今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール8 マルウェア対策」を見ていきます。そして必須要件として挙げられている8つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
「コントロール8」のキーポイント
- 基本に戻る。アンチウィルスをインストールし、定期的に更新します。IT専門家ならこの基本は身についているはずです。重要なのは、組織が望むレベルに見合ったアンチウィルス対策を導入することです。
- セキュリティ対策ツールとの連携。マルウェア感染関連の責任は複数のセキュリティ対策ツールに分担させることができます。アンチウィルスは、感染されたファイルを隔離・除去する役割を担います。その一方で、変更管理やセキュリティ構成管理ツール(SCM)などのセキュリティ対策ツールは、システム全体を修復し、クリーンな状態に戻す役割を担います。
コントロール8の必須要件リスト(サブコントロール)
1.集中管理型アンチマルウェアソフトウェアを活用する
内容:集中管理型のアンチマルウェアソフトウェアを活用することで、組織内にある個別のワークステーション、およびサーバを継続的に監視・防護します。
留意点:企業向けのアンチウィルスソフトウェアなら 集中管理機能が搭載されているはずです。この集中管理型アンチウィルスは、以下のサブコントロール2から6についても対応します。
2.アンチマルウェアソフトウェアの最新のシグネチャへの更新を確実にする
内容:組織のアンチマルウェアソフトウェアのウィルス検索エンジンおよびシグネチャデータベースは必ず定期的に更新します。
留意点:アンチウィルスとはシグネチャのことだといってもいいでしょう。純粋なシグネチャ型の検知方法はもはや実践的ではなく、アノマリ型の検索エンジンでも定期的な更新が求められています。自動更新の適用に加え、更新状態の検証ツールを用いて、シグネチャが最新であることを確実にします。Tripwire Enterpriseでは、アンチウィルスのインストールの有効状態、稼働状態、そして更新状態を確認できます。
3.OSのアンチエクスプロイト機能を有効にする / アンチエクスプロイト技術を導入する
内容:ツールデータ実行防止(DEP)やアドレス空間配置のランダム化(ASRL)などOS上のアンチエクスプロイト機能を有効化するか、または大量のアプリケーションや実行ファイルの保護が可能なように設定したツールキットを用います。
留意点:複雑そうに聞こえますが、実際そんなことはありません。DISAの強化ガイドラインはこれらの設定の手続きをステップ・バイ・ステップで順を追って丁寧に説明してあり、それ以外にも有益な情報がたくさんあります。コントロール5に示されている強化に関するガイドラインをすでに実行しているのなら、もうすでにこちらはクリア出来ているはずです。
4.取り外し可能なメディアにアンチマルウェアスキャンを実行するよう設定する
内容:明示的に許可されるサービスとポートを除くすべてのトラフィックをドロップするデフォルトの拒否ルールを使用して、ホストベースのファイアウォールまたはポートフィルタツールをエンドシステムに適用します。
留意点:通常アンチウィルスは、デフォルトで実行されるように設定されています。とはいえ、USBスティックを介して潜入するマルウェアはどんな組織においてもほぼ有効な攻撃経路となっていますから、実際に有効になっているか検証することは重要です。
5.コンテンツの自動実行を無効に設定する
内容:取り外し可能なメディアからコンテンツが自動実行されないようデバイスを設定します。
留意点:スキャンが行われない方がいいのと同じ理由で、取り付けられている時に自動実行されるのはよくないです。設定はあっという間にできます。CIS、DISAの強化ガイドが、自動実行の無効化について具体的な手順を紹介しています。Tripwire Enterpriseなどの、セキュリティ構成管理ツールなら、組織の環境下のエンドポイントで無効に設定されていることを瞬時に確認できます。
6.アンチマルウェアのロギングを一元化する
内容:すべてのマルウェア検知イベントを、企業のアンチマルウェア管理ツールとイベントログサーバに送信することで、その分析と警告を実施します。
留意点:これは、このコントロール8よりも、むしろコントロール6(監査ログの保守、監視および分析)で取り扱うべきでしょう。集中型ロギングサーバーへのログ送信について、(コントロール6以外では)このサブコントロールでしか言及されていないことに違和感を覚えます。いずれにしてもここで重要な点は、ログをエンドポイントから切り離すことで、マルウェアに感染してもエンドポイントのログが失われないようにします。
7.DNSクエリのロギングを有効にする
内容:既知の悪意のあるドメインを検索するホストを検知するために、ドメインネームシステム(DNS)クエリのロギングを有効にします。
留意点:これは一定の環境では高い効果があるパッシブ型マルウェアの監視体勢です。コントロール12のサブコントロール6(ネットワークベースのIDSセンサーを導入する)では、このIDSセンサーは、全てのクエリのログをエンドポイントから引き出さなくとも取得が可能です。新たなDNSクエリを探し、コンピュータ生成らしいものがあれば、マルウェア感染の早期発見につながります。
8.コマンドラインの監査ロギングを有効にする
内容:Microsoft PowerShellやBashなどのコマンドシェルに対し、コマンドラインの監査ロギングを有効にします。
留意点:高度なインタラクションシステムでは手間がかかるかもしれませが、法的証拠を探し出す観点からは重要です。マルウェアが好んで攻撃するのはPowerShellとBashですが、これら二つのスクリプト言語に限られてはいません。
CISコントロール9:ネットワークポート、プロトコル、およびサービスの制限およびコントロール
CISコントロール11:ファイアウォール、ルータ、スイッチなどのネットワーク機器のセキュアな設定
CISコントロール12:境界防御
CISコントロール13:データ保護
CISコントロール14:Need-to-Knowに基づいたアクセスコントロール
CISコントロール15:ワイヤレスアクセスコントロール
CISコントロール16:アカウントの監視およびコントロール
CISコントロール17: セキュリティ意識向上とトレーニングプログラムの実施CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール19: インシデントレスポンスと管理CISコントロール20: ペネトレーションテストとレッドチームの訓練CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.