今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール13 データ保護」を見ていきます。そして必須要件として挙げられている9つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
「コントロール13」のキーポイント
- 幅広い困難。これらの推奨事項の中には、クラウドストレージプロバイダへのアクセスをブロックする等、速やかに達成可能と思われるものがある一方、機密情報のインベントリを作成するなどは果てしない作業で、このコントロールは完全に実行するのがより難しいもののひとつです。情報セキュリティにおいてデータを守ることは、誰にとっても一番重要な目標です。
- 基準強化に依拠。CISも国防情報システム局 (DISA)もモバイルデバイスに関してはガイドラインが強化されています。このガイドラインはドライブの暗号化、及びUSBアクセスのロックなどを推奨しています。
- コントロール6を参照する。情報漏えい対策(DLP) を導入するにはコストがかかります。デバイスを越えて監査ログを収集すると、既存のツールで機密データの抽出するのがどんなものかある程度見抜くことが出来ます。資産に機密データのタグをつけて、一層注意して監視します。ネットワークとファイルデータ双方のベースラインを活用し、疑いのあるものは何であれ、すぐにフラグをたてるようにします。
コントロール13の必須要件リスト(サブコントロール)
1.機密情報のインベントリの維持
内容:オンサイトの、またはリモートのサービスプロバイダにあるものも含め 、組織の技術システムで保存、処理、または送信されるすべての機密情報のインベントリを維持します。
留意点:機密情報が格納されている場所の最初のリストを作成するのは容易です。難しいのは、リストを維持すること、そして絶えずデータを探し続けることです。この必須要件は、本コントロールとコントロール14の中の必須要件の多くを補うものなので重要です。
2.組織が定期的にアクセスしない機密データやシステムを削除する
内容:組織が定期的にアクセスしない機密情報やシステムはネットワークから削除します。これらのシステムについては、時折使用する必要がある事業部がスタンドアロンシステム(ネットワークを遮断)として使用するか、完全に仮想化され必要な時まで電源を切られている必要があります。
留意点:機密情報が格納されている場所のリストを常に更新しておくこと(前述の必須要件)が重要である理由の一つは、削除すべきかもしれないからです。機密情報が入っている電源を落とした仮想機器にも、仮想機器ファイルが盗み出されるというリスクがまだあります。仮想インフラを強化、監視するための適切な仮想化監視ツールが用意されていることを確認します。
3.不正なネットワークトラフィックを監視しブロックする
内容:機密情報の不正な転送を監視し、ブロックし、情報セキュリティの専門家にアラートを送信する自動化ツールをネットワーク境界に展開します。
留意点:これは要するにデータ損失防止です。DLPに特化した優れたツールもありますが、始めにデータを分類することで機密データの損失率を低減させることができます。
4.認定されたクラウドストレージまたはメールプロバイダへにのみアクセスを許可する
内容:認定されたクラウドストレージまたはメールプロバイダへのみアクセスを許可します。
留意点:内部的に所有されている資産よりも、サードパーティーのクラウド・メールプロバイダへの可視性ははるかに低いのです。このため、少なくともこれらのプロバイダへのアクセスを禁止する方針とすることが重要です。次のステップでは、そこへのアクセスをネットワーク境界で完全にブロックします。
5.暗号化不正使用の監視と検出
内容:組織の外へ出るすべてのトラフィックを監視し、許可されない暗号化の使用をすべて検出します。
留意点:正当なサービスに暗号化が使用されているのと同じ理由で、ハッカーはデータが盗まれている事実を隠すために暗号化を使用します。このためハッカーは検知されることなく、最終的な目標に到達できるのです。 ネットワーク上の異常な暗号化だけでなく、コンピュータ生成のドメイン名も追求します。
6. すべてのモバイルデバイスのハードドライブを暗号化する
内容:承認された全ディスク暗号化ソフトウェアを使用して、すべてのモバイルデバイスのハードドライブを暗号化します。
留意点:注意深いユーザーであっても、ノートPC や携帯電話を紛失することがあります。システムが休止状態またはスリープモードになっているときにメモリから暗号解読キーが盗まれないように、暗号化が適切に構成されていることを確認してください。
7.USBデバイスの管理
内容: USBストレージデバイスが必要な場合は、特定のデバイスの使用を許可するシステムを構成できるエンタープライズソフトウェアを使用する必要があります。そのようなデバイスのインベントリはメンテナンスされる必要があります。
留意点:USB入力デバイスは最近ではすっかり標準的だというと、PS/2 キーボードとマウスがまだ出回っていると考える時代遅れな者だと思われそうですが、いずれにしても、大容量記憶装置をブロックしたり、入力デバイスのホワイトリストへの登録でデータ漏洩の攻撃対象範囲を減らすことができます。
8. システムの外付けリムーバブルメディアの読み取り/書き込み設定を制御
内容:業務上外付けリムーバブルメディアのサポートが不要な場合は、そのようなデバイスにデータを書き込まないよう、システムを設定します。
留意点:USBドライブは、データ漏洩を媒介するより攻撃経路となるリスクの方が高いのです。しかし一部の環境では主な懸念事項がデータ漏洩になっています。そのような場合は、USBのアクセスを完全にブロックすることが最善策です。もし、USBアクセスが業務上必要なときは、WindowsのDLLファイルのアクセス許可を管理するだけで、ユーザー毎の例外をごく簡単に設定出来ます。
9.USBストレージデバイスのデータを暗号化する
内容:USBストレージデバイスが必要とされる場合、そのデバイスに保存されるすべてのデータは休止状態では暗号化されなくてはなりません。
留意点:これを実行するのは難しいように思われます。USBドライブ上にデータがあることのリスクを認識できるよう従業員にトレーニングを受けさせ、その上で、組織の重要なデータを保護するためのツールを提供します。
CISコントロール14:Need-to-Knowに基づいたアクセスコントロール
CISコントロール15:ワイヤレスアクセスコントロール
CISコントロール16:アカウントの監視およびコントロール
CISコントロール17: セキュリティ意識向上とトレーニングプログラムの実施
CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール20: ペネトレーションテストとレッドチームの訓練
CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.