今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール5 モバイルデバイス、ラップトップ、ワークステーションおよびサーバに関するハードウェアおよびソフトウェアのセキュアな設定」を見ていきます。そして必須要件として挙げられている5つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
内容:すべての許可されたオペレーティングシステムおよびソフトウェアのための文書化された標準的なセキュリティ設定を維持します。
留意点: 私はこれはCISやDISAなどの強化ベンチマークを活用し、NIST SP 800-53などのフレームワークに従って環境をセキュアにすることができるという意味だと思います。幸いにも、Tripwire Enterpriseには、上述のフレームワーク他に基づいたポリシーの膨大なライブラリがあります。
内容:組織内の全てのシステムのセキュアなイメージもしくはテンプレートを、組織の承認された標準的な設定に基づいて維持します。新しいシステム展開、または既存のシステムが侵害された場合、それらのイメージまたはテンプレートを使用して、イメージ化されるべきである。
留意点:ここで難しいのは、オペレーティングシステムやアプリケーションの都度の更新イメージを管理することです。マスターイメージが本番環境と一致して更新されることが理想ですが、マスターイメージがオフラインで保存されていると難しいでしょう。すばらしいアイディアがありまして、環境内の変更を監視する際にマスターイメージを信頼できる情報源として使用することです。もしマスターイメージにはないシステムバイナリが変更されたら、疑わしいとみなすべきです。Tripwire Enterpriseなどのファイル整合性監視ツールを使用してファイルハッシュを収集し、マスターイメージと比較します。
内容:マスターイメージとテンプレートを、整合性監視ツールで検証された安全に設定されたサーバに格納し、イメージに対して許可された変更のみを行うようにします。
留意点:ゴールデンイメージを本物の「金(ゴールド)」のように扱います。暗号化し、アクセス権を制限し、オフラインで保存し、FIMで監視します。マスターイメージへの無許可の変更がないことを確認するため、あらゆるツールを使用してください。
内容:スケジュールされた定期的なリモートでシステムに対し構成設定を自動的に 実施、再適用するシステム設定管理ツールを適用します。
留意点:何が変更されたのかを把握することと、それに対して対策があるのと全く違います。Tripwire Enterpriseのポリシーは、ポリシーテストで失敗したことの修復方法についても非常に詳細な手順をステップごとに示しており、自動修復能力も同時に備えています。
内容:すべてのセキュリティ設定要素を確認するSecurity Content Automation Protocol(SCAP)に準拠した設定モニタシステムを活用し、承認された例外を分類し、そして無許可の変更が行われた場合にアラートを出します。
留意点:この必須要件は一つ上のものと是非入れ替えたいです。最初のステップはシステムをベースライン化することです。そのベースラインを得てから、修復のプロセスを開始するべきです。その際あらゆるタイプのエンドポイントでの変更、特に設定変更監視でTripwire Enterpriseはトップクラスです。
By Travis Smith