今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール4 コントロールされている管理権限を使用」を見ていきます。そして必須要件として挙げられている9つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
「コントロール4」のキーポイント
- このコントロールを正しく理解する。攻撃者は管理者認証情報を手に入れるのが大好きです。コントロール4がトップ5入りしているのは、まさにその理由からです。管理者認証情報は、護るべきデータと同じくらい重要なものです。社内最重要データと同様に慎重に扱います。
- ベストプラクティスに倣う。全てのコンプライアンスフレームワークやベンチマーク強化には、管理者のものだけではなく認証情報取り扱いについてのガイダンスがあります。貴社の環境下で何をすべきか、良いアイディアを得るために参照して下さい。
- 二要素認証について真剣に検討する。管理ユーザが多要素認証を利用するためのガイダンスはありますが、全てのユーザが利用してはいけない理由はありません。VPNにアクセスする時のみではなく、常時であるべきです。コストやリソースの問題が出てくるかもしれませんが、もう必須要件にしてしまってもよいくらいです。
コントロール4の必須要件リスト(サブコントロール)
1.管理アカウントのインベントリを維持する
内容:自動化ツールを使用して、ドメインとローカルアカウントを含むすべての管理アカウントのインベントリを作成し、管理権限を持つユーザだけがより高いレベルの権限があることを確認します。
留意点: 攻撃者は管理アカウントを狙います。管理者としてのアクセスができれば、コストのかかるゼロデイ攻撃を仕掛けて環境内で騒ぎを起こす必要もないからです。攻撃者が何を求めているのかを把握すれば、適切な制御、検出メカニズムを実装することができます。
2.デフォルトのパスワードを変更する
内容:新規のアセットを適用する前に、デフォルトで設定されているパスワードをすべて、管理者アカウントと同レベルに変更する必要があります。
留意点:すべてのデフォルトのパスワードが管理者パスワードのレベルに推奨されているように変更されるべきであることにご留意ください。また、ほとんどの場合デフォルトアカウントには管理者レベルのアクセス権が設定されています。可能であれば、デフォルトのアカウントを削除するか名称を変更して、パスワードを破る総当り攻撃を回避できるようにします。
3.専用の管理者アカウントを使用する
内容:管理者アカウントにアクセスする全てのユーザは、管理者としてのより高いレベルのアクティビティ用に専用の、または二次的アカウントを使用するようにします。このアカウントは管理アクティビティのためだけに使われ、インターネット閲覧や電子メールといったアクティビティには使用されないようにします。
留意点:このサブコントロールは、コントロール11.6、11.7と多くの類似点があります。これらは同じ三角形の三つの辺にあたります。管理者アカウントが晒される機会を制限することで、攻撃者がネットワーク上を捜し回っても管理者認証情報を入手し難くなります。
4.独自のパスワードを使用する
内容:多要素認証がサポートされていない場合(ローカル管理者、ルート、サービスアカウントなど)、アカウントはそのシステム向けの独自のパスワードを使用します。
留意点:何に対してもそれぞれ独自のパスワードを使用すべきだというのは、どちらかというとインターネットの一般的なガイドラインといってよいでしょう。もしも攻撃者があるデバイスからパスワードを盗み出したとして、その同じ認証情報を用いてネットワークを自在に移動して欲しくないはずです。
5.すべての管理アクセスに対して多要素認証を使用する
内容:すべての管理者アカウントへのアクセスに対して多要素認証と暗号化されたチャネルを使用します。
留意点:これはコントロール11.5と多くの類似点があります。ここでも同様のことが推奨されます。第一に暗号化したチャネルを使用すること。そして可能な限りどこにでも多要素認証を実装することです。
6.全ての管理者は専用のワークステーションを使用する
内容:管理者は、すべての管理者タスクまたは管理者アクセスを必要とするタスクを行う際には専用のマシンを使用します。このマシンは組織の主要なネットワークからは隔離され、インターネットアクセスを許可しないようにします。また、このマシンは電子メールを読んだり、文書を作成したり、インターネットで情報を閲覧したりといった用途には使用されないようにします。
留意点:これは11.6の内容と全く同じ内容で、「ネットワークエンジニア」が「管理者」に入れ替わっているだけです。セキュアにするためにどうするのかに違いがないので、これは統合すべきだと思います。
7.スクリプトツールへのアクセスを制限する
内容:スクリプトツール(Microsoft PowerShell やPythonのような)へのアクセスを、その機能にアクセスする必要のある管理者または開発ユーザのみに制限します。
留意点:LANがなくても問題がないのに、わざわざマルウェアの侵入を招く必要はないでしょう。ここではWindowsが直接言及されていますが、AppLockerを使えばPowerShellなどのスクリプト言語を稼働するためのアクセスをごく簡単に制限できるのです。私達のMITRE ATT&CK コンテンツなら、素早くアセスメントを実施して、貴社のエンドポイントをこの水準のセキュリティまでロックダウンするためのガイダンスを提供できます。
8.管理グループメンバーの変更はログをとり、アラートを出す
内容:管理者としての権限が与えられたグループにアカウントが追加または削除されたとき、ログエントリを発行してアラートを送信するようシステムを設定します。
留意点:WindowsとUnixのシステムには両方とも、このレベルのロギングを有効にする機能があります。もう1つの防御レイヤーは、定期的な間隔で実際にアカウントの監査も行うことです。Tripwire Enterpriseのようなツールを使用し、ユーザのアクセスレベルだけではなく監査の設定についても検証しましょう。
9.管理者アカウントへのログインの失敗のログをとり、アラートを出す
内容:管理者アカウントへのログインが失敗したときに、ログエントリを発行してアラートを送信するようシステムを設定します。
留意点:この点も含めてどのような監査オプションを有効にするのかCISとDISAのガイダンスを参照します。適切な監査を有効にしてあれば検出できる総当り攻撃のほかにも、攻撃経路は多々あります。
CISコントロール5:モバイルデバイス、ラップトップ、ワークステーションおよびサーバに関するハードウェアおよびソフトウェアのセキュアな設定
CISコントロール6:監査ログの保守、監視および分析
CISコントロール7:電子メールと Web ブラウザの保護
CISコントロール8:マルウェア対策
CISコントロール9:ネットワークポート、プロトコル、およびサービスの制限およびコントロール
CISコントロール11:ファイアウォール、ルータ、スイッチなどのネットワーク機器のセキュアな設定
CISコントロール12:境界防御
CISコントロール13:データ保護
CISコントロール14:Need-to-Knowに基づいたアクセスコントロール
CISコントロール15:ワイヤレスアクセスコントロール
CISコントロール16:アカウントの監視およびコントロール
CISコントロール17: セキュリティ意識向上とトレーニングプログラムの実施CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール19: インシデントレスポンスと管理CISコントロール20: ペネトレーションテストとレッドチームの訓練CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.
