レンタカーを借りた観光客が道に迷い、何もない田舎道を走っている光景が描かれたCMを何年も前にテレビで見た記憶があります。地元の農家の方が道沿いを歩いているのに気付いた運転手は、車を停め、一番近い町へ行きたいのだが、道を教えてほしいと声をかけるんです。すると農家の方は足を止め、広大な荒野をぐるりと見渡しながらしばらく考え、観光客にこう言うのです。「わしが君なら、ここをスタート地点には選ばないな」。

何のCMだったかは思い出せないのですが、観光客の困惑した表情は今でも鮮明に覚えています。サイバーセキュリティの実装は、このCMで描かれている状況と少し似ているかもしれません。

完全に白紙の状態から始め、理想的なサイバーセキュリティ対策を構築できる機会が得られるのは非常にまれです。

多層防御なのか、広範囲に経費を費やしているだけなのか?

企業は得てして多種多様なセキュリティテクノロジーを実装しているものです。

これらのテクノロジーは、特定のセキュリティのニーズに対応するため、もしくは特定のセキュリティ関連のコンプライアンスの問題やセキュリティ違反に対応するため、長年の月日をかけて実装されてきたものでしょう。新しい問題が発生する度に、企業は新しい問題に対するソリューションを提供できるか既存のソリューションを確認したり、ギャップを埋めるための対策を探したりします。そして各コンポーネントを追加して初めて、本当に多層防御ができているのか、それともただ単に広範囲に経費を費やしているだけなのか、疑問を抱き始めるのです。

私が米国インターネットセキュリティセンター(CIS)より発行されているCISコントロールを推奨している理由はまさにそこにあります。 

最新の第7.1版の概要で概説されている通り、「CIS Controls™(CISコントロール)は、優先して実施すべき一連の措置であり、これらの措置すべてを実施することで、システムとネットワークに対する最も一般的な攻撃を軽減する一連のベストプラクティスで構成される多層防御が形成されます」。

セキュリティのエキスパートで構成されるコミュニティによって開発されたCISフレームワークは、セキュリティ関連の業務を遂行する方々が利用できる膨大な数のセキュリティツールとテクノロジーを評価し、結果として生じているセキュリティ対策の「膨大な選択肢による混沌(Fog of More)」を特定します。この混沌は、企業を圧倒する可能性があり、さらには企業が基本的なセキュリティ対策を実現するために必要な判断を下すことを妨げる可能性もあります。

全部で20のコントロールがあり、優先順位が付けられています。基本的な予防策として知られている上位6つのコントロールは、サイバー衛生(サイバー予防策)を提供します。

CISは、優先順位1位のコントロールから着手し、順位に沿って進めていけば、各ステップで自社のセキュリティ体制の改善に与える影響を最大限に引き上げることができるというメッセージを発信しています。このリストは非常に論理的な流れになるように順位付けされており、上位6つのコントロールには特にその流れが顕著に表れています。

  1. 1位のコントロールは、「ハードウェア資産のインベントリ(棚卸/目録作成)と管理」です。存在を把握していない資産を保護することはできません。したがって、自社環境に存在する資産を把握することが最初のステップとなります。
  2. 2位のコントロールは、「ソフトウェア資産のインベントリ(棚卸/目録作成)と管理」です。所有しているハードウェアを把握したら、ハードウェア上で実行されているソフトウェアを把握する必要があります。実行されているソフトウェアは、本当に自社ネットワーク上で実行する必要があるものでしょうか?ここで大きな役割を担うのが、アプリケーション管理やアプリケーションのホワイトリスティング などのテクノロジーです。
  3. 3位のコントロールは「継続的な脆弱性管理」です。ご存知の通り、アプリケーションには継続的な脆弱性があるため、存在するソフトウェアアプリケーションを特定したら、脆弱性を継続的にスキャンし、修正する必要があります。
  4. 4位のコントロールは「制限された管理者権限の利用」です。管理者権限は、企業内に攻撃を拡散する方法を攻撃者に与えるものとなります。攻撃者がシステムへのアクセス権を手に入れた場合(パッチが適用されていない脆弱性を悪用することで入手する方法が一般的です)に、管理者権限も取得できれば、さらに深刻なダメージを与え、ネットワーク全体をはるかに簡単に移動できるようになります。
  5. 5位のコントロールは、モバイルデバイス、ノートパソコン、ワークステーション、サーバー上で「ハードウェアとソフトウェアのセキュアな設定」を実施することです。アプリケーションとオペレーティングシステムのデフォルトの構成は、セキュリティではなく、展開しやすさや使いやすさを重視したものとなっています。ところが、多くの場合デフォルトの構成を使用しているシステムはその構成故に攻撃しやすい状態となるため、設定を安全な状態に調整する必要があります。さらに、新しいソフトウェアが追加され新しいパッチが適用されることで、安全に調整した構成から逸脱していないかを確認するため、システムを定期的にスキャンする必要もあります。

最初サイバー衛生(サイバー予防策)に必要とされていたのは上位5つのコントロールのみでしたが、攻撃の検出、把握、復元を支援するためには情報を取得する必要性があることが認識されたことを受け、6位のコントロールである「監査ログの保守、監視および分析」も基本的な予防策に含まれるようになりました。

CMの観光客が迷い込んだ田舎道のように、「スタート地点」としては理想的ではないかもしれませんが、CISフレームワークにより企業は、徹底的に計算され優先順位付けされたこの一連のコントロールと照らし合わせて、既存のセキュリティインフラストラクチャを評価し、セキュリティが行き届いている部分や埋めるべきギャップがある部分を特定できます。この知識を持っていれば、企業がセキュリティ対策の「膨大な選択肢による混沌(Fog of More)」をうまく切り抜け、揺るぎないセキュリティ基盤に辿り着くことができる可能性ははるかに高くなります。

David Murrayは、Ivantiで主任製品責任者を務めており、米国インターネットセキュリティセンター(CIS)によってまとめられた基本的な予防策を提供することを目的としたソリューション、Ivanti® Security Controlsを担当しています。

詳細やデモのご依頼、無料試用版については、Security Controlsの製品ページにアクセスしてご確認ください。