SECURITY 566 | ||||||||||||||||||||||||||||||||
Implementing and Auditing the Critical Security Controls - In-Depth |
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
受講に必要なPC環境
演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。
SEC566 PC設定詳細
SANSトレーニングを有意義に受講していただくには、以下の要件を満たすノートPCが必須です。下記要件を確認し、事前に必要な設定を完了しておいてください。セッション中には、下記の設定を実施する時間は設けられていません。必ず事前の確認・設定をお願いいたします。
注意:実習のためのツール類をインストールすることによって、一部のシステムの動作に支障をきたす可能性があります。また、ネットワークへの接続を伴う実習内容があり、故意過失を問わず、自分のノートコンピュータのデータに他の受講生からアクセスされる可能性もあります。いずれの場合もSANSではデータの破損や読み書きに関して責任をとることはできませんので、重要なデータが格納されているノートPCでの実習はお控えください。
ノートパソコンのハードウェア要件
- CPU:制限なし
- RAM:2GB以上
- HDD/SSD:30GB以上の空き容量
- USB:2.0以上
- NW:802.11無線LAN、Ethernet NIC(有線LAN、無線LANともに必要)
- OS:Windows 7以上、Linux、Mac OSXのいずれか(ホストOSがWindows以外の方は、ゲストOSとしてWindowsが必要)
- その他:USBメモリの読込ができること
- その他:ホストOSのローカルアドミニストレーター権限
- その他:ウィルス対策製品の停止、解除ができること
- その他:ファイアウォールの停止、設定変更ができること
- その他:BIOS設定が変更できること
ノートパソコンのソフトウェア要件(下記を事前にインストールしてください)
- VMware Workstation、VMware Player、VMware Fusion の最新バージョン(Virtual boxは非推奨)
- 7zip
- ホストOSにLinuxまたはMac OSXをお使いの方は、Windows仮想マシン(Windows 7以上。32bit/64bitいずれでも可)を構成するか、Bootcampとしてインストールしてください
ノートパソコンの設定に関して追加で質問がある場合は、info@sans-japan.jp(NRIセキュアテクノロジーズ)にお問い合わせください。ただし、米国と問合せを行う関係上時間を要する場合がございます。お急ぎの方はlaptop_prep@sans.orgに直接お問い合わせください(英文)。
コース概要
サイバーセキュリティ攻撃は、近年ますます増加し急速に進化しています。そのため、攻撃に対する防御策や予防策は、より複雑さを増しています。あなたの組織は、内部/外部の脅威からセキュリティ侵害を防ぐために、効果的な検知/阻止/監視策を講じることができていますか。本コースでは、Center for Internet Security (CIS)が作成したCritical Security Controlsを実装および監査する上で必要となるツールやテクニックを理解し、その特徴を習得していきます。
脅威が進化するならば、組織のセキュリティも進化すべきです。絶え間なく変わり続ける脅威のシナリオに対して組織が対抗できるようにするためSANSは包括的なコースを目指し、Critical Security Controlsを具体的に実装する方法や、その優先度をリスクベースのアプローチで導き出すことも含め設計しました。
Critical Security Controlsは、既知の攻撃を阻止する方法や攻撃が成功してしまった時のダメージを軽減する方法として最適なものを、各国のセキュリティエキスパートたち(民間/公共)が検討した結果です。米国国土安全保障省、政府組織、大学、複数の民間企業といった数多くの組織にすでに採用されています。
効果的な防御を管理および測定するために、組織のCISO、CIO、IG、システム管理者や情報セキュリティ担当者たちが使うことのできるガイドラインとして作成されました。これは、すでに適用しているであろうスタンダードやフレームワーク、コンプライアンスの仕組みを補足するものです。いま直面しているリスクに対して講じた対処策のベースラインを守りつつ、最も重大な脅威と最も効果的な防御策の優先順位付けをします。
これは、ネットワークに対して日々実際に行われている攻撃に基づいたものなので、実に効果的なセキュリティフレームワークといえます。各コントロールの優先度は、(1)既知の攻撃の緩和策 (2)さまざまな攻撃に対する対処策 (3)侵害のサイクルを早期に見つけ攻撃を停止する順番で順位付けされています。
