今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、コントロール15 ワイヤレスアクセスコントロールを見ていきます。そして必須要件として挙げられている10つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
「コントロール15」のキーポイント
- 攻撃対象範囲を減らしましょう。コントロール 15の大部分は、ワイヤレステクノロジの使用を制限することにあります。ワイヤレスを使用する際は、ワイヤレスデータへの攻撃を防ぐため、暗号化についてもベストプラクティスを選びましょう。
- より多くの使用ツールを模索しましょう。悪意あるアクセスポイントを検出するために、脆弱性スキャン、またはワイヤレス侵入防止システムを使用することは過剰です。既にこのツールを持っているなら、他の使用ツールを模索することなく、再利用すればいいでしょう。しかし持っておらず、かつ早急にコントロール 15に対処する必要がある場合は、同じ効果でもっと安価なツールは多くあります。
コントロール15の必須要件リスト(サブコントロール)
1.許可された無線アクセスポイントのリストを維持管理する
内容:有線ネットワークに接続され、許可された無線アクセスポイントのリストを整理します。
留意点:ベースラインを形成するということは、エンタープライズネットワークのあらゆる部分をセキュアにするための出発点になります。たとえリストがExcelのスプレッドシートで管理されていたとしても、後で参考にするためにデータを紙に書き出す必要があるのです。
2.有線ネットワークに接続されている無線アクセスポイントを検知する
内容:有線ネットワークに接続されている不正なワイヤレスアクセスポイントを検知し、警告を出すよう、ネットワーク脆弱性スキャンツールを設定します。
留意点:これは、サブコントロール1の出発点でもあります。実際、ネットワーク上のデバイスを検出するためのツールを配置している点で、これはコントロール 1の一部にもあたります。ただし、無線アクセスポイントを見つけるのは、ネットワーク脆弱性スキャンツールだけに限られているわけではありません。同じ効果の期待できるツールが他にも多くあります。
3.無線の侵入検知システムを使用する
内容:無線侵入防止システム(WIDS)を使用して、不正な無線アクセスポイントを検知し、警告します。
留意点:WIDSは、アクセスポイントの検知以上のことができるツールです。WIDSを導入する予算があるなら、ネットワークの脆弱性をスキャンするツールとして以外の目的にも活用してください。WIDSはプロトコルレベルの攻撃をモニタするため公共ネットワークに最適です。というのも、一般的なIDSはこの種の攻撃はまったく検知できないからです。
4.必要でないときは、デバイスの無線アクセスを無効にする
内容:業務目的にとって無線アクセスが必要でないデバイスの無線アクセスを設定します。
留意点:攻撃対象範囲を減らしましょう。これは、特定のマシンにとって重要でないポートとサービスを無効にするという考え方と同じです。殆どのサーバとデスクトップには無線接続は不要です。注意すべきは、企業ネットワークではなく、モバイルホットスポットをコンピュータに接続し、携帯電話キャリアを介してデータを送信するデータ窃盗の手法です。
5.クライアントデバイスの無線アクセスを制限する
内容:無線アクセスが必要不可欠ではない業務目的のクライアントマシンで無線アクセスを設定し、許可された無線ネットワークにのみアクセスを許可し、他の無線ネットワークへのアクセスを制限します。
留意点:ノートパソコンや携帯電話などのデバイスは本質的にモバイルであるため制御が難しくなるでしょう。従業員がビジネスで出張している場合、無線ネットワークをビジネス利用に限定すれば、従業員の生産性を制限することになってしまいます。場所を移動することのない無線デバイスのためだけの必須条件とするべきでしょう。
6. 無線クライアントのピアツーピア無線ネットワーク機能は無効にする
内容:無線クライアントのピアツーピア(アドホック)無線ネットワーク機能を無効にします。
留意点:コンシューマーグレードのデバイスにはこの機能が必要な場合もありますが、エンタープライズデバイスでは必要な場合は殆どないでしょう。通常、リモートの攻撃者が使用することはなく、インサイダー脅威に分類されます。前出のサブコントロールと同様に、これは会社のネットワーク上以外でデータの窃盗を行おうとする人向けです。
7.ADVANCED ENCRYPTION STANDARD(AES)を使用して無線データを暗号化する
内容:Advanced Encryption Standard(AES)を使用して、無線トラフィックを暗号化します。
留意点:早い段階で、そして頻繁に暗号化することが重要です。AESは無線コミュニケーションの事実上の標準規格となっています。基準書の中で特定のプロトコルやツールを名指しすることは、好ましいことではないでしょうが、CISの次の改訂までにAESが他のものにとって代られることはまずないでしょう。
8. 多要素相互認証を必要とする無線認証プロトコルを使用する
内容:無線ネットワークは、多要素相互認証を必要とするExtensible Authentication Protocol – Transport Layer Security (EAP / TLS)などの認証プロトコルを使用していることを確認します。
留意点:サブコントロール7を参照してください。業務目的のために最上級のセキュリティにできないクライアントデバイスが必要な場合を除き、最も強力なツールとテクノロジーを活用してください。
9. 無線周辺アクセスを無効にする
内容:業務上必要でない限り、BluetoothやNFCなどのデバイスの無線周辺アクセスは無効にします。
留意点:サブコントロール5を参照してください。しかし、これはWiFiというより、むしろ近距離無線通信を指しています。BluetoothとNFCを使用するのはリスクがあるため、必要がない場合はオフにしておきましょう。
10. パーソナルデバイスや信頼できないデバイス向けに別の無線ネットワークを作る
内容:パーソナルデバイスや信頼できないデバイス向けに別の無線ネットワークを作ります。このようなネットワークからの企業へのアクセスは信頼できないアクセスとして扱わ、フィルタリングと監査を受ける必要があります。
留意点:このサブコントロールはコントロール15で最も重要な要件の1つでしょう。ゲストネットワークは、企業ネットワークと企業ネットワークと通信する必要はありません。このサブコントロールで推奨されているように、企業トラフィックと同じ境界を通過させたり監査される必要があるケースをまだ目にしたことがありません。ゲストには、ゲストネットワークが公共の場で顧客に対して公開されている場合は特に、企業ネットワークへの回路を持たない、全く異なるネットワークを使用させるべきでしょう。
CISコントロール16:アカウントの監視およびコントロール
CISコントロール17: セキュリティ意識向上とトレーニングプログラムの実施
CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール20: ペネトレーションテストとレッドチームの訓練
CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.