今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール7 電子メールと Web ブラウザの保護」を見ていきます。そして必須要件として挙げられている10個のサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
「コントロール7」のキーポイント
- メールの画像をブロックする。1画素の追跡画像が埋め込まれているだけで、攻撃者(でなければマーケティング担当)が従業員のアクティビティ情報を得るための経路になることがあります。メールに埋め込まれた、または外部サイトから読み込まれた悪意のある画像も攻撃の経路になり得ます。メールの画像自動読み込みを無効化し、画像を見たければ、ボタンをクリックさせることを検討してください。
- ベンチマークを強化する。CISは Exchange や Office Suitesのガイドラインを強化してきましたが、コントロール7ではこれを活用することに触れられていないので驚きました。「ソフトウェア」についてはコントロール5でカバーされていますが、CISとDISAからは Exchange と Officeの強化テンプレートが入手できます。
- このコントロールには時間をとられます。コントロール7には多くの不明瞭な必須要件があり、何が良くて何が悪いのかというリストを実装者自身が作ることを要求しています。ベースラインから始めて、変化を監視しながら、有効化するように努力します。
コントロール7の必須要件リスト(サブコントロール)
1.完全にサポートされているブラウザと電子メールクライアントのみを使用していることを確認する
内容:完全にサポートされている Web ブラウザと電子メールクライアントのみ組織内で実行可能であることを確認します。 ベンダーから提供される最新のブラウザと電子メールクライアントのみ使用するのが理想的です。
留意点: Internet Explorerが承認されたからといって、今でもIE5が使われるということではありません。これはコントロール2のサブコントロール1と2に依存するところが大きいですが、ブラウザと電子メールクライアントに焦点を当てています。
2.必要のない、あるいは許可されていないブラウザや電子メールクライアントのプラグインを無効化する
内容:許可されていないブラウザや電子メールクライアントのプラグインもしくはアドオンアプリケーションをアンインストールするか無効にします。
留意点:ブラウザの拡張機能は、ユーザがウェブフォームに入力したログイン認証情報などに自由にアクセスできます。持続性を維持できるブラウザもあります。(いまどき実際、ブラウザを閉じている人は少ないでしょう)ブラウザ拡張機能を定期的にスキャンしましょう。Tripwire Enterpriseなら、全社内での作業をサポートします。
3.Web ブラウザと電子メールクライアントにおいてスクリプト言語の使用を制限する
内容:すべてのWebブラウザと電子メールクライアント上で、認可されたスクリプト言語だけが使用できるように確認します。
留意点:ブラウザ上のスクリプティングを全体的に無効化すると多くのWebサイトが機能不全に陥ってしまうので、これはできません。アドブロックをインストールして、後述のサブコントロール7の必須要件によって悪意のあるWebサイトからスクリプトが読み込まれるのを防ぐことは選択肢の一つになります。
4.ネットワークベースの URL フィルタを維持、適用する
内容:組織から承認されていない Web サイトへシステムが接続するのを制限するネットワークベースの URL フィルタを適用します。このフィルタリングは、組織の施設内に物理的に存在している、していないにかかわらず各システムに適用します。
留意点:この最後の一文がこの必須要件に加えられたことを嬉しく思います。ノートPCでローミングしてどこからか感染し、信頼されているネットワークに持ち込むことがあるからです。ホストベースのファイアウォールに依存し、ユーザが回避できないよう確認する必要があるでしょう。簡単に達成するためには、出張するユーザのことは考慮せず、境界のファイアウォールでこの機能を提供することです。出張先では仮想 プライベートネットワーク(VPN) を使用して組織ネットワーク内に入るようにユーザを訓練すると、感染の可能性を減らすことができます。
5.URLカテゴライズサービスに登録する
内容:最新のWebサイトカテゴリ定義に更新されているかどうかを確認するためにURLカテゴリの確認サービスに登録します。分類されていないサイトはデフォルト設定でブロックします。
留意点:前述の必須要件同様、これは境界またはホストベースのファイアウォールの多くに、すでに組み込まれているはずです。この必須要件については、コントロール8.2(アンチマルウェアソフトとシグネチャの更新を確認する)と同じツールが同じ機能を実行しているので、同じように考えればよいでしょう。
