今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール12 境界防御」を見ていきます。そして必須要件として挙げられている12つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
内容:組織内のネットワーク境界のインベントリを維持更新します。
留意点:これはどんな組織でも既存のツールを用いてすぐにできるでしょう。NMAPのようなものを使えば、デバイスの特定が出来るだけではなく、何か新たなことが起きれば警告も出してくれます。欠陥のある構成が境界に穴を開けないように外面も内面もスキャンしましょう。
内容:信頼できる各ネットワーク境界の外側から定期的にスキャンを実行し、境界を越えてアクセスしてくる不正な接続を検出します。
留意点:新しいESXサーバで、以前のウェブサーバのIPアドレスを使いまわしているのを見たことがあります。その組織には大した資産もなく、構成管理も適切に行われていなかったので、ESXサーバはインターネットに直に曝されていました。コントロール12の勧告に従うだけで、不正な接続は自動的に検出来るようになります。
内容:既知の悪意のあるIP アドレス(ブラックリスト)との通信を拒否する(またはデータフローを制限する)か、信頼できるサイト(ホワイトリスト)にアクセスを制限します。
留意点:脅威インテリジェンス、特にIPアドレスはすぐに使われなくなります。良性なウェブサイトをブロックしたり、新たな悪意のあるサイトを許可することがないように、リストは定期的に更新しましょう。
内容:不正なTCPまたはUDPポートを経由する通信またはアプリケーショントラフィックを拒否し、各組織のネットワーク境界では認可されたプロトコルだけがネットワーク境界の出入りを許可されるようにします。
留意点:組織のネットワークに入る許可を与えるポートのリストは、出る許可のリストよりも、常により厳しく規制されていなくてはなりません。SIEMを活用して異常なトラフィックを検出しましょう。以前は知られていなかったパブリックDNSサーバと通信するサーバがその一例です。
内容:監視システムを設定して、各組織のネットワーク境界で境界を通過するネットワークパケットを記録します。
留意点:これは膨大な量のデータを生成することになり、完全に実装するには多大な費用がかかるでしょう。しかし、インシデントの再調査をするときに、このデータがあると非常に有益です。万一のインシデント発生の際の分析に必要になるときに備えて、この機能を準備して使えるようにしておくことを強くお勧めします。そしてフルタイムベースでのデータ収集に移行してください。
内容:組織のネットワーク境界で異常な攻撃メカニズムを見つけ、システムへの攻撃を検知するネットワークベースのIDSセンサーを導入します。
留意点:ネットワークセキュリティ監視ツールは私の大のお気に入りです。NSMは信じられないほどの量のデータが収集可能です。シグネチャベースの検知を使うと、一定程度の脅威の特定が可能ですが、シグネチャを定期的に更新することを忘れてはいけません。有料の契約が推奨されるのは、シグネチャの更新がずっと迅速なためです。
内容: ネットワークベースのIPSを導入し、各組織のネットワーク境界で悪意のあるネットワークトラフィックをブロックします。
留意点:IDSの次のステップは、IPSでトラフィックを積極的にブロックすることです。フォールスネガティブ(誤検出)がビジネスの生産性を妨げないようにIPSを監視し、調整する必要があります。
内容:すべてのネットワーク境界でネットフロー とロギングデータ収集を有効にします。
留意点:サブコントロール5と同様莫大なデータを生成するため、長期間保管しておくのはコストがかかるでしょう。
内容:インターネットとの間のすべてのネットワークトラフィックが、不正接続をフィルタリングするよう設定された認証済みのアプリケーション層プロキシを通過するようにします。
留意点:パケットを見ることができるということと、その中で何が起きているのか理解することは別です。アプリケーションレイヤーツールは、プロトコルレベルで何が起きているのか照合しようとするというよりむしろ、特定のアプリケーションに対する攻撃を識別できます。これは、より高いレベルのネットワークセキュリティとなるので、コントロール12の他の要件を実行してからのことになります。
内容:暗号化されたすべてのネットワークトラフィックを境界プロキシで解読してから、コンテンツを分析します。ただし、トラフィックを解読せずにプロキシ経由でのアクセスが許可されたサイトのホワイトリストを使用することがあります。
留意点:解読技術を実装した組織では、そのプロセスで大規模なデータ侵害が明らかになっています。犯罪者は暗号化をうまく利用するので彼らが何をしているのかを見抜く能力が必要です。
内容:組織のネットワークへのすべてのリモートログインアクセスに伝送中のデータの暗号化と多要素認証を義務付けます。
留意点:サブコントロール10は潜在的な侵害を検知するためのものですが、サブコントロール11は、そういった事態が発生するのを防止するためのものです。過去に発生した有名なデータ侵害も、もしリモートログインで多要素認証が使われていたら防げていたでしょう。これはたやすく装備できるものではありませんが、コントロール12全体でもかなり重要な必須要件の一つです。
内容:組織のネットワークにリモートログインする全てのエンタープライズデバイスをネットワークにアクセスする前にスキャンし、ローカルネットワークデバイスと同様に各組織のセキュリティポリシーが実施されるようにします。
留意点:ローミングデバイスは接続されているネットワーク(例:ホテル、空港、カフェ)からあらゆる種類の感染を見つけ出します。適切なアンチウイルスがインストールされ、最新のOSレベルパッチに更新されていることは、感染したデバイスが境界内に入ってくるリスクを減らします。
By Travis Smith