今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール3 継続的な脆弱性管理」を見ていきます。そして必須要件として挙げられている7つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
「コントロール3」のキーポイント
- キーポイント1 正しいツールを備えた強固な脆弱性管理プログラムによって、自社内のセキュリティを管理し、社内外の両方の脅威のリスクを管理できるようになります。
- キーポイント2 リモートおよび認証済みスキャンを活用すると、ネットワークの全体像が把握できるようになります。それによって、問題となる前に脅威を理解できます。結果を見直し比較すれば、何が変更されたのか、その変更で生まれるリスクは何かをすばやく知ることができます。
- キーポイント3 適切な脆弱性管理プログラムを適用すれば、最も保証されている企業組織のネットワークの中に不具合や欠陥が見かったとしても、警戒の必要はありません。なぜならば、リスク評価を行い、対処可能な作業サイズに細分化すれば大丈夫です。
コントロール3の必須要件リスト(サブコントロール)
1.自動化された脆弱性スキャンツールを実行する
内容:最新のSCAPに準拠した脆弱性スキャンツールを活用して、ネットワーク上のすべてのシステムを毎週またはこれよりも高い頻度で自動スキャンし、組織のシステム上の潜在的な脆弱性をすべて特定します。
留意点: 定期的な自動スキャンは、ネットワーク上に潜り込んだ新しい脆弱性や変更を常に把握するために大切です。重要度の低いシステムでは週に一度のスキャンで十分ですが、頻繁にスキャンをするほど、より早期に問題が発見され解決されるようになります。自動スキャンを行うことで、スキャンされたすべてのシステムの現状が見通せるようになり、ネットワークのセキュリティを最も損なうのはどの脆弱性か、優先順位を決めるサポートをします。
2.認証済の脆弱性スキャンを実行する
内容:各システムでローカルに実行されているエージェントを使用するか、テストされるシステム上で管理者権限が設定されているリモートスキャナを使用して、認証された脆弱性スキャンを実行します。
留意点:認証済みの脆弱性スキャンを実行することにより、より正確な監査結果を得ることができます。データと情報が肝心だからです。認証されていないスキャンでは、エンドポイントの外側から、スキャンツールが「見る」ことができるものに関連するデータしか収集できません。それに対して認証済みスキャンは、外部と内部の両方から情報収集できます。この両面からの視点が重要であるだけでなく、認証済みスキャンを介して内部から収集されたデータによって、スキャンツールはエンドポイントの脆弱性状態をより詳細に分析できるのです。
3.専用のアセスメントアカウントを保護する
内容:認証済みの脆弱性スキャンを実施する際には専用のアカウントを使用します。このアカウントはその他の管理作業には使用せず、特定のIP アドレスの特定のマシンに関連付けられている必要があります。
留意点:脆弱性スキャンでは、常にスキャンに必要な絶対最低限の権限で専用認証情報を使用しなければなりません。これにより、認証情報が盗み出される危険性を最小限に抑えつつ、より効果的にSIEMを実行できるようになります。目的は、スキャン以外の目的でスキャンの認証情報が使用されたときに、それがアナリストの目に付くようにすることです。
4.自動オペレーティングシステムパッチ管理ツールの導入
内容:自動ソフトウェア更新ツールを利用して、オペレーティングシステムがソフトウェアベンダーの提供するセキュリティアップデートの最新版を実行していることを保証します。
留意点:この必須要件は、たいていの場合において賢明な措置です。このような自動化ツールを使用することで、ユーザは修正プログラムが公開されるとすぐ、重要なセキュリティホールにパッチをあてることができます。ただし、オペレーティングシステムのアップデートの際は、問題の脆弱性を完全に修正するためには、たいてい再起動が必要になるということに気をつけてください。自動再起動の実行は、おそらくハイアベイラビリティ環境では望ましくないと思われます。システム管理者は、この環境ではとりわけ入念に適切なメンテナンスウィンドウをスケジュールし、パッチが完全に適用されるようにしなくてはなりません。
5.自動ソフトウェアパッチ管理ツールの導入
内容:自動ソフトウェア更新ツールを適用して、すべてのシステムのサードパーティ製ソフトウェアが、ベンダーが提供するセキュリティアップデートの最新版を実行していることを保証します。
留意点:自動化されたソフトウェア更新ツールはすばらしいものです。というのは、手動更新よりも一貫性がありエラーが発生しにくいからです。ただし万能だから任せておけばよい、ということでは決してありません。つまりすべてのサードパーティのソフトウェアがすべての自動化されたソフトウェア更新ツールでうまく動作するわけではなく、またファームウェアアップデートの問題も残されています。自動更新を盲信するのは見込み違いです。すばらしいソリューションではありますが、やるべき(手作業での)仕事が残っています。
6.バックツーバック脆弱性スキャンを比較する
内容:定期的にバックツーバック脆弱性スキャンの結果を比較して、タイムリーに脆弱性が修復されたことを確認します。
留意点:定期的な脆弱性スキャンにより、組織内にあるすべての既知の高リスクの脆弱性が確実に発見されるので、システム上で見つかった高リスクの脆弱性の軽減に優先順位をつけてあたることができるようになります。さらに、管理者はシステムに重要なパッチがインストールされているかどうか判断できるようになります。このプロセスによって、組織のシステム上に存在する既知の重大な脆弱性に対する潜在的な攻撃のリスクにさらされる度合い を最小限に抑えることができます。
7.リスク評価プロセスを活用する
内容:リスク評価プロセスを活用し、発見された脆弱性を修復する優先順位をつけます。
留意点:一度にすべてを修復しようとしても成功の見込みはありません。大規模な課題は細分化しないと対処できないことは誰でも知っています。脆弱性レポートを管理可能なタスクに分割する最善の方法は、リスク評価プロセスを活用して、評価が最も高いタスクから開始することです。こうすることで最もリスクの高い脆弱性について、余裕を持って対応を進めることができます。また、進捗状況や改善努力が適用される迅速性を測定するためのツールも提供されます。
CISコントロール4:コントロールされている管理権限を使用
CISコントロール5:モバイルデバイス、ラップトップ、ワークステーションおよびサーバに関するハードウェアおよびソフトウェアのセキュアな設定
CISコントロール6:監査ログの保守、監視および分析
CISコントロール7:電子メールと Web ブラウザの保護
CISコントロール8:マルウェア対策
CISコントロール9:ネットワークポート、プロトコル、およびサービスの制限およびコントロール
CISコントロール11:ファイアウォール、ルータ、スイッチなどのネットワーク機器のセキュアな設定
CISコントロール12:境界防御
CISコントロール13:データ保護
CISコントロール14:Need-to-Knowに基づいたアクセスコントロール
CISコントロール15:ワイヤレスアクセスコントロール
CISコントロール16:アカウントの監視およびコントロール
CISコントロール17: セキュリティ意識向上とトレーニングプログラムの実施CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール19: インシデントレスポンスと管理CISコントロール20: ペネトレーションテストとレッドチームの訓練CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.
