今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール3 継続的な脆弱性管理」を見ていきます。そして必須要件として挙げられている7つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
内容:最新のSCAPに準拠した脆弱性スキャンツールを活用して、ネットワーク上のすべてのシステムを毎週またはこれよりも高い頻度で自動スキャンし、組織のシステム上の潜在的な脆弱性をすべて特定します。
留意点: 定期的な自動スキャンは、ネットワーク上に潜り込んだ新しい脆弱性や変更を常に把握するために大切です。重要度の低いシステムでは週に一度のスキャンで十分ですが、頻繁にスキャンをするほど、より早期に問題が発見され解決されるようになります。自動スキャンを行うことで、スキャンされたすべてのシステムの現状が見通せるようになり、ネットワークのセキュリティを最も損なうのはどの脆弱性か、優先順位を決めるサポートをします。
内容:各システムでローカルに実行されているエージェントを使用するか、テストされるシステム上で管理者権限が設定されているリモートスキャナを使用して、認証された脆弱性スキャンを実行します。
留意点:認証済みの脆弱性スキャンを実行することにより、より正確な監査結果を得ることができます。データと情報が肝心だからです。認証されていないスキャンでは、エンドポイントの外側から、スキャンツールが「見る」ことができるものに関連するデータしか収集できません。それに対して認証済みスキャンは、外部と内部の両方から情報収集できます。この両面からの視点が重要であるだけでなく、認証済みスキャンを介して内部から収集されたデータによって、スキャンツールはエンドポイントの脆弱性状態をより詳細に分析できるのです。
内容:認証済みの脆弱性スキャンを実施する際には専用のアカウントを使用します。このアカウントはその他の管理作業には使用せず、特定のIP アドレスの特定のマシンに関連付けられている必要があります。
留意点:脆弱性スキャンでは、常にスキャンに必要な絶対最低限の権限で専用認証情報を使用しなければなりません。これにより、認証情報が盗み出される危険性を最小限に抑えつつ、より効果的にSIEMを実行できるようになります。目的は、スキャン以外の目的でスキャンの認証情報が使用されたときに、それがアナリストの目に付くようにすることです。
内容:自動ソフトウェア更新ツールを利用して、オペレーティングシステムがソフトウェアベンダーの提供するセキュリティアップデートの最新版を実行していることを保証します。
留意点:この必須要件は、たいていの場合において賢明な措置です。このような自動化ツールを使用することで、ユーザは修正プログラムが公開されるとすぐ、重要なセキュリティホールにパッチをあてることができます。ただし、オペレーティングシステムのアップデートの際は、問題の脆弱性を完全に修正するためには、たいてい再起動が必要になるということに気をつけてください。自動再起動の実行は、おそらくハイアベイラビリティ環境では望ましくないと思われます。システム管理者は、この環境ではとりわけ入念に適切なメンテナンスウィンドウをスケジュールし、パッチが完全に適用されるようにしなくてはなりません。
内容:自動ソフトウェア更新ツールを適用して、すべてのシステムのサードパーティ製ソフトウェアが、ベンダーが提供するセキュリティアップデートの最新版を実行していることを保証します。
留意点:自動化されたソフトウェア更新ツールはすばらしいものです。というのは、手動更新よりも一貫性がありエラーが発生しにくいからです。ただし万能だから任せておけばよい、ということでは決してありません。つまりすべてのサードパーティのソフトウェアがすべての自動化されたソフトウェア更新ツールでうまく動作するわけではなく、またファームウェアアップデートの問題も残されています。自動更新を盲信するのは見込み違いです。すばらしいソリューションではありますが、やるべき(手作業での)仕事が残っています。
内容:定期的にバックツーバック脆弱性スキャンの結果を比較して、タイムリーに脆弱性が修復されたことを確認します。
留意点:定期的な脆弱性スキャンにより、組織内にあるすべての既知の高リスクの脆弱性が確実に発見されるので、システム上で見つかった高リスクの脆弱性の軽減に優先順位をつけてあたることができるようになります。さらに、管理者はシステムに重要なパッチがインストールされているかどうか判断できるようになります。このプロセスによって、組織のシステム上に存在する既知の重大な脆弱性に対する潜在的な攻撃のリスクにさらされる度合い を最小限に抑えることができます。
内容:リスク評価プロセスを活用し、発見された脆弱性を修復する優先順位をつけます。
留意点:一度にすべてを修復しようとしても成功の見込みはありません。大規模な課題は細分化しないと対処できないことは誰でも知っています。脆弱性レポートを管理可能なタスクに分割する最善の方法は、リスク評価プロセスを活用して、評価が最も高いタスクから開始することです。こうすることで最もリスクの高い脆弱性について、余裕を持って対応を進めることができます。また、進捗状況や改善努力が適用される迅速性を測定するためのツールも提供されます。
By Travis Smith