英国政府のCenter for the Protection of National Infrastructureは、Critical Security Controlsに対して次のように述べています。
「サイバーディフェンス能力を向上するために、組織全体に採用することができ、情報セキュリティ対策と管理策に関する優先度の高いベースラインである」
SANSでは、詳細かつ実践的なトレーニングとして、Critical Security Controlsを実装して監査するのに必要な技術的手法、またその際に必要となるツールを実際に動かしてマスターしていただきます。これによって、ただ脅威を阻止するだけはなく、なぜそのような脅威が存在するのか、また適用したセキュリティ対策の効果を測定する方法を理解していただきます。コースを終える頃には、次世代の脅威に対抗する効果的なセキュリティ対策を理解していることでしょう。
また、セキュリティのプロフェッショナルたちが、いま動いているネットワークに各コントロールをどう実装して、コスト対効果の高い自動化をいかに実現するのかを教えていきます。監査やリスク管理に携わる方やCIOの方にとって、本トレーニングは最適な選択となるでしょう。トレーニングでは、ハンズオンを通じて各コントロールが効果的に実装されているかを測定する手法を具体的に理解していきます。
下記は、Critical Security Controlsの一覧です。ドキュメントはCenter for Internet Securityのサイトで公開されています。
- CIS Critical Security Controls
- CSC 1: 許可された装置と無許可の装置のインベントリ
- CSC 2: 許可されたソフトウェアおよび無許可のソフトウェアのインベントリ
- CSC 3: モバイル装置、ラップトップ、ワークステーション、およびサーバのハードウェアおよびソフトウェアのためのセキュアな構成
- CSC 4: 継続的な脆弱性評価および修復
- CSC 5: 管理権限のコントロールされた使用
- CSC 6: 監査ログのメンテナンス、モニタリングおよび分析
- CSC 7: メール、Webブラウザの保護
- CSC 8: マルウェアの防御
- CSC 9: ネットワークポート、プロトコル、およびサービスの制限およびコントロール
- CSC 10: データ復旧能力
- CSC 11: ファイアウォール、ルーター、スイッチなどのネットワーク機器のためのセキュアな構成
- CSC 12: 境界防御
- CSC 13: データ保護
- CSC 14: 知る必要性に基づいてコントロールされたアクセス
- CSC 15: 無線LAN に関するアクセスコントロール
- CSC 16: アカウントのモニタリングおよびコントロール
- CSC 17: 要員スキル不足を補うためのセキュリティスキル評価および適切なトレーニング
- CSC 18: アプリケーションソフトウェアセキュリティ
- CSC 19: インシデント対応と管理
- CSC 20: ペネトレーションテストおよびレッドチームの訓練
コースメニューへ▲ ページトップへ▲
受講対象者
- 情報アシュアランス監査担当者
- システム企画者、システム管理者
- ネットワークセキュリティエンジニア
- セキュリティコンサルタント(ストラテジー)
10年以上もの長い間、情報保障に携わるエンジニアやマネージャー、そして監査者たちと議論を重ねてきたところ、彼らが自分たちのデータシステムを保護するために組織間でどうにか違いを出そうと各々ハードワークをして、その結果フラストレーションを溜めているのが分かりました。いくつかの組織は自らの決定で問題を単純に複雑化させており、多くの担当者たちは『この対策は本当に価値があるのか』と疑問に思い始めています。では、どうすればよいのでしょうか。企業や政府は対策を順調に推し進めているように見えるにも関わらず、攻撃はいまだに成功し続けています。このコースは、自社のシステムを安全に保護しようとする方々へ明確な方向性を示し、現実的な希望を与えることを目的としています。
Critical Security Controlsは、計画、実装、監査に関して方向性とガイドを提供するものです。攻撃者の視点から考えたときに、最も効果的なセキュリティ対策は何かと検討し業界関係者たちの声を反映したものです。では、攻撃者の視点で考えることは、防御を行う上で何が良いのでしょうか。私たちはハッカーの考え方を組織の防衛策に組み込むことで、攻撃者たちとの戦いに勝利することができると考えています。攻撃者が有利な現状を変えることができるという思いで、このコースを作り上げました。
- James Tarala and Dr. Eric Cole, Ph.D.
