今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール1 ハードウェア資産のインベントリとコントロール」を見ていきます。そして必須要件として挙げられている8つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
「コントロール1」のキーポイント
- スタートはシンプルに このコントロールは組織のセキュリティ運営が成熟するにつれ継続的に見直していくことが必要です。このサブコントロールは大抵の場合無料ツールで行え、簡単なスプレッドシートソフトウェアで管理出来ます。しかし組織が成長し、より多くのコントロールが実装されるにつれて複雑になり、CISセキュリティコントロールの他のサブコントロールともさらに緊密に統合されていきます。
- ベンダーからのガイダンスを要求する これらのサブコントロールの多くは、すでに貴社の環境内に導入されたベンダーの中核的な機能です。すでに支払った対価に充分見合う可能性を引き出すために、さまざまなその他のツールと統合させていきます。
- 標準化されたデータフォーマットを使用する 不運なことに他のコントロールはSCAPのような標準化されたデータフォーマットをリストから外しています。データのスキャンと収集を始めるにあたって、より複雑なツールが活用する共通のデータフォーマットを使用すると、新規のツールを導入する際に様々なデータを失わずに済みます。
コントロール1の必須要件リスト(サブコントロール)
1.アクティブ検出ツールを活用する
内容:アクティブ検出ツールを活用して組織のネットワークに接続されたデバイスを識別し、ハードウェア資産インベントリを更新します。
留意点: アクティブな検出とは、ネットワークをスキャンしてping スイープのようなデバイスの発見ができることをいいます。すばやく成果を出したいならNMAPを使用するとよいでしょう。しかしコントロール3までいくと、脆弱性スキャンニングツールを用いてデバイスを検出することが出来ます。
2.パッシブ資産検出ツールを使用する
内容:パッシブ検出ツールを活用して組織のネットワークに接続されたデバイスを識別し、自動的に組織のハードウェア資産インベントリを更新します。
留意点:パッシブな検出とは、新規のデバイスを探してネットワークトラフィックログをスキャンすることです。新規のデバイスを調べるためにファイアウォール、dns、dhcp、ウェブログもスキャンします。何か新しいものが見つかった際には常に、コントロール3で説明される脆弱性ツールを使って自動的にスキャンします。
3.資産インベントリを更新するためにDHCPロギングを使用する
内容:組織のハードウェア資産インベントリを更新するために、すべてのDHCPサーバまたはIPアドレス管理ツールに動的ホスト構成プロトコル(DHCP)ロギングを使用します。
留意点:これは事実上前述のコントロールの一部です。固定されたIPアドレスを使うと簡単にバイパス出来るので、わざわざこれが別途規定されているのは少し驚きです。
4.詳細な資産インベントリを維持する
内容:情報の保管または処理が可能なすべてのテクノロジー資産のインベントリを、正確かつ最新の状態で維持します。このインベントリには、組織のネットワークに接続している、いないに関わらず、すべてのハードウェア資産が含まれます。
留意点:これは最初の3つの推奨事項を実行する際の副産物です。スキャンによって見つかったものは必ずどこかにまとめておく必要があります。これがその場所です。小さな組織は、スプレッドシートで充分です。より大きな組織は、資産管理データベースに統合する必要があります。
5.資産インベントリ情報を維持する
内容:ハードウェア資産インベントリには、ネットワークアドレス、ハードウェアアドレス、マシン名、各資産のデータ資産所有者と部門、またハードウェア資産のネットワークへの接続が承認されているかどうかについて記録されているようにしてください。
留意点:収集するメタデータの種類が示されていること以外、前述の必須要件と大きな違いはないようです。資産に関して遠隔測定で収集したものはすべて、資産インベントリデータベースに追加しなくてはなりません。
6.無許可の資産に対処する
内容:無許可の資産をネットワークから切り離すか、隔離するか、あるいはタイムリーにインベントリが更新されるようにしてください。
留意点:ベースラインが設置されると、特に変更管理プロセスが導入されている場合には、新規のデバイスがネットワークに現れることはほとんどありません。新規デバイスの検出は、必ずしも悪意を持つ者が内部ネットワークのアクセス権を得たことを意味するわけではありません。従業員が個人のパソコンをネットワークに接続、そしてそのパソコンがウイルスまみれだったということかもしれません。
7.ポートレベルのアクセスコントロールを展開する
内容:ポートレベルアクセスコントロールを活用し、802.1x 標準に従い、どのデバイスがネットワークを認証出来るのか制御します。認証システムはハードウェア資産インベントリデータに関連付け、権限のあるデバイスのみがネットワークに接続できるようにしてください。
留意点:サブコントロール6を解決するために802.1x を全面的に実装します。正しく配備するのは容易なことではありませんが、もし不正なデバイスがネットワーク上に現れることを心配しているのなら、役に立ちます。MACアドレスをスイッチレベルのポートに直接関連付けるというのも弱いコントロールのひとつです。これで不正デバイスのネットワークへのアクセスを防ぐことが出来ますが、社屋内をあちこち移動するラップトップには、物理的なネットワークへのアクセスが許可されないかもしれません。従業員が作業スペースをたびたび移動する場合の管理も頭痛の種です。
8.クライアント証明書を活用してハードウェア資産を認証する
内容:クライアント証明書を使用して、組織の信頼出来るネットワークに接続しているハードウェア資産を認証します。
留意点:専門的に言えば、すべてのコントロールの中でも、これはより複雑なサブコントロールの一つです。暗号に関するものは何であれ、適切な実装は難しいものです。このことよりも先に、エンロールメント処理のニュアンスと公開鍵基盤を管理する方法を理解する必要があります。
CISコントロール1: ハードウェア資産のインベントリとコントロール
CISコントロール2: ソフトウェア資産のインベントリとコントロール
CISコントロール3:継続的な脆弱性管理
CISコントロール4:コントロールされている管理権限を使用
CISコントロール5:モバイルデバイス、ラップトップ、ワークステーションおよびサーバに関するハードウェアおよびソフトウェアのセキュアな設定
CISコントロール6:監査ログの保守、監視および分析
CISコントロール7:電子メールと Web ブラウザの保護
CISコントロール8:マルウェア対策
CISコントロール9:ネットワークポート、プロトコル、およびサービスの制限およびコントロール
CISコントロール11:ファイアウォール、ルータ、スイッチなどのネットワーク機器のセキュアな設定
CISコントロール12:境界防御
CISコントロール13:データ保護
CISコントロール14:Need-to-Knowに基づいたアクセスコントロール
CISコントロール15:ワイヤレスアクセスコントロール
CISコントロール16:アカウントの監視およびコントロール
CISコントロール17: セキュリティ意識向上とトレーニングプログラムの実施CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール19: インシデントレスポンスと管理CISコントロール20: ペネトレーションテストとレッドチームの訓練CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.