今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、コントロール20 ペネトレーションテストとレッドチームの訓練を見ていきます。そして必須要件として挙げられている8つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
「コントロール 20」のキーポイント
- 前段階のコントロールに依拠 コントロール20の大半は、コントロール20以前のコントロールのまとめになります。コントロール1および2から攻撃対象範囲を理解しておけば、サブコントロールの1~3を詳しくみていく時に役立ちます。コントロール20の大半のサブコントロールで利用できる脆弱性管理ツールセットを定義するのはコントロール3です。レッドチーム訓練で、コントロール20以前のあらゆるコントロールのカバー範囲の完備に役立ちます。
- 改善点は? サブコントロール7ではペネトレーションテストの結果を長期にわたって比較すべきだとされています。しかし、ペネトレーションテストで発見された差異をどうやってブルーチームに提供し排除するかに対して、まだガイダンスがありません。
コントロール 20:必須要件リスト(八つのサブコントロール)
1.ペネトレーションテストの実施プログラムを確立する
内容:ワイヤレス、クライアントベース、そしてWebアプリケーション攻撃など、フルスコープの複合型攻撃を含むペネトレーションテストの実施プログラムを確立します。
留意点:これは、自分のアセットに対しペネトレーションテストを開始しようとしている人にとっての出発点になります。もしまだ始めたばかりなら、すぐにフルスコープの複合型攻撃に取り組もうとするのはやめておいたほうがよいでしょう。ご自分の専門知識のある事柄、あるいは脆弱性スキャンで発見した重要な問題から始めると良いでしょう。やがてあらゆる複合型攻撃への対応の準備が出来るようになります。
2.定期的な外部と内部のペネトレーションテストを実施する
内容:定期的な外部及び内部ペネトレーションテストを実施し、企業システムを悪用するために利用できる脆弱性と攻撃の経路を特定します。
留意点:この項目は、より簡潔な表現になりましたが、どちらかといえば以前のバージョンから変化がないところです。サブコントロール1と同様、内部のスキャンから始め、最終的に外部のスキャン結果を得られるように進めていきます。
3.定期的にレッドチームの訓練を実施する
内容:定期的にレッドチームの訓練を実施して、攻撃を特定して阻止できるか、または迅速かつ効果的に対応できるかについて、組織の準備状況をテストします。
留意点:サブコントロール2と3の違いは、防御者(ブルーチーム)は攻撃の発生を認識していないことです。このサブコントロールはネットワークに穴がないかを純粋に判断するためというより、むしろ防御策をテストするために設計されたものです。
4.保護されていないシステム情報と成果物が存在するかについてのテストを組み込むこと
内容:攻撃者にとって有用な保護されていないシステム情報や成果物が存在しているかどうかを確認するためのテストを組み込みます。確認対象はネットワーク図、構成ファイル、古いペネトレーションテストのレポート、パスワード他のシステム運用に関する重要な情報が含まれた電子メールや文書などがあります。
留意点:もしまだにコントロール13.1を利用していないのなら、このセクションはうまくいかないでしょう。自分の機密データがどこにあるのか、攻撃者より先に知っておくことは、とても重要です。
5.一般にテストされていない要素をテストするためテストベッドを作成する
内容:監視コントロールやデータ獲得、その他のコントロールシステムに対する攻撃など、本番環境で一般にはテストされない要素に対する特定のペネトレーションテストとレッドチームによる攻撃テストのため、本番環境を模倣したテストベッドを作成します。
留意点:このサブコントロールは、ダウンタイムが許されないシステムのテストのための安全な環境を提供します。ダウンタイムが許されるシステムであっても、もしも適用できるならば、概念実証への攻撃を展開するためのテスト環境を整え、それが本番環境に適用可能で有効に利用されるのであればよいでしょう。
6. 脆弱性スキャンツールとペネトレーションテストツールを連携して使用すること
内容:脆弱性スキャンツールとペネトレーションテストツールを連携して使用します。脆弱性スキャンの評価結果は、ペネトレーションテスト実施の際に注力すべき点を絞り込むのに用います。
留意点:脆弱性スキャンの結果は、ペネトレーションテストツールに反映することが出来ますし、またそうすべきです。ブラックボックス手法を実施するのでない限り、攻撃対象範囲についての知識はレッドチームを成功に導くでしょう。しかしながら、これが脆弱性スキャンの結果のみをテストするといったバイアスを生じさせるかもしれないので気をつけて下さい。レッドチームは脆弱性スキャナが報告していないアイテムも積極的にテストするよう留意下さい。
7.ペネトレーションテストの結果を、必ず公開されていてかつ機械処理が可能な形式で記録する
内容:可能な際には常に、レッドチームの結果を公開されていてかつ、機械処理が可能な形式(SCAPなど)で記録します。長期にわたってレッドチーム訓練の結果を比較できる様に、結果を判別するための採点法を検討します。
留意点:もし複数のセキュリティチームが複数のベンダーからの異なったツールを利用しているならば、SCAPの使用は有意義です。しかし、ここでより重要な必須要件は、どんなフォーマットが使われているにせよ、結果を内部で長期的に比較するということです。
8. ペネトレーションテストに関連するアカウントをコントロール・モニタすること
内容:ぺネストレーションテストの実施に使用するユーザアカウントとシステムアカウントが、正当な目的に限って使用されることと、テスト終了後に除去されるかまたは通常の機能に戻ることを確認するため、これらのアカウントを全てコントロール・モニタする必要があります。
留意点:これは、レッドチームの各動作の後に発生する後始末の一部です。しかし、上述のキーポイントでも指摘したとおり、テスト終了後も、まだ多くのすべきことがあります。
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.