イントロ、20CSC概要、CSC:1-2
20CSC概要について触れた後、用語の定義と実装・評価のステップについて解説します。また、その方法論と具体的に用いるツールについて解説したのち、CSC1と2について解説をしていきます。
CSC1:許可された装置と無許可の装置のインベントリ
世界のどこかに潜む攻撃者が、標的にした組織のアドレススペースを継続的スキャンし、新規システムや保護されていないシステムがネットワークに接続されるのを待ち構えています。また、攻撃者は企業のネットワークに接続しては切断し、最新のパッチやセキュリティ更新が適用されていない装置(特にラップトップ)を探します。ある晩に新しいハードウェアがネットワークにインストールされたが、翌日まで構成されない場合、また適切なセキュリティ更新を使用してパッチが適用されない場合、このようなハードウェアが攻撃に利用されることがあります。攻撃者がすでに内部へのアクセスを取得しており、内部のジャンプポイントや被害者を探している場合、攻撃者はインターネットからは見えない装置も利用できます。攻撃者によるアクセスが企業の業務のセキュリティに影響しないようにするため、企業ネットワークに接続する追加のシステム(デモシステム、一時的なテストシステム、ゲストネットワークなど)を慎重に管理または切り離す必要があります。
新しいテクノロジーが絶え間なく登場し、BYOD(bring your own device:各自の装置の持ち込み)、つまり従業員が個人所有の装置を職場に持ち込み、ネットワークに接続する状況がごく一般的になりました。このような装置はセキュリティがすでに侵害されており、内部リソースを感染させるために使用される可能性があります。
CSC2:許可されたソフトウェアおよび無許可のソフトウェアのインベントリ
攻撃者は標的の組織を継続的にスキャンし、リモートから悪用可能な脆弱性のあるソフトウェアバージョンを探します。また、一部の攻撃者は、悪意のあるWeb ページ、文書ファイル、メディアファイル、およびその他のコンテンツを自身のWeb ページや信頼できるサードパーティーサイトから配布します。疑いを持たない被害者が脆弱なブラウザやその他のクライアント側プログラムを使用してこのコンテンツにアクセスすると、攻撃者は被害者のマシンを侵害し、長期にわたって攻撃者がシステムをコントロールできるようにするバックドアプログラムやボットをインストールします。一部の巧妙な攻撃者は、ゼロデイエクスプロイトを使用することがあります。これは、ソフトウェアベンダーによってパッチがまだリリースされていない、事前にはわからない脆弱性を活用します。組織に適用されているソフトウェアを適切に把握できずに管理していない状態では、防御者は資産を適切に保護することはできません。
そのような管理が不十分なマシンは、業務に必要のないソフトウェアを実行し、潜在的なセキュリティの欠陥を引き起こしているか、またはシステムが侵害された後で攻撃者によって導入されたマルウェアを実行している可能性が高くなります。1 台のマシンが悪用されている場合、攻撃者は侵害したシステムと、そのシステムに接続された他のシステムから機密情報を収集するための足場としてそのシステムを使用することがよくあります。さらに、侵害されたマシンは、ネットワークおよび連携しているネットワーク全体を移動するための拠点として使用されます。このように、攻撃者は侵害したマシンを1 台から複数へと、急速に増やすことがあります。完全なソフトウェアインベントリを持たない組織は、問題を緩和するか、攻撃者を一掃するために、脆弱なソフトウェアまたはマルウェアを実行しているシステムを見つけることができません。
CSC:3-6
CSC3:モバイル装置、ラップトップ、ワークステーション、およびサーバのハードウェアおよびソフトウェアのためのセキュアな構成
製造業者や再販業者から納品された時点でのオペレーティングシステムとアプリケーションのデフォルトの構成では、すぐに適用して使用できるようになっていますが、セキュリティは考慮されていません。基本的なコントロール、開いているサービスおよびポート、デフォルトのアカウントまたはパスワード、古い(脆弱な)プロトコル、プリインストールされている不要なソフトウェアなどはすべて、デフォルトの状態では悪用される可能性があります。
適切なセキュリティプロパティを使用した構成設定の策定は、個人ユーザの能力では対応できない複雑な作業であり、適切な選択を行うために数百または数千ものオプションを分析することが必要となります。強力な初期構成が策定され、インストールされる場合でも、ソフトウェアの更新とパッチ適用、新たなセキュリティ脆弱性の報告、および新しいソフトウェアのインストールまたは新しい運用要件への対応のための構成の「調整」に伴ってセキュリティが「低下」することを避けるため、構成を継続的に管理する必要があります。このように管理しないと、攻撃者がネットワークアクセス可能なサービスとクライアントソフトウェアの両方を悪用できる機会を得ることになります。
