今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール14 Need-to-Knowに基づいたアクセスコントロール」を見ていきます。そして必須要件として挙げられている9つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
「コントロール14」のキーポイント
- 情報セキュリティーポリシー101の導入。こちらのリンク(foundational controls)から基礎となるコントロールの一覧をご覧下さい。これらは、小規模な組織においても導入が求められる基本的なコントロールにあたります。中でも、健全なセキュリティ対策の基本は、ネットワークの分割、アクセス権限の管理、加えてデータの暗号化であり、いずれも安価で、且つ容易に導入が可能です。
- FIMで対策を強化。第7版では、ファイル整合性監視(FIM File Integrity Monitoring)について、サブコントロール項目14.9にて言及していますが、これはコントロール一覧の幅広い項目に共通する対策の鍵となるものです。従い、組織の形態に関わらずコントロールの基盤として当該ツールの導入が期待されます。
- 自動化と連携。セキュリティタスクの自動化は、組織のセキュリティ対策に取り組むワークフォースを一層強化・後押しするツールとなります。つまり、対策ツールを連携させることで、人的リソースを投入することなくワークフォースを増強できるというメリットがあります。この様に、最新の技術と組み合わせることで、ネットワークの高度な可視化を実現します。
コントロール14の必須要件リスト(サブコントロール)
1.機密情報の重要度に応じてネットワークを分割する
内容:サーバ上に保管されている情報のラベルや重要度に応じて、ネットワークを分割します。すべての機密情報は、別個のVLAN 上に保管します。
留意点:ニュース、等で見受けられる情報の漏洩の大半は、ネットワークの分割を実施することで防くことが可能です。コントロールの基盤の中でも、当該コントロールは、組織の大小に関わらず実施すべき根本的な対策です。
2.別個のVLAN間の通信は、ファイアーウォールを設定する
内容:権限のあるユーザのみが特定の業務上必要なシステムにのみ通信するように、個別のVLAN間の通信は、ファイアーウォールのフィルタリングを有効とします。
留意点:ネットワークを複数の個別VLANに分割した後は、ネットワーク間の通信をいかに制御するのか、これが情報の漏洩を確実に防ぐことに繋がります。一定のネットワークはオープンな状態を維持する一方で、残りのネットワークは完全に閉鎖するといった対策が考えられます。オープンとするネットワークには、多層防御を施すことで、想定外の攻撃の経路を防御することが求められます。
3.ワークステーション間の通信を無効とする
内容:プライベートVLANの設定、またはマイクロセグメンテーション(ネットワークの細分化)、等を施すことで、攻撃者による周辺システムへの攻撃(横断的侵害)を制限し、ワークステーション間の直接的な通信機能を無効とします。
留意点:当該サブコントロールは、攻撃者の横断的侵害に有効なだけではなく、自己増殖型のマルウェアにも有効な対策です。ホスト間の通信は、シテムアドミニストレーターによるシステムの保守作業時に発生するのが一般的です。この場合、システムアドミニストレーター専用のVLANを設定し、従業員のパソコンとの通信はこの専用VLANに制限するといった対策が考えられます。
4.機密情報をファイル伝送する際には、常に暗号化を実施する
内容:機密情報をファイル伝送する際には、常に暗号化を実施します。
留意点:早期の暗号化、そして暗号化の徹底に取り組みます。データの種類(伝送対象データか、保存データか)に関係なく、機密情報には暗号化を徹底させます。データを暗号化出来ないアプリケーションの場合は、データ伝送経路の脆弱性を確認します。
5.機密データを特定・識別可能な自発型データディスカバリーツールを活用する
内容:自発型のデータディスカバリーツールを活用することで、データの種類(保存データ、処理データ、または組織のシステムを仲介する伝送データ)に関係なく、全ての機密情報の特定・識別が出来る体勢を整えます。オンサイトのデータ、およびクラウド、等のリモートサービスにより提供されるデータをも含み、組織の全ての機密情報のインベントリを最新の状態で把握できる体勢を整えます。
留意点:機密情報が含まれる保存データの特定においては、DLP(情報漏洩対策)やデータ分類ツールの活用も有効です。また、伝送データについては、複合化されない限り、情報を読み取ることは不可能に等しいものです。動画や音声ファイルの確認作業も漏れなく実施して下さい。音声認識ソフトによるNLP(自然言語処理)を適用することで、機密情報の特定・識別が可能です。
6. アクセスコントロールリストを活用することで情報を保護する
内容:システム上に保管されているすべての情報は、ファイルシステム、ネットワーク共有、クレーム(Kerberos チケット内に入れる情報)、アプリケーションやデータベースのアクセスコントロールリストを使用して保護します。これらの管理は許可されたユーザのみが必要に応じ情報にアクセスできるという原則を徹底させます。
留意点:データに対しユーザーアクセスの許可を設定することは、極めて一般的な手法ですが、ここで重要なことは、アクセス許可の適応範囲をクラウド事業者が提供するサーバに保存されているデータにまで拡大することです。クラウド上に保存されているデータにおいても、アクセスリストによる制限を適用することで、当該データへの不正な読み込み・書き込みを防止します。
7.自動化ツールを活用することで、アクセスコントロールを強化する
内容: ホスト型DLP(情報漏洩対策)、等の自動化ツールを活用し、システムやサーバ上での情報の複製などの不正行為に対し、アクセスコントロールの制限を強化します。
留意点:一般的に、情報技術の分野では、自動化を導入することで体勢の強化を図ることができます。自動化ツールを導入する際には、まずは予めポリシーを明確に設定します。そして、不正な変更が加えられる場合、自動化ツールにより所定のポリシーに準じた制御を実行させます。
8. システム上に保存されている機密情報を暗号化する
内容:システム上に保存されている機密情報は、その情報のアクセスにおいてオペレーティングシステムとは連動しない、第二の認証メカニズムが求められるツールを使って暗号化します。
留意点:暗号化は、各種コントロールにおいて有効的な対策として言及されています。システム上に保存されている情報を暗号化することで、その情報の漏洩、紛失、盗難される恐れは、暗号化されていない情報のそれより少なくなります。
9.機密データへのアクセスや変更に関する詳細なロギングを強化する
内容:機密データへのアクセスや変更が加わる際の詳細な監査ロギングを(ファイル整合性監視(FIM)File Integrity Monitoringやセキュリティ情報イベント管理(SIEM)、等のツールを活用することで)強化します。
留意点:OSレベルにおけるファイルやアクセス権の変更に関する監査ロギングの取り組みは、相当な手間を必要とし、集中管理サーバにおけるイベントログの処理件数が増大し、サーバに高い負荷がかかります。ファイル整合性監視(FIM)に依存するだけではなく、監視対象の範囲を限定し、その中から対象となるデータは、セキュリティ情報イベント管理(SIEM)で処理させます。これら監視ツールを変更管理(change management)に取り入れ、また他の連携可能なツールを活用することで負荷を分散化し、情報セキュリティの良好な管理を促します。
CISコントロール15:ワイヤレスアクセスコントロール
CISコントロール16:アカウントの監視およびコントロール
CISコントロール17: セキュリティ意識向上とトレーニングプログラムの実施
CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール20: ペネトレーションテストとレッドチームの訓練
CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.