前回はCIS ControlsのControl 1について解説を行いました。
今回も引き続きControl 2について解説を行っていきます。
なお、内容については個人的な見解も含まれていますので、認識が異なる場合はご教示いただけますと幸いです。
CIS Control 2:ソフトウェア資産のインベントリとコントロール
このコントロール目的としては以下となっています。
また、このコントロールが重要な理由として以下に纏めますと。
・攻撃者は標的とした組織を継続的にスキャンし、リモートから悪用可能な脆弱性を抱えるバージョンのソフトウェアを探している。
・攻撃者は悪意のあるWebページ、文書ファイル、メディアファイル等をサードパーティサイト(ここでは標的型攻撃、またはやられてしまったWebサイトのことを指していると思われる)から配布する。
・被害者が脆弱性のあるブラウザやアプリケーション(代表として「Adobe Flash」や「Java」が昔からよくあるやつ)を使用してアクセスすると被害者マシンはバックドアやボットをインストールしてしまう。(最近はゼロデイ攻撃も使われる)
・組織に適用されているソフトウェアを適切に把握し、管理していない状態では、資産を適切に保護することなどできない。
・管理が不十分なマシンは業務に必要䛾ないソフトウェアを実行しているか、既にセキュリティの侵害がされてしまった後で攻撃者によって導入されたマルウェアを実行している可能性が高い。
・一台がやられてしまうと、それを踏み台に同じネットワーク上の他のシステムからも機密情報を収集される例が多い。
・上記観点から組織内のすべてのソフトウェアを管理することはシステムのバックアップ、インシデ
ントレスポンス、復旧を計画、実施する上で重要な役割を果たす。
となっています。
また、上記について実際にどのような対応をすればいいのかについて、以下の表が用意されています。
次に上記点を踏まえて個人的な考察を行っていきます。
CIS Control 2の検討(考察)
内容についてControl 1と同様に基本的な内容ですね。
ただ、ここはちゃんとできている組織は私はあまり見たことがありません。
導入可能なソフト一覧までは資料として管理しているところはありますが、実際のマシン一台一台に対してちゃんとチェックが行われている組織はあまりないかなと思います。
実際に開発会社などでは検証などでマネジメント側が把握していないツールやソフトがインストールされていたなんて事はよくあるのではないでしょうか。
セグメントを分けてというところもありますが、ちゃんとそのNWは独立していることは確認しているのでしょうか?(意外とpingが通ったり・・・)
使用可能ツールが数年前から一向に変わっておらず、組織内での情報伝達や仕事がやりにくくなっている場合もあるかもしれません。(お堅い組織では往々にしてありそうですね。)
また、ソフトウェアインベントリツールの使用やライブラリアプリケーションホワイトリストの使用を推奨していますが、こちらも組織の状況によって考えなければいけません。(ツールはお金が結構かかる場合が多いので・・・)
2.10に「リスクの高いアプリケーションを物理的または論理的に隔離する」とありますが、こちらも本当に隔離されているのかをちゃんと設定を行った人以外が確認(または設定のエビデンス等)する必要があります。
※切り離しているつもりでも特定ポートに対しては通信が通ってしまうといったこともあります。
外注先の組織等に対してはどうするんだろう等、気になる点が残りますが、まずは自組織内の整理は非常に大事ですので、できる範囲から手を付けては如何でしょうか。
全部一気にできればいいですが、ちゃんと実態を把握するためには非常に時間がかかる場合が多いので、一部署毎にしっかりやっていくのが良いかと考えています。
2019年6月現在取得途中ですが、ISMSでも「ちゃんとソフトウェア等の管理をしましょう!」といった話は出てきますので、本当にそれを実施しているか(組織内の全員が)は非常に重要な要因です。
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント