今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール10 データ復旧能力」を見ていきます。そして必須要件として挙げられている7つのサブコントロール項目を確認し、その上で気づいた点をシェアしていきます。
「コントロール10」のキーポイント
- バックアップは組織にとって非常に重要。これまでにも、ランサムウェア(ransomware)の被害に遭い、膨大な身代金を支払わざるを得なかった企業や組織もあります。フォーチュン500(世界企業番付)のリストに載るような大企業であれば、対処可能な事態かもしれません。しかし、多くの企業や組織では命取りになる危険性があります。
- テストを推奨。データバックアップのテストを実施することは、現実にバックアップを生成すること同様に重視すべき事項です。これは難しいことではありません。重要性の低いサーバにシンプルなテストファイルを実行するなど、簡単なテストなら数分で終わります。しかし時にはシステムの完全な復旧についてテストを実施することも得策でしょう。
- 「定期的に」という場合の頻度。フルバックアップ、増分バックアップ、そして差分バックアップなど、それぞれをどの頻度で実行するのか、これは重要な点です。具体的な数字を規定する公的なガイドラインは見当たりません。まずはその組織にとって許容できるリスクレベルで、パフォーマンスとデータ保存にかかる費用とのバランスに配慮しながら、実行頻度を設定することが望まれます。
コントロール10の必須要件リスト(サブコントロール)
1.定期的な自動バックアップを実行する
内容:システム上の全てのデータについて、定期的な自動バックアップを確実に実施します。
留意点:バックアップを実行すべき理由は、いろいろあります。しかしコントロール10にとって従来から可用性こそが主な構成要素であり、牽引力となってきました。最近ではランサムウェアが業界を超えて蔓延しているため、バックアップソリューションにおいてもROI(対投資効果)の向上が求められています。
2.システム全体のバックアップを実行する
内容:組織内の個別の基幹システムはどれもイメージングなどのプロセスを使って完全なシステムとしてバックアップし、システム全体の早期復旧を確実にします。
留意点:バックアップには主に、フルバックアップ、増分バックアップ、および差分バックアップの3タイプがあります。バックアップデータの取得、および復旧において、それぞれメリット・デメリットがあります。フルバックアップの生成は長時間かかります。その一方で、復旧にかかる作業は、増分バックアップ、または差分バックアップのそれよりも短時間で終わります。一番よいのはこれら3つのタイプを組み合わせることです。例えば、週毎のフルバックアップに対し、日毎の増分バックアップを実施するなどが考えられます。
3.バックアップメディア上のデータをテストする
内容:バックアップが正しく動作することを確認するため、データ復旧プロセスを実行してバックアップメディア上のデータの整合性をテストする作業を定期的に実行して下さい。
留意点:サブコントロール3が重要な理由は2つあります。一つ目は、実際にバックアップが必要となる前に、それが正常に動作することを確認しておく必要があるからです。バックアップが完全に実行されず、機密性の高いファイルを失ってしまい、復旧できないという最悪の事態は避けなければなりません。二つ目は、ランサムウェアの脅威です。バックアップテストの実施を通して、暗号化されたファイルが確実に復旧されるようになります。加えて、ファイル復旧にかかる内部費用の把握も可能です。こういった有益な情報に基づいて、バックアップの費用の方が、身代金の支払いよりも安く上がるというような適切な判断を下すことができるようになるのです。
4.バックアップを保護する
内容:バックアップの保管時、およびバックアップをネットワーク上で移動するときに、物理セキュリティまたは暗号化によってバックアップが正しく保護されるようにします。これには、リモートバックアップやクラウドサービスなどが含まれます。
留意点:従来バックアップデータを狙うのは非常に高度なサイバー攻撃者でした。しかしIT組織側が「身代金」を支払うより、バックアップによるデータ復旧に力を入れてきたため、これに対向して、ランサムウェアの作者側は、データ復旧を阻止する目的でバックアップファイルをターゲットとするマルウェアの作成に力を入れ始めています。
5.各バックアップの保存先の内、少なくとも一つは継続的にアドレス指定可能ではないことを確認する
内容:各バックアップの保存先の内、少なくとも一つはオペレーティングシステムの呼び出しによって継続的にアドレス指定可能ではないことを確実にします。
留意点:サブコントロール5は、前述のマルウェア対策の要件でもあります。まずウィルスは、ターゲットとするバックアップ先に自動的に書き込まれます。その後、データに感染し、被害を拡大していきます。このことから、バックアップのソースでは、オフラインによるデータの複製を保存することが求められます。小規模な組織では、ディスクやテープ、そしてUSBデバイスなどの記憶媒体に書き込む対策が考えられます。USBデバイスを利用する場合は、本体から取り外すことも重要です。
CISコントロール11:ファイアウォール、ルータ、スイッチなどのネットワーク機器のセキュアな設定
CISコントロール12:境界防御
CISコントロール13:データ保護
CISコントロール14:Need-to-Knowに基づいたアクセスコントロール
CISコントロール15:ワイヤレスアクセスコントロール
CISコントロール16:アカウントの監視およびコントロール
CISコントロール17: セキュリティ意識向上とトレーニングプログラムの実施
CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール20: ペネトレーションテストとレッドチームの訓練
CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.
