CIS Controls バージョン7から始める役員向けのサイバーセキュリティ初心者ガイド

本稿をお読みの皆さんが理事会や経営幹部のメンバーなら、CIS Controls (一般にCIS 20と称される)について学ぶべきときが来ました。

CIS Controlsの発行者はCenter for Internet Securityで、同ガイドは基本的なサイバーセキュリティ コントロールやサイバー衛生のベストプラクティスについてまとめたガイドとして、おそらく最も包括的で簡潔な内容といえます。本稿執筆時点での最新版はバージョン7です。

バージョン7で推奨されている20個コントロールをすべて暗記する必要はありませんし、73ページにおよぶPDF文書を読み通す必要もありませんが、この重要なサイバーセキュリティフレームワークの存在と、サイバーセキュリティのベストプラクティスの基本と見なされる6つの基本セキュリティ コントロールについては、きちんと押さえておくようにしましょう。

なぜか? その理由は、データ侵害が何百万人ものお客様に影響を与え、ニュースの見出しを賑わしている現状を見ればわかると思います。どんな組織であれ、こうした見出しの主役になるのは避けたいものですから。

サイバーセキュリティ対策機器の設置はサイバーセキュリティ部門のリーダーに任せるにしても、彼らがベストプラクティスを活用しているかどうかを監督するのは、皆さんの役割です。なにしろ、ひとたび重大なサイバーセキュリティ侵害が発生すれば、組織に与える潜在的影響は甚大です。だからこそ、こうした監督の実施が、昨今では取締役会メンバーの受託者責任のひとつに数えられるようになってきているのです。

6つの基本セキュリティ コントロールとは

CIS 20の完全版はこちらのCenter for Internet Securityのダウンロードサイトからアクセスできます(日本語版へのリンク)。ダウンロード可能なPDFには、20個のコントロールすべてが記載されており、コントロールは大きくBasic(基本)、Foundational(基礎)、Organizational(組織)の3つの一般カテゴリに分類されています。

FBIに奉職した私の経験からいって、事実上どの侵害事例ひとつとっても、ここに記載されているなにがしかのコントロール違反に起因していることは断言できます。それはひるがえって、自組織のサイバーセキュリティ プロファイルを同ガイドに記載されたコントロールにそった内容にすれば、ネットワークへの内外からの攻撃を組織が首尾よく保護・防御する可能性を高められる、ということでもあります。

私が、技術畑出身ではないビジネスリーダーの皆さんに、「この6つの基本的なコントロールを学ぶことから対策を始めましょう」とお勧めする理由はここにあります。皆さんが同ガイドにならって自社のセキュリティ チームを監督したとしましょう。その結果、同ガイドに記載された各分野について、チームのとった対策が低〜中程度にしか機能にしていないことがわかったとします。だとすれば、彼らの求めるままに、大規模なセキュリティ投資をしても無駄になる可能性が高い。だからといって「何にも投資するな」といいたいわけではありません。そうではなく、投資以前に、CIS Controlsの基本にならったアクションが取れるようチームの統制を取ることが必要だといいたいのです。追加の投資はその次です。

それでは、皆さんが自組織のサイバーセキュリティ リーダーと理知的で合理的で目標指向の会話をするために、基本としておさえておくべきもの、知っておく必要があることとは何でしょうか。ここで簡単なチェックリストをご紹介しましょう。

CIS Control 1: ハードウェア資産のインベントリとコントロール

セキュリティ チームは、所有するハードウェア資産とその場所を把握できていなければなりません。それができてこそ、実行すべきスクリプトや保護すべき対象物が定まるからです。こうやって言葉にするのは簡単ですが、世界中にハードウェア資産をもつグローバル企業からすれば、これは達成が難しいケースもあります。皆さんの組織のセキュリティ チームは、ネットワーク上のすべてのハードウェア デバイスを能動的に管理できねばなりません。そうすることにより、承認されたデバイスにのみアクセスが許可され、承認されていない、もしくは管理下にないデバイスを検出し、アクセスを防止することができるのです。

