今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール10 データ復旧能力」を見ていきます。そして必須要件として挙げられている7つのサブコントロール項目を確認し、その上で気づいた点をシェアしていきます。
内容:システム上の全てのデータについて、定期的な自動バックアップを確実に実施します。
留意点:バックアップを実行すべき理由は、いろいろあります。しかしコントロール10にとって従来から可用性こそが主な構成要素であり、牽引力となってきました。最近ではランサムウェアが業界を超えて蔓延しているため、バックアップソリューションにおいてもROI(対投資効果)の向上が求められています。
内容:組織内の個別の基幹システムはどれもイメージングなどのプロセスを使って完全なシステムとしてバックアップし、システム全体の早期復旧を確実にします。
留意点:バックアップには主に、フルバックアップ、増分バックアップ、および差分バックアップの3タイプがあります。バックアップデータの取得、および復旧において、それぞれメリット・デメリットがあります。フルバックアップの生成は長時間かかります。その一方で、復旧にかかる作業は、増分バックアップ、または差分バックアップのそれよりも短時間で終わります。一番よいのはこれら3つのタイプを組み合わせることです。例えば、週毎のフルバックアップに対し、日毎の増分バックアップを実施するなどが考えられます。
内容:バックアップが正しく動作することを確認するため、データ復旧プロセスを実行してバックアップメディア上のデータの整合性をテストする作業を定期的に実行して下さい。
留意点:サブコントロール3が重要な理由は2つあります。一つ目は、実際にバックアップが必要となる前に、それが正常に動作することを確認しておく必要があるからです。バックアップが完全に実行されず、機密性の高いファイルを失ってしまい、復旧できないという最悪の事態は避けなければなりません。二つ目は、ランサムウェアの脅威です。バックアップテストの実施を通して、暗号化されたファイルが確実に復旧されるようになります。加えて、ファイル復旧にかかる内部費用の把握も可能です。こういった有益な情報に基づいて、バックアップの費用の方が、身代金の支払いよりも安く上がるというような適切な判断を下すことができるようになるのです。
内容:バックアップの保管時、およびバックアップをネットワーク上で移動するときに、物理セキュリティまたは暗号化によってバックアップが正しく保護されるようにします。これには、リモートバックアップやクラウドサービスなどが含まれます。
留意点:従来バックアップデータを狙うのは非常に高度なサイバー攻撃者でした。しかしIT組織側が「身代金」を支払うより、バックアップによるデータ復旧に力を入れてきたため、これに対向して、ランサムウェアの作者側は、データ復旧を阻止する目的でバックアップファイルをターゲットとするマルウェアの作成に力を入れ始めています。
内容:各バックアップの保存先の内、少なくとも一つはオペレーティングシステムの呼び出しによって継続的にアドレス指定可能ではないことを確実にします。
留意点:サブコントロール5は、前述のマルウェア対策の要件でもあります。まずウィルスは、ターゲットとするバックアップ先に自動的に書き込まれます。その後、データに感染し、被害を拡大していきます。このことから、バックアップのソースでは、オフラインによるデータの複製を保存することが求められます。小規模な組織では、ディスクやテープ、そしてUSBデバイスなどの記憶媒体に書き込む対策が考えられます。USBデバイスを利用する場合は、本体から取り外すことも重要です。
By Travis Smith