今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール11 ファイアウォール、ルータ、スイッチなどのネットワーク機器のセキュアな設定」を見ていきます。そして必須要件として挙げられている7つのサブコントロール項目を確認し、その上で気づいた点をシェアしていきます。
「コントロール11」のキーポイント
- 既存のコントロールを活用します。もしエンドポイントの設定と変更を監視するために、すでにコントロール5を実行しているのなら、コントロール11に取り組むためのツールと専門知識もすでにあると思います。コントロールを順番に実行しているのなら、ここでは最後の二つの必須要件(サブコントロール)だけが追加費用を必要とするでしょう。
- ネットワークデバイスもコンピュータです。社内の他のすべてのコンピュータと同様にコントロール11を忘れず適用するよう、十分注意を払って下さい。
コントロール11の必須要件リスト(サブコントロール)
1.ネットワークデバイスのための標準セキュリティ設定を維持する
内容:すべての権限のあるネットワークデバイスのための標準的で文書化されたセキュリティ設定基準を維持します。
留意点:コントロール5と同様、ここでもネットワークデバイスは強化の対象です。CISにも国防情報システム局 (DISA)にもこのようなタイプのデバイスの強化のためのガイドラインがあります。 Tripwire Enterpriseのようなツールがあれば、より容易になるでしょう。
2.トラフィック設定のルールを文書化する
内容:ネットワークデバイスに対しトラフィックの通過を許可する設定ルールは、各ルール毎の特定の業務上の理由、そのビジネスニーズの責任を負う特定の個人の名前、ニーズの予期される期間とともに、構成管理システムに文書化する必要があります。
留意点:ルールを文書化するのは、容易な部分です。これらの資産と資産上のアプリケーションを個人またはビジネスユニットに結びつけるのが、特に本業に関する部分ではなかなか難しいのです。最初のステップとしては設定を収集し、次のサブコントロールを使って変更について警告を出します。
3.自動化ツールを使用し、標準のデバイス設定を検証し、変更を検知
内容:すべてのネットワークデバイス設定と使用中の各種ネットワーク機器用に定義された承認されているセキュアな設定とを比較し、逸脱が発見されたときには警告をだします。
留意点:変更の監視はエンドポイントだけではありません。攻撃者はネットワークデバイス設定を変更し、ネットワークを不安定にさせ、環境内外からの接続を可能にさせます。 Tripwire Enterpriseのようなツールは変更を特定し、担当者に迅速に報告することが可能です。
4.すべてのネットワークデバイスに、最新の安定したバージョンのセキュリティ関連アップデートをインストールする
内容:すべてのネットワーク機器上でセキュリティ関連の更新をインストールする時には最新の安定したバージョンをインストールします。
留意点:ファイアウォールが5年前のファームウェアを使用していたら、エンドポイントがどの程度安全であるかを聞く必要がありません。これらのデバイスのアップデイトがどのくらいの頻度で行われているのか、もし積極的に知ろうとしていなかったのなら、驚くことになるでしょう。古いバージョンのファームウェアを使用することは、全世界に向けて、玄関ドアを開け放しているようなものです。
5.多要素認証と暗号化されたセッションを使用してネットワークデバイスを管理する
内容:多要素認証および暗号化されたセッションを使用してネットワーク機器を管理します。
留意点:この要件には、二つの部分があり、分割すべきだと思われます。ひとつは、デバイスを管理するために、暗号化された通信を使用することです。例えば、HTTP上では、TelnetやHTTPSの代わりにSSHを使用します。その利点はもうお分かりでしょう。しかしながら、ネットワークデバイスに多要素認証はサポートされていないかもしれません。仮に可能であったとしても、内部ネットワークの過剰使用になるでしょう。けれどもしもインターネット経由でリモートで業務を行っているのであれば、多要素認証をなるべく早急に導入する必要があります。
6. ネットワーク管理業務には必ず専用のワークステーションを使用する
内容:ネットワークエンジニアは、すべての管理者タスクや昇格アクセスを必要とするタスクをする際は専用のマシンを使用します。専用マシンは組織の主要なネットワークから隔離され、インターネットアクセスを許可しないようにします。また、専用マ シンは電子メールを読んだり、文書を作成したり、インターネットで情報を閲覧したりといった用途には使用されないようにします。
留意点:この文書の筆者は明らかにフィッシングといった一般的な攻撃を心配しています。この攻撃によって管理者のワークステーションは、クレデンシャル(認証情報 )窃盗マルウェアに感染する可能性があります。これは、さらに追加の費用の原因となる要件ですが、慎重な組織なら必要なものです。もし攻撃を受けたパスワード管理ツールまたはネットワークデバイス管理ツールがあれば、それもまたこの要件に含まれます。
7.専用ネットワークを経由してネットワークインフラを管理
内容: ネットワークインフラの構成管理は業務のネットワークとは切り離されたネットワークコネクションの下で分離されたVLANs、あるいはより好ましいのは、ネットワークデバイスの管理セッション専用の物理的に完全に異なる接続です。
留意点:専用ネットワークは前述の要件と同じ理由で、認証情報を盗むマルウェアがネットワーク上でより大きな足場を得る機会を低減させます。
CISコントロール12:境界防御
CISコントロール13:データ保護
CISコントロール14:Need-to-Knowに基づいたアクセスコントロール
CISコントロール15:ワイヤレスアクセスコントロール
CISコントロール16:アカウントの監視およびコントロール
CISコントロール17: セキュリティ意識向上とトレーニングプログラムの実施
CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール20: ペネトレーションテストとレッドチームの訓練
CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.
