今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール4 コントロールされている管理権限を使用」を見ていきます。そして必須要件として挙げられている9つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
内容:自動化ツールを使用して、ドメインとローカルアカウントを含むすべての管理アカウントのインベントリを作成し、管理権限を持つユーザだけがより高いレベルの権限があることを確認します。
留意点: 攻撃者は管理アカウントを狙います。管理者としてのアクセスができれば、コストのかかるゼロデイ攻撃を仕掛けて環境内で騒ぎを起こす必要もないからです。攻撃者が何を求めているのかを把握すれば、適切な制御、検出メカニズムを実装することができます。
内容:新規のアセットを適用する前に、デフォルトで設定されているパスワードをすべて、管理者アカウントと同レベルに変更する必要があります。
留意点:すべてのデフォルトのパスワードが管理者パスワードのレベルに推奨されているように変更されるべきであることにご留意ください。また、ほとんどの場合デフォルトアカウントには管理者レベルのアクセス権が設定されています。可能であれば、デフォルトのアカウントを削除するか名称を変更して、パスワードを破る総当り攻撃を回避できるようにします。
内容:管理者アカウントにアクセスする全てのユーザは、管理者としてのより高いレベルのアクティビティ用に専用の、または二次的アカウントを使用するようにします。このアカウントは管理アクティビティのためだけに使われ、インターネット閲覧や電子メールといったアクティビティには使用されないようにします。
留意点:このサブコントロールは、コントロール11.6、11.7と多くの類似点があります。これらは同じ三角形の三つの辺にあたります。管理者アカウントが晒される機会を制限することで、攻撃者がネットワーク上を捜し回っても管理者認証情報を入手し難くなります。
内容:多要素認証がサポートされていない場合(ローカル管理者、ルート、サービスアカウントなど)、アカウントはそのシステム向けの独自のパスワードを使用します。
留意点:何に対してもそれぞれ独自のパスワードを使用すべきだというのは、どちらかというとインターネットの一般的なガイドラインといってよいでしょう。もしも攻撃者があるデバイスからパスワードを盗み出したとして、その同じ認証情報を用いてネットワークを自在に移動して欲しくないはずです。
内容:すべての管理者アカウントへのアクセスに対して多要素認証と暗号化されたチャネルを使用します。
留意点:これはコントロール11.5と多くの類似点があります。ここでも同様のことが推奨されます。第一に暗号化したチャネルを使用すること。そして可能な限りどこにでも多要素認証を実装することです。
内容:管理者は、すべての管理者タスクまたは管理者アクセスを必要とするタスクを行う際には専用のマシンを使用します。このマシンは組織の主要なネットワークからは隔離され、インターネットアクセスを許可しないようにします。また、このマシンは電子メールを読んだり、文書を作成したり、インターネットで情報を閲覧したりといった用途には使用されないようにします。
留意点:これは11.6の内容と全く同じ内容で、「ネットワークエンジニア」が「管理者」に入れ替わっているだけです。セキュアにするためにどうするのかに違いがないので、これは統合すべきだと思います。
内容:スクリプトツール(Microsoft PowerShell やPythonのような)へのアクセスを、その機能にアクセスする必要のある管理者または開発ユーザのみに制限します。
留意点:LANがなくても問題がないのに、わざわざマルウェアの侵入を招く必要はないでしょう。ここではWindowsが直接言及されていますが、AppLockerを使えばPowerShellなどのスクリプト言語を稼働するためのアクセスをごく簡単に制限できるのです。私達のMITRE ATT&CK コンテンツなら、素早くアセスメントを実施して、貴社のエンドポイントをこの水準のセキュリティまでロックダウンするためのガイダンスを提供できます。
内容:管理者としての権限が与えられたグループにアカウントが追加または削除されたとき、ログエントリを発行してアラートを送信するようシステムを設定します。
留意点:WindowsとUnixのシステムには両方とも、このレベルのロギングを有効にする機能があります。もう1つの防御レイヤーは、定期的な間隔で実際にアカウントの監査も行うことです。Tripwire Enterpriseのようなツールを使用し、ユーザのアクセスレベルだけではなく監査の設定についても検証しましょう。
内容:管理者アカウントへのログインが失敗したときに、ログエントリを発行してアラートを送信するようシステムを設定します。
留意点:この点も含めてどのような監査オプションを有効にするのかCISとDISAのガイダンスを参照します。適切な監査を有効にしてあれば検出できる総当り攻撃のほかにも、攻撃経路は多々あります。
By Travis Smith