今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール5 モバイルデバイス、ラップトップ、ワークステーションおよびサーバに関するハードウェアおよびソフトウェアのセキュアな設定」を見ていきます。そして必須要件として挙げられている5つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
「コントロール5」のキーポイント
- ベンダーガイドラインだけで終わらせない。一部のベンダーは、パフォーマンスおよび/またはセキュリティの設定ガイドラインを推奨してきました。しかしほとんどのソフトウェアとオペレーティングシステムはオープンかつ不安定な状態に設定されているため、CIS強化ガイドやDISA STIGsのような外部ソースのガイダンスを追加的に利用します。たとえばWindowsならCIS強化ベンチマークの合格率はおよそ65%です。こういったものが利用でき、攻撃対象範囲を大幅に狭められることをぜひ知っておいてください。
- FIMが主要な原動力。Tripwireは過去20年にわたってファイル整合性監視(FIM)に携わってきました。FIMはコントロール5のあらゆる側面における重要な構成要素です。FIMはマスターイメージなどの重要なファイルの変更を見逃しません。FIMは構成ファイルを監視し、変更時にはリアルタイムで報告します。FIMは人間が認識できる以上のことができるのです。
- これ以前のコントロールからデータを取り込みます。セキュアにする対象について知るために、コントロール1と2からの洞察が必要となるでしょう。結局のところ、知らないことを守ることはできません。
- インシデントに備える。コントロール5はコントロール19と密接に連動しています。設定の変更によって、設定上に脆弱性が生まれ、そこから侵害が発生する可能性があります。コントロール19まで行ったら、SCMリソースがインシデントレスポンスプログラムで使用できることを確認します。
コントロール5の必須要件リスト(サブコントロール)
1.セキュアな設定を確立する
内容:すべての許可されたオペレーティングシステムおよびソフトウェアのための文書化された標準的なセキュリティ設定を維持します。
留意点: 私はこれはCISやDISAなどの強化ベンチマークを活用し、NIST SP 800-53などのフレームワークに従って環境をセキュアにすることができるという意味だと思います。幸いにも、Tripwire Enterpriseには、上述のフレームワーク他に基づいたポリシーの膨大なライブラリがあります。
2.セキュアなイメージを維持
内容:組織内の全てのシステムのセキュアなイメージもしくはテンプレートを、組織の承認された標準的な設定に基づいて維持します。新しいシステム展開、または既存のシステムが侵害された場合、それらのイメージまたはテンプレートを使用して、イメージ化されるべきである。
留意点:ここで難しいのは、オペレーティングシステムやアプリケーションの都度の更新イメージを管理することです。マスターイメージが本番環境と一致して更新されることが理想ですが、マスターイメージがオフラインで保存されていると難しいでしょう。すばらしいアイディアがありまして、環境内の変更を監視する際にマスターイメージを信頼できる情報源として使用することです。もしマスターイメージにはないシステムバイナリが変更されたら、疑わしいとみなすべきです。Tripwire Enterpriseなどのファイル整合性監視ツールを使用してファイルハッシュを収集し、マスターイメージと比較します。
3.マスターイメージを安全に格納する
内容:マスターイメージとテンプレートを、整合性監視ツールで検証された安全に設定されたサーバに格納し、イメージに対して許可された変更のみを行うようにします。
留意点:ゴールデンイメージを本物の「金(ゴールド)」のように扱います。暗号化し、アクセス権を制限し、オフラインで保存し、FIMで監視します。マスターイメージへの無許可の変更がないことを確認するため、あらゆるツールを使用してください。
4.システム設定管理ツールを適用
内容:スケジュールされた定期的なリモートでシステムに対し構成設定を自動的に 実施、再適用するシステム設定管理ツールを適用します。
留意点:何が変更されたのかを把握することと、それに対して対策があるのと全く違います。Tripwire Enterpriseのポリシーは、ポリシーテストで失敗したことの修復方法についても非常に詳細な手順をステップごとに示しており、自動修復能力も同時に備えています。
5.自動化設定モニタシステムの実装
内容:すべてのセキュリティ設定要素を確認するSecurity Content Automation Protocol(SCAP)に準拠した設定モニタシステムを活用し、承認された例外を分類し、そして無許可の変更が行われた場合にアラートを出します。
留意点:この必須要件は一つ上のものと是非入れ替えたいです。最初のステップはシステムをベースライン化することです。そのベースラインを得てから、修復のプロセスを開始するべきです。その際あらゆるタイプのエンドポイントでの変更、特に設定変更監視でTripwire Enterpriseはトップクラスです。
CISコントロール6:監査ログの保守、監視および分析
CISコントロール7:電子メールと Web ブラウザの保護
CISコントロール8:マルウェア対策
CISコントロール9:ネットワークポート、プロトコル、およびサービスの制限およびコントロール
CISコントロール11:ファイアウォール、ルータ、スイッチなどのネットワーク機器のセキュアな設定
CISコントロール12:境界防御
CISコントロール13:データ保護
CISコントロール14:Need-to-Knowに基づいたアクセスコントロール
CISコントロール15:ワイヤレスアクセスコントロール
CISコントロール16:アカウントの監視およびコントロール
CISコントロール17: セキュリティ意識向上とトレーニングプログラムの実施CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール19: インシデントレスポンスと管理CISコントロール20: ペネトレーションテストとレッドチームの訓練CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.