CIS Control 2: ソフトウェア資産のインベントリとコントロール

2つめは、実行中のアプリケーションが何で、それらがどこで実行されているかを管理する、というものです。繰り返しになりますが、これも言うほどたやすくはありません。複数のクラウド環境、新しいクラウドネイティブ アプリケーション、ソフトウェア・アズ・ア・サービス全盛時代の今、組織内にはかつてないほど多くのソフトウェア資産があるからです。しかも、そうしたソフトウェア資産すべてをIT部門が所有・制御しているわけではない。IT部門は、ネットワーク上のすべてのソフトウェアのインベントリを追跡・修正できるようにして、許可されたソフトウェアのみがインストールされ、許可されていない、もしくは管理されていないソフトウェアは検出され、インストールや実行ができないようにしておく必要があります。

CIS Control 3 継続的な脆弱性管理

セキュリティ チームは、潜在的な脆弱性を継続的に管理・監視していることを確認できねばなりません。これにより、システムに常に修正が適用されて更新されていること、組織全体にわたって最新バージョンが一貫して使用されていることを確認できます。くわえて、脆弱性を特定し、問題を修正し、攻撃のチャンスを最小限に抑えるため、新しい情報を常に取得して評価し、それに基づいて行動を取る必要もあります。

CIS Control 4: 管理権限のコントロールされた使用

管理者権限の悪用は、攻撃者が標的組織内に展開するための主たる手段です。ほぼすべてのハッカーの目標は、システムに侵入し、昇格した特権を持つ個人を特定し、攻撃を拡大すること。ですから、管理者特権が多数のユーザーにルーズに与えられていたり、重要なシステムに同一パスワードが使いまわされていれば、攻撃者が目的を達成するのは非常にたやすいのです。CISは、自動的にすべての管理アカウントのインベントリを作成してくれるツールを使い、承認された個人のみが昇格された特権を持つことを確認するよう組織にアドバイスしています。

CIS Control 5: モバイルデバイス、ラップトップ、ワークステーションおよびサーバに関するハードウェアおよびソフトウェアのセキュアな設定

古い構成設定や、工場出荷時のままのデフォルト構成には複数の脆弱性があります。組織は、リスクを最小限に抑えるために独自の構成設定を開発し、こうした構成設定が継続的に管理・更新されるようにすべきです。CISが述べているとおり、『ソフトウェアの更新やパッチの適用、新たなセキュリティ脆弱性の出現、あるいは、新規ソフトウェアのインストールや新しい運用要件への対応に合わせて設定を「調整」するなど、こうした機会に伴ってセキュリティが「低下」することを避けるためには、強力な初期設定が施されインストールされていたとしても、継続的な設定管理を行う必要』があるのです。

CIS Control 6: 監査ログの保守、監視および分析

セキュリティログの取得とその分析ができなければ、攻撃者の所在や被害端末上の痕跡は隠ぺいされてしまいかねません。そして、侵害発生後の事後対応で、最初に分析されるのがこれらのログです。実際、ログの記録が攻撃成功を示す唯一の証拠となる場合もあります。ネットワーク チームとセキュリティ チームは、監査ログの記録とキャプチャが正しく実施されているかどうかを確認すべきです。そのために平時から監査ログを遡っての分析を定期的に行い、組織の通常活動から逸脱した異常(アノマリ)が存在しないかどうか、確認できる機能を備えておくべきです。

以前であれば、ビジネス リーダーや役員がサイバーセキュリティ防御についてこれほどまで深く掘り下げて知っておく必要はありませんでした。しかし時代は変わりました。サイバーセキュリティはいまやビジネスの成長を促すもの、イノベーションを動かすなくてはならない要素です。もし皆さんが組織に対する受託者責任を負っているなら、皆さんは同時にサイバー衛生やベストプラクティスについての基本事項を認識しておくという受託者責任をも負っているのです。 ですから、同ガイドのCIS Controlsの1から6を理解することは、そうした皆さんが最初にセキュリティを学ぶうえで、優れた機会を提供してくれるものとなるでしょう。

M.K. Palmoreはパロアルトネットワークス南北アメリカ担当のフィールドCSOです。