今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、コントロール16 アカウントの監視およびコントロールを見ていきます。そして必須要件として挙げられている13のサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
「コントロール16」のキーポイント
- 忘れずにログを取りましょう。このコントロールの後半のサブコントロールの多くは、エンドポイントのログデータをSIEMのような集中型ロケーションに一元化しなければ不可能です。組織のセキュリティインテリジェンスはログにあるのですから、ツールに負荷をかけすぎることなく可能な限り多くのログを収集するか、またはアナリストにログを再調査させるか、またはその両方を行うことが必要です。
- パスワードを必須要件から除外。コントロール16からパスワードに関するガイダンスは除外されています。もともとコントロール4とほぼ重複していたので、これで問題はないでしょう。もしパスワードの必須要件についてのガイドラインをお探しなら、主要な強化ガイド、またはセキュリティフレームワークをご覧ください。
- 一般的な攻撃のブロック。これまで公表されている大半の攻撃は、コントロール16の必須要件にあたる部分に対して行われています。情報セキュリティに関する国際会議等では、ゼロデイ攻撃等が盛んに取り上げられ報道されているかもしれませんが、実際には攻撃者は有効な認証情報を静かに淡々と狙っているのです。認証メカニズムと有効なアカウントの管理は、適切なセキュリティアーキテクチャの構築の基礎となります。
コントロール16の必須要件リスト(サブコントロール)
1.認証システムのインベントリを能動的に管理する
内容:サイト内のもの、遠隔のサービスプロバイダのもとにあるものも含め、それぞれの組織の認証システムのインベントリを能動的に管理します。
留意点:コントロール1、2に関係しますが、自分自身が知らないものを守ることは出来ません。有効な認証情報が欲しい攻撃者にとって、認証システムは宝物のようなものです。そのため、このシステムが貴社の環境下のどこにあるのか、確認しておく必要があります。
2.集中型認証ポイントを設定する
内容:ネットワーク、セキュリティそしてクラウドシステムなどからのすべてのアカウントへのアクセスが、なるべく少ない数の集中型認証ポイントを経由するように設定します。
留意点:集中型認証システムから認証情報を引き出す専用のツールは複数ありますが、ツールの数に制限をかけることで、防御が容易になります。さらに、CIS強化ガイドやDISA STIGSのような信頼のおけるソースを用いて、可能な限り強化すべきです。
3.多要素認証を義務付ける
内容:オンサイト、サードパーティーのプロバイダなど、すべてのシステム上のすべてのユーザアカウントに多要素認証を義務付けます。
留意点:全コントロール中でも、これは最も効果の高い必須要件の一つかもしれません。多要素認証は様々なレベルで展開されることになります。多要素認証の環境全体を調査するより、利用可能な外部のサービス(VPNやウェブポータルなど)を求めるほうが簡単でよいでしょう。
4.すべての認証情報を暗号化もしくはハッシュ化する
内容:保存するときには、すべての認証情報を暗号化、もしくはソルトを付与してハッシュ化すること。
留意点:攻撃者は常にデータベースのパスワードを狙っています。簡単に盗み出されないようにするためには、ひとつひとつのパスワードを暗号化するか(サブコントロール18.5参照)またはアルゴリズムを用いてハッシュ化します。パスワードを解読するためにハイパワーシステムが使われることはもはや特別なことではないので、それぞれのユーザアカウントもまた、独特のソルトを付与してハッシュ化しなくてはなりません。
5.ユーザ名と認証情報の送信は暗号化チャネルを使用する
内容:すべてのアカウントユーザ名と認証情報がネットワーク上で送信される際に暗号化チャネルを介していることを確認します。
留意点:ネットワークを通過するものはすべて、特に認証情報は必ず暗号化されなくてはなりません。パケットキャプチャツールを用いると、認証情報がネットワーク上を安全に送信されているか、システム管理者にはすぐに認識出来ます。
6. アカウントのインベントリを能動的に管理する
内容:認証システム下のすべてのアカウントのインベントリを能動的に管理します。
留意点:アイデンティティ・アクセス管理を行うのは、一連のコントロールの中の必須要件の中でも、最も難易度が高いことです。コントロール1、2と同様に、自分の環境にどんなユーザがいるのかを把握することは、将来的にユーザを守ることになるかもしれません。
7.アクセスを無効化するプロセスを確立すること
内容:従業員または請負業者の解約時、または職務内容が変更された時にはアカウントを即時に無効にすることで、システムアクセスを失効するプロセスを確立して、そのプロセスに従います。アカウントを削除する代わりに無効にすることで、監査証跡を保持できます。
留意点:プロセスを作ることは、アクセスの無効化に何が必要かを文書化するのと同じくらいシンプルです。実際どのように取り進めるのか技術的な詳細については、NISTやその他の規制機関の既存のフレームワークを利用できます。
8. 関連付けることができないアカウントを無効化する
内容:ビジネスプロセスと所有者に関連付けることができないアカウントをすべて無効にします。
留意点:以前のバージョンでは、ビジネスオーナーに対してアカウントのリストを定期的に見直すよう義務付けていました。今回のバージョンでは必要とされていませんが、とても効果が高いことに変わりはありません。ガイドラインの多くが、各アカウントは所有者がユーザ名等で指定されているべきだとしています。残りのアカウントに関しては、リストを作り、ユーザ、チーム、アプリケーション、または部門と関連付けるようにします。
9. 休止アカウントを無効化する
内容:一定期間使用されなかった休止アカウントを、自動的に無効化します。
留意点:使用されていないアカウントはおそらくモニタされていませんので、不要であれば、削除するのが一番です。アマゾンウェブサービスのようなサードパーティのサービスも同じようにするべきであることを忘れてはいけません。
10. すべてのアカウントに有効期限が設定されていることを確認する
内容:すべてのアカウントに、実行、監視された有効期限が設定されていることを確認します。
留意点:有効期限を設けることで前出の必須要件の管理が容易になります。しかし、もし正規ユーザのアカウントが期限切れのためロックされてしまうようだと、ヘルプデスクチームの仕事を増やすことになりかねません。
11. 未使用のワークステーションのセッションをロックする
内容:標準の未使用期間の経過後に、ワークステーションのセッションを自動的にロックします。
留意点:自動処理を行うには、貴社が使用している基準を参考にします。ウインドウズユーザ向けの集中管理されたグループポリシーを用いれば簡単に出来ます。他の手軽な手段としては、ワークステーションから離れるときにはロックをかけるように、ユーザをトレーニングすることです。ウインドウズユーザならば、二つのキー(Windowsキー+L)を押すだけで済みます。
12. 実効性のないアカウントへのアクセスの試行をモニタすること
内容:監査ログによって実効性のないアカウントへのアクセスの試行をモニタします。
留意点:これはサーバとエンドポイントの監視ログの収集を可能にすれば容易にできます。SIEMがログインの試行を実効性のないアカウントと関連付けられるようになることが必要なので、簡素化のためには、アクティブディレクトリまたはLDAPへの統合が極めて重要です。
13.通常と異なるアカウントログイン行為を警戒する警告を出すこと
内容:作業時間帯、ワークステーションの場所や期間など、通常のログイン行為と著しく異なるユーザを警戒します。
留意点:前出の必須案件と同様に、こちらもロギングによって可能になります。SIEMの多くでは相関エンジンに組み込まれているでしょう。もし無い場合でも、作業時間帯、場所と期間に関するシンプルなルールを作り、そしてレポートを定期的に報告することは容易に出来ます。
CISコントロール17: セキュリティ意識向上とトレーニングプログラムの実施
CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール20: ペネトレーションテストとレッドチームの訓練
CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.