今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール9 ネットワークポート、プロトコル、およびサービスの制限およびコントロール」を見ていきます。そして必須要件として挙げられている5つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
内容:アクティブポート、サービス、および通信プロトコルを、資産インベントリのハードウェア資産と関連付けます。
留意点:コントロール2(特に2.5 )で用いた技術、または少なくとも同等な資産データベースを使用します。また、さらに高度なシステム構築なら、ポートと通信プロトコルをアプリケーションと紐付け、その上で可能なら、ビジネスユニットとこのアプリケーションを関連付けます。これは、ネットワークのトラフィック設定のビジネスユニットとの関連付けを定めたコントロール11.2とも関係しています。
内容:検証済みの業務要件に対応したポート、プロトコル、サービスのみが各システムで稼働するようにします。
留意点:システム上に待機しているもののベースラインを作成します。そして、時間をおいて結果を分析・精査し、なにも異常がないことを確実にします。この過程で、思わぬ新しいポートがある場合、それがトリガーとなって診断が実施されるはずです。例えば、IP360のような脆弱性スキャナー、または Tripwire Enterprise のようなポートをリスト化するツールなどを活用することで、組織の情報システム管理の効率的な運用を促します。。
内容:全てのシステムに対し、自動化されたポートスキャンを定期的に実施し、システム上に許可されていないポートが検出された場合、アラートを生成します。
留意点:ポートスキャンの実施は、前述のサブコントロール項目2の要件を満たすことにもなります。小規模なネットワークシステムでは、シンプルなポートスキャンツールNMAPでも十分でしょう。一方で、大規模な組織では、IP360などのより堅牢なポートスキャンツールを活用すれば、短時間の内にきわめて多数のエンドポイントの診断が可能です。
内容:明示的に許可されるサービスとポートを除くすべてのトラフィックをドロップするデフォルトの拒否ルールを使用して、ホストベースのファイアウォールまたはポートフィルタツールをエンドシステムに適用します。
留意点:ネットワークベースのファイアウォールを適用すれば護られるとは思わないでください。なぜなら同一のサブネット上のトラフィックは、ネットワークのファイアウォール構成をバイパスできるからです。また、ファイアウォールを設置する際は、アウトバウンドトラフィックを制限することはインバウンドトラフィックの制限と同様に重要です。
内容:サーバに送信されるトラフィックを確認・検証するために、アプリケーョンファイアウォールを重要なサーバの前に設置します。未許可のトラフィックをブロックし、ログを取ります。
留意点:アプリケーションレイヤーでのトラフィック情報が判断可能なら、どんなファイアウォール、またはIDS/IPSであっても、単にポートや通信プロトコルをブロックする場合に比べて、より効果的ではあります。個人的には、このサブコントロールは除き、コントロール18.10(Webアプリケーションファイアウォール(WAFS)を設置する)に取り込むのがいいのではないかと考えます。そして残る4つのサブコントロールも同様に他のコントロールに移動することで、より効果の高いコントロールに仕立てる方が賢明ではないかと考えます。
By Travis Smith