CSC4:継続的な脆弱性評価および修復
サイバー防御担当者は、新しい情報(ソフトウェア更新、パッチ、セキュリティ勧告、脅威の報告など)が絶え間なく流入する状況で活動する必要があります。脆弱性を理解、管理することは、継続的な活動であり、多くの時間、注意、リソースを必要とします。攻撃者も同じ情報を入手できるため、攻撃者は新しい情報の出現から修正までの隙を突くことができます。例えば新たな脆弱性が研究者から報告されると、攻撃者(脆弱性を武器にし、攻撃を展開し、悪用する)、ベンダー(パッチまたはシグネチャと更新を開発、適用する)、防御者(リスクを評価し、パッチの回帰テストを実施し、インストールする)を含むすべての関係者の間で競争が始まります。
脆弱性をスキャンして発見された欠陥に事前に対処しない組織は、コンピュータシステムが侵害される高い可能性に直面することになります。防御者は、修復の規模を企業全体に拡大し、競合する優先事項と突き合わせて措置を優先付ける際に、特有の課題に直面し、場合によっては思わぬ副作用が発生することがあります。
CSC5:管理権限のコントロールされた使用
管理者権限の誤用は、攻撃者が標的とする企業内に侵入するための主な手段となります。非常に一般的な2 つの攻撃テクニックでは、コントロールされていない管理権限が利用されます。最初に、権限ユーザとして実行しているワークステーションユーザがだまされ、悪意のある電子メールの添付ファイルを開くか、悪意のあるWeb サイトからファイルをダウンロードして開くか、またはブラウザを自動的に悪用できる攻撃者のコンテンツをホストしているWeb サイトにアクセスします。ファイルまたはエクスプロイトには実行可能コードが含まれており、このコードは被害者のマシンで自動的に実行されるか、または攻撃者のコンテンツを実行するようユーザをだますことによって実行されます。被害者ユーザのアカウントに管理権限がある場合、攻撃者は、被害者のマシンを完全にコントロールし、キーストロークロガー、スニファー、およびリモートコントロールソフトウェアをインストールして、管理者パスワードとその他の機密データを見つけることができます。類似した攻撃は電子メールで行われます。感染した添付ファイルが含まれている電子メールを管理者が誤って開くと、他のシステムを攻撃するために使用されるネットワーク内の起点を得るためにこれが使用されます。
攻撃者が使用する2 つ目の一般的なテクニックは、管理ユーザのパスワードの推測またはクラッキングによって権限を昇格させ、ターゲットマシンへのアクセスを取得します。管理権限が厳密ではなく広く分散されている場合、または重要性の低いシステムで使用されているパスワードと同一である場合、攻撃者はもっと容易にシステムを完全にコントロールできます。これは、攻撃者が管理権限を侵害するための手段として利用できるアカウントがより多く存在するためです。
CSC6:監査ログのメンテナンス、モニタリングおよび分析
セキュリティロギング機能と分析が欠如している場合、攻撃者は、所在地、悪意のあるソフトウェア、および被害者のマシンでのアクティビティを隠ぺいできます。システムが侵害されたことを被害者が知っている場合でも、保護された完全なロギングレコードがないと、攻撃の詳細と、攻撃者が行うその後のアクションがわかりません。しっかりとした監査ログがないと、攻撃は無期限に気づかれないままになり、行われた特定の損害は取り消すことができないことがあります。
場合によっては、ロギングレコードは、成功した攻撃の唯一の証拠です。多くの組織がコンプライアンス目的のために監査記録をとります。しかし、攻撃者は、そのような組織は監査ログをめったに確認しないために、システムが危険にさらされていることを知らないという状況を利用します。ログ分析プロセスが不完全であるか存在しないため、攻撃者は場合によっては、未検査のログファイルに攻撃の証拠が記録されていても、標的の組織内で誰にも知られることなく、何ヶ月または何年もの間被害者のマシンをコントロールします。
CSC:7-11
CSC7:メール、Webブラウザの保護
ウェブブラウザと電子メールクライアントは、攻撃方法と攻撃の始まりになりやすく非常に多くの共通点が見られます。どちらも技術的に高度に複雑化しており、攻撃の柔軟性が高い特徴があります。また、エンドユーザーと連結しているシステムやウェブサイトに直接攻撃が可能である点が似ています。攻撃のコンテンツはユーザーをだまして何らかの行動を誘導するように作ることが可能なため、リスクが大幅に増加し悪意あるコードの実行や価値のあるデータの損失等の攻撃を成功させてしまいます。組織はこのようなウェブブラウザや電子メールを扱う人間をだまそうとする攻撃者に対して、攻撃が可能な領域を狭め、攻撃が成功する機会を減少させなければなりません。
