今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール14 Need-to-Knowに基づいたアクセスコントロール」を見ていきます。そして必須要件として挙げられている9つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
内容:サーバ上に保管されている情報のラベルや重要度に応じて、ネットワークを分割します。すべての機密情報は、別個のVLAN 上に保管します。
留意点:ニュース、等で見受けられる情報の漏洩の大半は、ネットワークの分割を実施することで防くことが可能です。コントロールの基盤の中でも、当該コントロールは、組織の大小に関わらず実施すべき根本的な対策です。
内容:権限のあるユーザのみが特定の業務上必要なシステムにのみ通信するように、個別のVLAN間の通信は、ファイアーウォールのフィルタリングを有効とします。
留意点:ネットワークを複数の個別VLANに分割した後は、ネットワーク間の通信をいかに制御するのか、これが情報の漏洩を確実に防ぐことに繋がります。一定のネットワークはオープンな状態を維持する一方で、残りのネットワークは完全に閉鎖するといった対策が考えられます。オープンとするネットワークには、多層防御を施すことで、想定外の攻撃の経路を防御することが求められます。
内容:プライベートVLANの設定、またはマイクロセグメンテーション(ネットワークの細分化)、等を施すことで、攻撃者による周辺システムへの攻撃(横断的侵害)を制限し、ワークステーション間の直接的な通信機能を無効とします。
留意点:当該サブコントロールは、攻撃者の横断的侵害に有効なだけではなく、自己増殖型のマルウェアにも有効な対策です。ホスト間の通信は、シテムアドミニストレーターによるシステムの保守作業時に発生するのが一般的です。この場合、システムアドミニストレーター専用のVLANを設定し、従業員のパソコンとの通信はこの専用VLANに制限するといった対策が考えられます。
内容:機密情報をファイル伝送する際には、常に暗号化を実施します。
留意点:早期の暗号化、そして暗号化の徹底に取り組みます。データの種類(伝送対象データか、保存データか)に関係なく、機密情報には暗号化を徹底させます。データを暗号化出来ないアプリケーションの場合は、データ伝送経路の脆弱性を確認します。
内容:自発型のデータディスカバリーツールを活用することで、データの種類(保存データ、処理データ、または組織のシステムを仲介する伝送データ)に関係なく、全ての機密情報の特定・識別が出来る体勢を整えます。オンサイトのデータ、およびクラウド、等のリモートサービスにより提供されるデータをも含み、組織の全ての機密情報のインベントリを最新の状態で把握できる体勢を整えます。
留意点:機密情報が含まれる保存データの特定においては、DLP(情報漏洩対策)やデータ分類ツールの活用も有効です。また、伝送データについては、複合化されない限り、情報を読み取ることは不可能に等しいものです。動画や音声ファイルの確認作業も漏れなく実施して下さい。音声認識ソフトによるNLP(自然言語処理)を適用することで、機密情報の特定・識別が可能です。
内容:システム上に保管されているすべての情報は、ファイルシステム、ネットワーク共有、クレーム(Kerberos チケット内に入れる情報)、アプリケーションやデータベースのアクセスコントロールリストを使用して保護します。これらの管理は許可されたユーザのみが必要に応じ情報にアクセスできるという原則を徹底させます。
留意点:データに対しユーザーアクセスの許可を設定することは、極めて一般的な手法ですが、ここで重要なことは、アクセス許可の適応範囲をクラウド事業者が提供するサーバに保存されているデータにまで拡大することです。クラウド上に保存されているデータにおいても、アクセスリストによる制限を適用することで、当該データへの不正な読み込み・書き込みを防止します。
内容: ホスト型DLP(情報漏洩対策)、等の自動化ツールを活用し、システムやサーバ上での情報の複製などの不正行為に対し、アクセスコントロールの制限を強化します。
留意点:一般的に、情報技術の分野では、自動化を導入することで体勢の強化を図ることができます。自動化ツールを導入する際には、まずは予めポリシーを明確に設定します。そして、不正な変更が加えられる場合、自動化ツールにより所定のポリシーに準じた制御を実行させます。
内容:システム上に保存されている機密情報は、その情報のアクセスにおいてオペレーティングシステムとは連動しない、第二の認証メカニズムが求められるツールを使って暗号化します。
留意点:暗号化は、各種コントロールにおいて有効的な対策として言及されています。システム上に保存されている情報を暗号化することで、その情報の漏洩、紛失、盗難される恐れは、暗号化されていない情報のそれより少なくなります。
内容:機密データへのアクセスや変更が加わる際の詳細な監査ロギングを(ファイル整合性監視(FIM)File Integrity Monitoringやセキュリティ情報イベント管理(SIEM)、等のツールを活用することで)強化します。
留意点:OSレベルにおけるファイルやアクセス権の変更に関する監査ロギングの取り組みは、相当な手間を必要とし、集中管理サーバにおけるイベントログの処理件数が増大し、サーバに高い負荷がかかります。ファイル整合性監視(FIM)に依存するだけではなく、監視対象の範囲を限定し、その中から対象となるデータは、セキュリティ情報イベント管理(SIEM)で処理させます。これら監視ツールを変更管理(change management)に取り入れ、また他の連携可能なツールを活用することで負荷を分散化し、情報セキュリティの良好な管理を促します。
By Travis Smith