6.すべてのURLリクエストのログを取得する
内容:悪意のある可能性のあるアクティビティの特定をしたり、インシデントハンドラーが侵害されている可能性のあるシステムを特定するために、オンサイトまたはモバイルデバイス問わず、組織の各システムからのすべての URL リクエストのログを取得します。
留意点:これはコントロール8のサブコントロール7(DNSクエリロギングを有効にする)とほぼ同じで、最初のクエリではなくすべてのリクエストである点だけが異なっています。コントロール8のサブコントロール7と同様に、ネットワークセキュリティ監視ツールを使用すれば、すべてのエンドポイントからクエリを収集・集中化しなくとも特定が可能になります。。
7.DNSフィルタリングサービスを使用する
内容:既知の悪意のドメインへのアクセスをブロックするために、DNSフィルタリングサービスを使用します。
留意点:もしC2ドメインの名前解決ができなかったらマルウェアは無効にされます。大きな組織であればこれを企業仕様のツールを用いて内部的に行えます。小さな組織では、同じことをするのに外部のDNSプロバイダを使用します。
8.DMARCを実装し、受信者側の検証を有効にする
内容:有効なドメインからの電子メールがスプーフされたり修正される可能性を減らすために、、Sender Policy Framework (SPF) とDomain Keys Identified Mail (DKIM) 基準を実装し、Domain-based Message Authentication, Reporting and Conformance (DMARC) ポリシーおよび認証を実装します。
留意点:この件については、私から説明するよりDMARCとSPFとDKIMについてのTechnetのすばらしい記事がありますので、ぜひ参考にして下さい。
9.不要なファイルタイプをブロックする
内容:組織の電子メールゲートウェイに到着した組織のビジネスに不要なファイルタイプの添付ファイルについては全てブロックします。
留意点:実行(スクリプトを含む)ファイルを制限すると、従業員が電子メールベースのマルウェアにさらされることも減ります。組織に流入するメールだけでなく、組織内でのメールの制限も考慮してください。
10.電子メールの添付ファイルはすべてサンドボックスに入れる
内容:到着する電子メールの悪意のある添付ファイルをサンドボックスを使って分析し、ブロックします。
留意点:まず前述の必須要件のように、望まない拡張ファイルをブロックします。次に既存のファイルに悪意ある動きがないか分析する必要があります。ファイルの静的解析のためには、サンドボックスを利用してファイルを開き、リンクを訪れることが理想的です。Zipファイルはサンドボックスで解凍と圧縮するようにします。
CISコントロール8:マルウェア対策
CISコントロール9:ネットワークポート、プロトコル、およびサービスの制限およびコントロール
CISコントロール11:ファイアウォール、ルータ、スイッチなどのネットワーク機器のセキュアな設定
CISコントロール12:境界防御
CISコントロール13:データ保護
CISコントロール14:Need-to-Knowに基づいたアクセスコントロール
CISコントロール15:ワイヤレスアクセスコントロール
CISコントロール16:アカウントの監視およびコントロール
CISコントロール17: セキュリティ意識向上とトレーニングプログラムの実施CISコントロール18:アプリケーションソフトウェアセキュリティ
CISコントロール19: インシデントレスポンスと管理CISコントロール20: ペネトレーションテストとレッドチームの訓練CISがクリティカル セキュリティーコントロール トップ20を改訂
By Travis Smith
About Travis Smith
Travis Smith is a Principal Security Researcher at Tripwire. He has over 10 years experience in security, holds an MBA with a concentration in information security, and multiple certifications including CISSP, GIAC and GPEN. Travis specializes in integrating various technologies and processes, with a passion for forensics and security analytics with the goal of helping customers identify and mitigate real threats.