CSC8:マルウェアからの防御
マルウェアは、システム、装置、データを攻撃することを目的として作成されたソフトウェアのことを指し、インターネットを利用する上で避けて通れない脅威です。で必ず存在す。すばやく移動と変化を繰り返し、、エンドユーザ装置、電子メールの添付ファイル、Webページ、クラウドサービス、ユーザによる操作、取り外し可能メディアなど、さまざまなポイントから侵入します。最近のマルウェアは、防御対策を回避し、防御対策を攻撃または無効にすることもあります。
CSC9:ネットワークポート、プロトコル、およびサービスの制限およびコントロール
攻撃者は、悪用されやすい、リモート側でアクセス可能なネットワークサービスを検索します。共通する例には、不完全に構成されているWeb サーバ、メールサーバ、ファイルおよび印刷サービス、および多くの場合特定のサービスのビジネスニーズなしでさまざまな異なる装置タイプにデフォルトでインストールされているドメインネームシステム(DNS)サーバがあります。多くのソフトウェアパッケージでは、メインソフトウェアパッケージのインストール時に、サービスが自動的にインストールされ、有効にされますが、サービスが有効になっていることはユーザまたは管理者に通知されません。攻撃者は、そのような問題をスキャンし、これらのサービスの悪用を試みます。多くの場合はデフォルトのユーザID とパスワード、または広く利用可能なエクスプロイトコードを試行します。
CSC10:データ復旧能力
攻撃者がマシンを侵害する際、多くの場合、構成とソフトウェアを大きく変更します。攻撃者は、場合によっては、侵害されたマシンに格納されているデータをわずかに変更して、汚染された情報で組織の有効性を危険にさらすこともあります。信頼性の高いデータ復旧能力のない組織にとっては、攻撃者の発見時にマシンにおける攻撃者の存在の全側面を取り除くことは、非常に困難である可能性があります。
CSC11:ファイアウォール、ルーター、スイッチなどのネットワーク機器のためのセキュアな構成
製造業者や再販業者から納品されたネットワークインフラ機器は、デフォルト設定ですぐに使用できるようになっていますが、セキュリティの考慮がありません。起動しているサービスおよび空いているポート、デフォルトのアカウント名(サービスで利用するアカウントを含む)やデフォルトパスワード、古い(脆弱な)プロトコルのサポート、あらかじめインストールされている不要なソフトウェアなどは、すべてデフォルトの状態では悪用される可能性があります。
ユーザが特定の業務に必要であるからという理由で例外を設けると、時間が経過するにつれてネットワークインフラ機器の構成上の安全性が低くなります。そのうえ、例外を適用した後でその例外が不要になっても、そのまま放置されることがよくあります。しばしば例外を設けるリスクが正しく分析されず、関連する業務要件に照らし合わせて測定されることも行なわれない場合があります。また、仮にこのようなリスクを分析したとしても時間の経過に伴ってその安全性が変化する場合があります。攻撃者は、脆弱なデフォルト設定や、ファイアウォール、ルーター、スイッチのセキュリティホールを探し、防御を突破して侵入するために悪用します。脆弱性を悪用してネットワークに侵入し、ネットワークのトラフィックをリダイレクトし、送信中の情報を傍受します。その結果、攻撃者は機密データへのアクセス権を取得し、重要な情報を改ざんし、場合によっては侵害した1台のマシンを使用してネットワーク上の信頼できる別のシステムを装います。
CSC:12-15
CSC12:境界防御
DMZ システムだけでなく、ワークステーションやノートPCなどインターネットからコンテンツを取得できるシステムは全て攻撃者によって、インターネットを介して攻撃される可能性があります。グループや国家が組織的に攻撃を行う場合、まず初めに境界システムやネットワーク装置、およびインターネットにアクセスするクライアントマシンの設定やアーキテクチャ上の脆弱性を利用して、組織内部へのアクセスを試みます。そして、これらのマシンの操作を乗っ取ることで、組織内のより深い場所に入り込み、情報の盗聴、改ざん、Rootkit などをセットアップします。加えて、多くの攻撃は、ビジネスパートナーのネットワーク(エクストラネットと呼ばれることもあります)間で行われます。これは、攻撃者が、エクストラネットの境界にある脆弱なシステムを悪用して、組織のネットワークから別のネットワークへと渡り歩くためです。
