今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール9 ネットワークポート、プロトコル、およびサービスの制限およびコントロール」を見ていきます。そして必須要件として挙げられている5つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
「コントロール9」のキーポイント
- 攻撃対象範囲を減らすこと。コントロール9は、その外部の攻撃対象範囲を制限することについてがほとんどといってよいでしょう。これはエンドポイントをセキュアにする上で、欠かせない取り組みの第一歩です。
- 他のコントロールと重複した規定。コントロール9ですべきことは、ほかのコントロールを完全に実行すれば達成できてしまいます。他と重複しているので、コントロール20の中で一番後回しにしても影響は少ないと思います。
コントロール9の必須要件リスト(サブコントロール)
1.アクティブポート、サービス、通信プロトコルを資産のインベントリと関連付ける
内容:アクティブポート、サービス、および通信プロトコルを、資産インベントリのハードウェア資産と関連付けます。
留意点:コントロール2(特に2.5 )で用いた技術、または少なくとも同等な資産データベースを使用します。また、さらに高度なシステム構築なら、ポートと通信プロトコルをアプリケーションと紐付け、その上で可能なら、ビジネスユニットとこのアプリケーションを関連付けます。これは、ネットワークのトラフィック設定のビジネスユニットとの関連付けを定めたコントロール11.2とも関係しています。
2.許可されたポート、通信プロトコル、およびサービスだけが、システム上で稼働するよう確認する
内容:検証済みの業務要件に対応したポート、プロトコル、サービスのみが各システムで稼働するようにします。
留意点:システム上に待機しているもののベースラインを作成します。そして、時間をおいて結果を分析・精査し、なにも異常がないことを確実にします。この過程で、思わぬ新しいポートがある場合、それがトリガーとなって診断が実施されるはずです。例えば、IP360のような脆弱性スキャナー、または Tripwire Enterprise のようなポートをリスト化するツールなどを活用することで、組織の情報システム管理の効率的な運用を促します。。
3.自動化されたポートスキャンを定期的に実行する
内容:全てのシステムに対し、自動化されたポートスキャンを定期的に実施し、システム上に許可されていないポートが検出された場合、アラートを生成します。
留意点:ポートスキャンの実施は、前述のサブコントロール項目2の要件を満たすことにもなります。小規模なネットワークシステムでは、シンプルなポートスキャンツールNMAPでも十分でしょう。一方で、大規模な組織では、IP360などのより堅牢なポートスキャンツールを活用すれば、短時間の内にきわめて多数のエンドポイントの診断が可能です。
4.ホストベースのファイアウォール、またはポートフィルタリングを適用する
内容:明示的に許可されるサービスとポートを除くすべてのトラフィックをドロップするデフォルトの拒否ルールを使用して、ホストベースのファイアウォールまたはポートフィルタツールをエンドシステムに適用します。
留意点:ネットワークベースのファイアウォールを適用すれば護られるとは思わないでください。なぜなら同一のサブネット上のトラフィックは、ネットワークのファイアウォール構成をバイパスできるからです。また、ファイアウォールを設置する際は、アウトバウンドトラフィックを制限することはインバウンドトラフィックの制限と同様に重要です。
5.アプリケーションファイアウォールを設置する
内容:サーバに送信されるトラフィックを確認・検証するために、アプリケーョンファイアウォールを重要なサーバの前に設置します。未許可のトラフィックをブロックし、ログを取ります。
留意点:アプリケーションレイヤーでのトラフィック情報が判断可能なら、どんなファイアウォール、またはIDS/IPSであっても、単にポートや通信プロトコルをブロックする場合に比べて、より効果的ではあります。個人的には、このサブコントロールは除き、コントロール18.10(Webアプリケーションファイアウォール(WAFS)を設置する)に取り込むのがいいのではないかと考えます。そして残る4つのサブコントロールも同様に他のコントロールに移動することで、より効果の高いコントロールに仕立てる方が賢明ではないかと考えます。
コントロール10: データ復旧能力
CISコントロール11:ファイアウォール、ルータ、スイッチなどのネットワーク機器のセキュアな設定
CISコントロール12:境界防御
CISコントロール13:データ保護
CISコントロール14:Need-to-Knowに基づいたアクセスコントロール
CISコントロール15:ワイヤレスアクセスコントロール
CISコントロール16:アカウントの監視およびコントロール
CISコントロール17: セキュリティ意識向上とトレーニングプログラムの実施
CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール20: ペネトレーションテストとレッドチームの訓練
CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.