今回は、サイバーセキュリティに関する非営利組織「Center for Internet Security, CIS」がとりまとめた「CIS クリティカルセキュリティ コントロール トップ20 ( CIS top 20 Critical Security Controls)」の第7版から、「コントロール7 電子メールと Web ブラウザの保護」を見ていきます。そして必須要件として挙げられている10個のサブコントロール項目を確認し、その上で気づいたことをシェアしていきます。
内容:完全にサポートされている Web ブラウザと電子メールクライアントのみ組織内で実行可能であることを確認します。 ベンダーから提供される最新のブラウザと電子メールクライアントのみ使用するのが理想的です。
留意点: Internet Explorerが承認されたからといって、今でもIE5が使われるということではありません。これはコントロール2のサブコントロール1と2に依存するところが大きいですが、ブラウザと電子メールクライアントに焦点を当てています。
内容:許可されていないブラウザや電子メールクライアントのプラグインもしくはアドオンアプリケーションをアンインストールするか無効にします。
留意点:ブラウザの拡張機能は、ユーザがウェブフォームに入力したログイン認証情報などに自由にアクセスできます。持続性を維持できるブラウザもあります。(いまどき実際、ブラウザを閉じている人は少ないでしょう)ブラウザ拡張機能を定期的にスキャンしましょう。Tripwire Enterpriseなら、全社内での作業をサポートします。
内容:すべてのWebブラウザと電子メールクライアント上で、認可されたスクリプト言語だけが使用できるように確認します。
留意点:ブラウザ上のスクリプティングを全体的に無効化すると多くのWebサイトが機能不全に陥ってしまうので、これはできません。アドブロックをインストールして、後述のサブコントロール7の必須要件によって悪意のあるWebサイトからスクリプトが読み込まれるのを防ぐことは選択肢の一つになります。
内容:組織から承認されていない Web サイトへシステムが接続するのを制限するネットワークベースの URL フィルタを適用します。このフィルタリングは、組織の施設内に物理的に存在している、していないにかかわらず各システムに適用します。
留意点:この最後の一文がこの必須要件に加えられたことを嬉しく思います。ノートPCでローミングしてどこからか感染し、信頼されているネットワークに持ち込むことがあるからです。ホストベースのファイアウォールに依存し、ユーザが回避できないよう確認する必要があるでしょう。簡単に達成するためには、出張するユーザのことは考慮せず、境界のファイアウォールでこの機能を提供することです。出張先では仮想 プライベートネットワーク(VPN) を使用して組織ネットワーク内に入るようにユーザを訓練すると、感染の可能性を減らすことができます。
内容:最新のWebサイトカテゴリ定義に更新されているかどうかを確認するためにURLカテゴリの確認サービスに登録します。分類されていないサイトはデフォルト設定でブロックします。
留意点:前述の必須要件同様、これは境界またはホストベースのファイアウォールの多くに、すでに組み込まれているはずです。この必須要件については、コントロール8.2(アンチマルウェアソフトとシグネチャの更新を確認する)と同じツールが同じ機能を実行しているので、同じように考えればよいでしょう。
内容:悪意のある可能性のあるアクティビティの特定をしたり、インシデントハンドラーが侵害されている可能性のあるシステムを特定するために、オンサイトまたはモバイルデバイス問わず、組織の各システムからのすべての URL リクエストのログを取得します。
留意点:これはコントロール8のサブコントロール7(DNSクエリロギングを有効にする)とほぼ同じで、最初のクエリではなくすべてのリクエストである点だけが異なっています。コントロール8のサブコントロール7と同様に、ネットワークセキュリティ監視ツールを使用すれば、すべてのエンドポイントからクエリを収集・集中化しなくとも特定が可能になります。。
内容:既知の悪意のドメインへのアクセスをブロックするために、DNSフィルタリングサービスを使用します。
留意点:もしC2ドメインの名前解決ができなかったらマルウェアは無効にされます。大きな組織であればこれを企業仕様のツールを用いて内部的に行えます。小さな組織では、同じことをするのに外部のDNSプロバイダを使用します。
内容:有効なドメインからの電子メールがスプーフされたり修正される可能性を減らすために、、Sender Policy Framework (SPF) とDomain Keys Identified Mail (DKIM) 基準を実装し、Domain-based Message Authentication, Reporting and Conformance (DMARC) ポリシーおよび認証を実装します。
留意点:この件については、私から説明するよりDMARCとSPFとDKIMについてのTechnetのすばらしい記事がありますので、ぜひ参考にして下さい。
内容:組織の電子メールゲートウェイに到着した組織のビジネスに不要なファイルタイプの添付ファイルについては全てブロックします。
留意点:実行(スクリプトを含む)ファイルを制限すると、従業員が電子メールベースのマルウェアにさらされることも減ります。組織に流入するメールだけでなく、組織内でのメールの制限も考慮してください。
内容:到着する電子メールの悪意のある添付ファイルをサンドボックスを使って分析し、ブロックします。
留意点:まず前述の必須要件のように、望まない拡張ファイルをブロックします。次に既存のファイルに悪意ある動きがないか分析する必要があります。ファイルの静的解析のためには、サンドボックスを利用してファイルを開き、リンクを訪れることが理想的です。Zipファイルはサンドボックスで解凍と圧縮するようにします。
By Travis Smith