侵害されたマシンの証拠と攻撃を探すことによって、ネットワーク境界からトラフィックのフローをコントロールして、コンテンツを監視するには、ファイアウォール、プロキシ、DMZ 境界ネットワーク、およびネットワークベースのIPS とIDS を使用して、境界の防御を多層にする必要があります。また、インバウンドトラフィックとアウトバウンドトラフィックの両方をフィルタにかけることが重要です。
組織内および組織間の相互接続性の拡大と、無線テクノロジーの導入が急増した結果、内部ネットワークと外部ネットワーク間の境界線が曖昧になりつつあることに注意する必要があります。これらの不鮮明な線は、場合によっては、攻撃者が境界システムをバイパスしながら、ネットワーク内のアクセスを取得できるようにします。ただし、この不鮮明な境界でも、有効なセキュリティの適用は、異なる脅威レベル、ユーザセット、およびコントロールレベルを持つネットワークを区別する、慎重に構成された境界防御に依存しています。内部ネットワークと外部ネットワークの境界が不鮮明になりつつある状況でも、境界ネットワークの効果的な多層防御は、成功する攻撃の数を減らすのに役立ち、セキュリティ担当者が、境界制限をバイパスするための方法を考案した攻撃者に集中して対処できるようにします。
CSC13:データ保護
データは複数の場所に保管されています。暗号化、完全性保護、データ損失防止の技術を組み合わせて使用することで、このようなデータを最も適切に保護できます。組織でクラウドコンピューティングとモバイルアクセスへの移行が進むに伴い、データ侵害の影響を低減する一方でデータの不正持ち出しを制限し、不正持ち出しを報告できるように十分な対応をとることが重要です。
移動中のデータおよび保存データに対するデータ暗号化を採用することで、データ侵害を低減できます。これは、暗号化処理に関連するプロセスと技術を適切に管理している場合に該当します。この例として、さまざまなデータ保護アルゴリズムに使用される暗号鍵の管理があります。鍵の生成、使用、破棄のプロセスは、NIST SP 800-57 などの標準で定義されている実証済みプロセスに基づいている必要があります。
また、社内で使用する製品に、良く知られ、綿密に検査された暗号化アルゴリズムが、NISTにより特定された通りに実装されていることを確認する際にも、十分に注意する必要があります。また、データ保護の強度の点で組織が遅れをとらないようにするため、社内で使用するアルゴリズムと鍵のサイズを毎年評価することをお勧めします。データをクラウドに移行する組織では、クラウドのマルチテナント環境でデータに適用されるセキュリティコントロールを理解し、暗号化コントロールと鍵のセキュリティを適用する上で最も適切な手続きを決定することが重要です。可能であれば、ハードウェアセキュリティモジュール(HSM)などの保護されたコンテナに鍵を保管することをお勧めします。
データを暗号化することで、データが侵害された場合でも、重要なリソースなしでは平文にアクセスできないことが保証されます。ただし、最初の段階で、データの不正持ち出しの脅威を低減するためのコントロールを導入する必要もあります。多くの攻撃がネットワークを介して行われる一方で、その他の攻撃は、機密情報が格納されているラップトップやその他の機器の物理的な盗難が関与していました。しかもほとんどの場合、被害者は、データの流出を監視していなかったため、機密データがシステムから流出していたことに気づいていませんでした。攻撃者への流出を最小限に抑えるために、電子的と物理的の両方におけるネットワーク境界間のデータの移動は、注意深く詳細に調べる必要があります。
組織が保護されたデータまたは機密データに対するコントロールを失うことは、業務にとって脅威であり、場合によっては国の安全に対する脅威にもなりえます。窃盗またはスパイ活動の結果、一部のデータが漏洩するか失われる場合、これらの問題の大部分は、データに関する正しい取り扱いの不十分な理解、効果的なポリシーアーキテクチャの欠落、およびユーザによるエラーに起因しています。特に記録保全の実践が効果的ではないか存在しない場合、訴訟中の電子情報開示などの正当な活動の結果として、データ損失が発生することもあります。
「データ損失防止」(DLP)は、コンテンツの詳細な検査と集中型の管理フレームワークによって、使用中のデータ(エンドポイントアクション)、移動中のデータ(ネットワークアクション)、および保存データ(データストレージ)の特定、監視、および保護する人、プロセス、およびシステムを対象とした全体的な方法を指します。過去数年にわたり、関心の対象と投資の対象が、ネットワークの保護からネットワーク内のシステムの保護およびデータ自体の保護へと顕著に変化しています。DLP コントロールはポリシーに基づいており、機密データの分類、企業全体での機密データの発見、コントロールの強化、およびポリシーの準拠を確実にするためのレポート作成と監査を含んでいます。
CSC14:知る必要性に基づいてコントロールされたアクセス
