今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール6 監査ログの保守、監視および分析」を見ていきます。そして必須要件として挙げられている8つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
「コントロール6」のキーポイント
- ログはセキュリティの命綱。サイバー攻撃は物理的な攻撃と同じようなものだと思います。銀行強盗は銀行に押し入った時にはいくつもの法律違反を犯し、大騒ぎを起こしますが、犯行現場から逃亡する時には可能な限り多くの法律にしたがうでしょう。デジタルの世界でも同じです。攻撃者はエンドポイントで大きな騒音をたてるけれど、ネットワーク上にほとんど痕跡を残しません。したがって可能な限り多くのシステムからログを収集し、何が起きているのか、明確に把握することが必要です。
- 強化ガイドが役に立ちます。CISとDISAの強化ガイドはエンドポイントでロギングする方法と集中型サーバから遠ざける方法のガイダンスを提供しています。このやり方に習えば問題ないでしょう。
- ロギングに大切な2つの点。一つ目の概要はコントロール1にある、あらゆるロギングデバイス間で時刻の整合性が必要だということです。UTCを使って設定し、全世界でイベントをトラックすることが重要です。二つ目はデータの標準化です。メタデータを呼び出すのに必要なツールは、あらゆるログで同じです。同じもののために、 ip、ipv4、ipv4、アドレスそしてソースを探したくはないでしょう。
- 基礎的なコントロールは全部で6つ。CISは今日では従来からの5つではなく、6つの基礎的なコントロールがあると述べています。ロギングが今や基礎的なコントロールになったということです。
コントロール6の必須要件リスト(サブコントロール)
1.同期化された3つの時刻ソースを使用する
内容:ログ内のタイムスタンプが整合するように、すべてのサーバとネットワーク機器が定期的に時刻情報を取得する同期化された時刻ソースを少なくとも3つ使用します。
留意点: ログもまたUTCなどに合わせて標準化しなくてはなりません。ロンドンの午前8時に起きるイベントは、サンフランシスコで午前8時に起きるものと同じではありません。
2.監査ロギングをアクティベートする
内容:ローカルでのロギングがすべてのシステムとネットワークデバイス上で可能かについて確認します。
留意点:これはAVコントロールで望まれるものですが、重要なアプリケーション上でもロギングを有効にしてください。
3.詳細なロギングを有効に設定する
内容:システムロギングに、イベントソース、日付、ユーザ、タイムスタンプ、ソースアドレス、宛先アドレス、その他の有用な要素といった詳細情報が含まれるようにします。
留意点:これはコントロール14のサブコントロール9で詳細なロギングを有効にすることとは違います。ここではログのメタデータが入手できることを確認し、集中型ログサーバの標準化エンジンが、複数のシステムにまたがるイベントを関連付けられるようにしたいのです。メタデータは多ければ多いほど望ましいのです。
4.ログに十分なストレージがあるか確認する
内容:ログを格納するすべてのシステムに、生成されるログの十分なストレージスペースがあることを確認します。
留意点:これは、エンドポイントのローカルストレージだけでなく、集中型ロギングサーバも含まれます。コンプライアンスのフレームワーク上、義務付けられたデータの保管期間はそれぞれ違います。ロギングを増やすにつれて、長期的な保管のためによりコストがかかるでしょう。
5.ログの中央管理
内容:分析と見直しのため、適切なログが中央ログ管理システムに統合されることを確認します。
留意点:この必須要件の記述の中の「適切な」という言葉が気に入っています。おそらくウインドウズが生成するすべてのログをロギングサーバに送る必要はないでしょう。ログアグリゲーターを使用して、不要なイベントを除去し、「価値ある」イベントだけを貴重なロギングサーバまたはSIEM に送ります。
6.SIEMまたはログ分析ツールを適用する
内容:セキュリティ情報とイベントマネジメント(SIEM)またはログ分析ツールをログの相関と分析のために適用します。
留意点:これは重要なセキュリティコントロールです。貴社の環境のインテリジェンスがSIEMまたはログ管理ツールに保存されます。これが無いと最良の検出メカニズムを蚊帳の外に置く事になります。
7.定期的にログを確認する
内容:例外的、または異常なイベントを特定するために、定期的にログを確認します。
留意点:ここではSIEMがあなたに代わって重労働をしてくれます。しかしSIEMは掛け算のようなものです。だれもログを見ていないと、ゼロを掛け算するようなもので、何も得られません。
8.定期的にSIEMを調整する
内容:使用可能なイベントのより正確な特定とイベントノイズの減少のため、定期的にSIEMシステムを調整します。
留意点:SEIMを初めて導入する際は、これはなかなか難しいでしょう。SIEMを調整できるには熟練のセキュリティ組織でなければなりません。この必須要件はインシデントレスポンスチームが自分達の発見に基づいてSIEMにアップデート出来るというコントロール19に移動させた方がいいように思います。
CISコントロール7:電子メールと Web ブラウザの保護
CISコントロール8:マルウェア対策
CISコントロール9:ネットワークポート、プロトコル、およびサービスの制限およびコントロール
CISコントロール11:ファイアウォール、ルータ、スイッチなどのネットワーク機器のセキュアな設定
CISコントロール12:境界防御
CISコントロール13:データ保護
CISコントロール14:Need-to-Knowに基づいたアクセスコントロール
CISコントロール15:ワイヤレスアクセスコントロール
CISコントロール16:アカウントの監視およびコントロール
CISコントロール17: セキュリティ意識向上とトレーニングプログラムの実施CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール19: インシデントレスポンスと管理CISコントロール20: ペネトレーションテストとレッドチームの訓練CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.
