（クラウドセキュリティ態勢管理）ツールや構成管理ツールで自動チェックするんだよ。ベースラインから外れた設定がすぐ分かるようにするんだ。

ひよこ

ベースラインを守っていれば安全なの？

ペンギン先生

ベースラインは「最低限」だからね、それだけでは十分じゃないよ。より高いリスクを持つシステムには追加の強化策が必要で、ベースラインはあくまで「出発点」なんだ。

まとめ：ざっくりこれだけ覚えればOK！

「セキュリティベースライン」って出てきたら「セキュリティ設定の最低基準」と思えればだいたいOK！