一部の組織は、最も重要なデータを慎重に特定して、内部ネットワーク上で公開されている重要性の低い情報と切り離す措置をとっていません。多くの環境では、社内ユーザは、すべてまたはほとんどの重要な資産にアクセスできます。機密性の高い資産には、物理システムを管理制御するシステム(例: SCADA)が含まれていることもあります。攻撃者はそのようなネットワークに侵入すると、ほとんど阻止されることなく、重要な情報を容易に見つけて持ち出すか、物理的な損害を与えるか、運用を妨害することができます。例えば、過去2 年間にわたるいくつかの注目度の高い侵害では、攻撃者は、重要性がはるかに低いデータと同じアクセスレベルが設定されている、同じサーバに格納されている機密データにアクセスできました。また、企業ネットワークへのアクセスを利用して、物理資産にアクセスし、物理資産をコントロールし、損害を与えた例もあります。
CSC15:無線LANに関するアクセスコントロール
大がかりなデータの窃盗は、物理的な建物外部から組織への無線LAN アクセスを取得した攻撃者によって開始され、組織のセキュリティ境界をバイパスし、組織内部のアクセスポイントに無線接続されます。て、出張中の職員が所持する無線クライアントは、飛行機での旅行中またはインターネットカフェでリモートエクスプロイトにより日常的に感染します。そのような悪用されたシステムはその後、標的となる組織のネットワークに再接続した際にバックドアとして使用されます。さらに、他の組織は、彼らのネットワーク上での無許可の無線アクセスポイントの発見を報告します。このような無線アクセスポイントは、内部ネットワークへの無制限にアクセスできるように埋め込まれているか、場合によっては隠されています。直接の物理接続を必要としないため、無線装置は、攻撃者が標的とする環境への長期のアクセスを維持する上で便利な攻撃手段となります。
CSC:16-20
CSC16:アカウントのモニタリングおよびコントロール
攻撃者は頻繁に、正当であるがアクティブではないユーザアカウントを発見して悪用し、正当なユーザのふりをすることで、ネットワークモニタプログラムにとって攻撃者の動作の発見を困難にします。多くの場合、解約した請負業者や従業員のアカウントや、レッドチームテスト用に正式に設定されたがその後削除されていないアカウントがこの方法で悪用されます。さらに、一部の悪意のある社内関係者や元従業員が、契約の満了後にシステムログに残されていたアカウントにアクセスして、無許可行為の目的や、場合によっては悪意のある目的で組織のコンピュータシステムと機密データへのアクセスを維持しています。
CSC17:要員スキル不足を補うためのセキュリティスキル評価および適切なトレーニング
サイバーセキュリティはしばしば技術上の課題だけだと考えられがちですが、関係者である人間の行動が成否を左右する場合が多くあり、重要な考慮事項です。サイバーセキュリティの関係者、具体的にはエンドユーザー、システム運用担当者、セキュリティアナリスト、システム開発者、経営層やシステム所有者は、システムのすべてのプロセス(設計、実装、運用、使用、管理)で重要な役割を担っており、その人物の行動や態度が組織の全体的なセキュリティに大きく影響します。たとえば、エンドユーザーはフィッシングなどのソーシャルエンジニアリングの犠牲者となりえますし、システム運用担当者はログやシステムがどのように悪用されるか理解していないことがあります。セキュリティアナリストが急増する新しいセキュリティ情報の対応に追われて有効に機能していない、システム開発者がシステムライフサイクルの早い段階で脆弱性を根本的に根絶できるのを理解していない、また経営層やシステム所有者が、組織の全体的な事業運用やリスク管理にサイバーセキュリティがどのくらい重要か定量化できず関連する投資の合理的判断を下すことができない、などが考えられます。
攻撃者は組織にはこのような課題があることを熟知しており、これを悪用する不正行為を計画します。たとえば、不用心なユーザを狙って正常なメールに見えるように功名に細工したフィッシングメールを慎重に作成する、セキュリティポリシーとテクノロジーのギャップに着目し実際は施行されていないポリシーを悪用する、パッチが適用される前や定期的にログを確認する前を狙って攻撃する、セキュリティ上重要ではないと判断され管理が不充分なシステムを踏み台としたりボットとして悪用したりする等を行います。
サイバーセキュリティにおいては、このような人間に起因する基本的な脆弱性に対処できる状態でないと、その他のサイバー上のリスク対応に取りかかることができません。逆をいえば、関係者が適切なサイバーセキュリティの習慣を持つようになれば、大幅に組織のセキュリティが向上します。
CSC18:アプリケーションソフトウェアセキュリティ
