今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール6 監査ログの保守、監視および分析」を見ていきます。そして必須要件として挙げられている8つのサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
内容:ログ内のタイムスタンプが整合するように、すべてのサーバとネットワーク機器が定期的に時刻情報を取得する同期化された時刻ソースを少なくとも3つ使用します。
留意点: ログもまたUTCなどに合わせて標準化しなくてはなりません。ロンドンの午前8時に起きるイベントは、サンフランシスコで午前8時に起きるものと同じではありません。
内容:ローカルでのロギングがすべてのシステムとネットワークデバイス上で可能かについて確認します。
留意点:これはAVコントロールで望まれるものですが、重要なアプリケーション上でもロギングを有効にしてください。
内容:システムロギングに、イベントソース、日付、ユーザ、タイムスタンプ、ソースアドレス、宛先アドレス、その他の有用な要素といった詳細情報が含まれるようにします。
留意点:これはコントロール14のサブコントロール9で詳細なロギングを有効にすることとは違います。ここではログのメタデータが入手できることを確認し、集中型ログサーバの標準化エンジンが、複数のシステムにまたがるイベントを関連付けられるようにしたいのです。メタデータは多ければ多いほど望ましいのです。
内容:ログを格納するすべてのシステムに、生成されるログの十分なストレージスペースがあることを確認します。
留意点:これは、エンドポイントのローカルストレージだけでなく、集中型ロギングサーバも含まれます。コンプライアンスのフレームワーク上、義務付けられたデータの保管期間はそれぞれ違います。ロギングを増やすにつれて、長期的な保管のためによりコストがかかるでしょう。
内容:分析と見直しのため、適切なログが中央ログ管理システムに統合されることを確認します。
留意点:この必須要件の記述の中の「適切な」という言葉が気に入っています。おそらくウインドウズが生成するすべてのログをロギングサーバに送る必要はないでしょう。ログアグリゲーターを使用して、不要なイベントを除去し、「価値ある」イベントだけを貴重なロギングサーバまたはSIEM に送ります。
内容:セキュリティ情報とイベントマネジメント(SIEM)またはログ分析ツールをログの相関と分析のために適用します。
留意点:これは重要なセキュリティコントロールです。貴社の環境のインテリジェンスがSIEMまたはログ管理ツールに保存されます。これが無いと最良の検出メカニズムを蚊帳の外に置く事になります。
内容:例外的、または異常なイベントを特定するために、定期的にログを確認します。
留意点:ここではSIEMがあなたに代わって重労働をしてくれます。しかしSIEMは掛け算のようなものです。だれもログを見ていないと、ゼロを掛け算するようなもので、何も得られません。
内容:使用可能なイベントのより正確な特定とイベントノイズの減少のため、定期的にSIEMシステムを調整します。
留意点:SEIMを初めて導入する際は、これはなかなか難しいでしょう。SIEMを調整できるには熟練のセキュリティ組織でなければなりません。この必須要件はインシデントレスポンスチームが自分達の発見に基づいてSIEMにアップデート出来るというコントロール19に移動させた方がいいように思います。
By Travis Smith