攻撃者は、Web ベースのアプリケーションソフトウェアやその他のアプリケーションソフトウェアで見つかった脆弱性を悪用することがよくあります。脆弱性の原因には、コードの記述誤り、論理エラー、不十分な要件、特異な状況や予期しない状況に対するテストをしていなかったことなど、さまざまな事柄が挙げられます。具体的なエラーの例としては、ユーザ入力サイズをチェックしていない、不要だが悪意のある可能性がある文字シーケンスを入力ストリームから除去していない、変数を初期化およびクリアしていない、不十分なメモリ管理によってソフトウェアの一部で関係のない(セキュリティ上より重要な)部分に影響を及ぼす不具合の発生などがあります。このような脆弱性に関する膨大な公開情報および非公開情報は、攻撃者と防御者の両方が入手可能であり、またこのような脆弱性を武器として使用し、エクスプロイトの作成を可能にするツールや技術が出回っています。
攻撃者は、脆弱なマシンのコントロールを取得するために、バッファーオーバーフロー、SQL インジェクション攻撃、クロスサイトスクリプティング、クロスサイトリクエストフォージリ、およびコードのクリックジャックなどの特定のエクスプロイトを使用できます。ある攻撃では、SQL インジェクションによって、100 万を超えるWeb サーバがこれらのサイトへのビジターにマルウェアを感染させる悪意あるエンジンに変えられました。その攻撃では、州政府および他の組織の信頼できるWeb サイトが攻撃者によって侵害され、これらのWeb サイトにアクセスした何十万ものブラウザへのマルウェア感染を引き起こしました。多くのWeb アプリケーションおよびWeb 以外のアプリケーションの脆弱性が定期的に発見されています。
CSC19:インシデントレスポンスとインシデント管理
サイバーインシデントは日常的に発生しています。十分な資金があり、先進の技術を導入している大規模な企業でさえ、攻撃の頻度と複雑さへの対応に苦慮しています。企業に対するサイバー攻撃の成功のカギは、「もし」ではなく「いつ」なのです。インシデントが発生してから、企業が正しく理解、管理し、復旧できるようにする適切な手順、レポート、データ収集、管理責任、法的命令、コミュニケーション戦略を策定するようでは遅すぎます。インシデント対応計画がないと、組織は最初の段階で攻撃を発見できないか、または攻撃が検知された場合に、組織は損害を最小限に抑え、攻撃者の存在を消し、セキュアな方法で復旧するための適切な手順に従うことができません。そのため、攻撃者は、さらに大きい影響を与え、より深刻な損害を引き起こし、より多くのシステムを感染させ、場合によっては、有効なインシデント対応計画が実施されている場合よりも多くの重要な情報を流出させる可能性があります。
CSC20:ペネトレーションテストおよびレッドチームの訓練
攻撃者が、適切な防御設計と意図、実装または保守の間のギャップを悪用することがよくあります。この例としては、脆弱性の公表、ベンダーのパッチの公開、およびすべてのマシンへの実際のインストールの間の時間枠、善意から策定されたが実施メカニズムがないポリシー(特に、ユーザによるリスクの高いアクションを制限するためのポリシー)、適切な構成やその他の慣習を企業全体に適用できなかったか、またはネットワークへの接続と接続切断を繰り返すマシンに適用できなかったこと、複数の防御ツール間の相互作用を理解できなかったか、またはセキュリティに影響する標準的なシステム運用での相互作用を理解できなかったことなどがあります。
また、適切な防御を実現するには、技術面での防御、適切なポリシーとガバナンスに関する包括的なプログラム、そして従業員による適切なアクションが必要です。テクノロジーが継続的に発展し、新しい攻撃者のノウハウが定期的に表れる複雑な環境では、組織はその防御対策を定期的にテストし、ギャップを洗い出し、準備態勢を評価する必要があります。
ペネトレーションテストでは、社内で特定可能な脆弱性の特定と評価を最初に行います。これを補完するため、攻撃者が特に組織のセキュリティ目標(特定の知的財産の保護など)をどのように妨害できるか、または特定の攻撃側の目標(秘密のコマンドコントロールインフラストラクチャの確率など)がどのように達成されるかを明らかにするテストを設計、実行します。判明した結果から、さまざまな脆弱性のビジネスリスクについて深く理解できます。
レッドチームの訓練は、組織の準備態勢の改善、防御実施者のトレーニングの改善、および現在のパフォーマンスレベルの検査を目的として、組織のポリシー、プロセス、および防御対策に全体的に取り組みます。独立したレッドチームは、脆弱性の存在、すでに実施されている防御対策および低減コントロール、さらには将来の実装のために計画されている防御対策および低減コントロールの有効性に関する価値のある客観的な見識を提供できます。