先日の以下の勉強会で発表した内容について記事にしていきます。
CIS自体を知らない方も多かったので、興味がある方は読んでいっていただければと思います。
なお、内容については個人的な見解を多く含みますので予めご了承ください。
CIS(Center for Internet Security)をどう活用するか
CIS(Center for Internet Security)については以前の記事に記載していますので、そちらをご覧ください。
社会人をやっていると以下のような事象に遭遇することはないでしょうか?
パターンA
上司:A君、今度うちでAWSでアプリケーションを作ろうと思っているんだけど、セキュリティ関係を良い感じにしたいので、よろしくね!
A君:・・・・
いわゆる丸投げですね。
またこんなこともあったりすることもあるでしょう。
パターンB
上司:B君、前にやった脆弱性診断で色々問題出たから、その対応と一緒にサーバの設定回りもセキュリティ強化したいからよろしく!
B君:・・・・(転職しよ)
辞めたくなっちゃいますよね・・・
どうしたらいいのでしょうか、自分で調べてもダメ出しされることもあるでしょうし、何か指標が欲しいですよね。
上記のような状況の際、まずは騙されたと思ってCISのサイトを覗いてみましょう。
サイトにアクセスしたら、おもむろに「Cybersecurity Best Practices」を選択しましょう。(赤枠のところです。)
アクセスした画面の真ん中位に「CIS Benchmarks Examples」というセレクトボックスがあります。
ここにあなたが求めていたものがあると思います。
実際にセレクトボックスを開くと以下のように様々なベンチマークがある事がわかります。(全部移せなかったのでHTMLから拾ってきました。)
・Amazon Web Services
・Apache Cassandra
・Apache HTTP Server
・Apache Tomcat
・Apple OS
・Apple iOS
・BIND
・CentOS Linux
・Cisco
・Debian Linux
・Distribution Independent Linux
・Docker
・Google Android
・Google Chrome
・Google Cloud Computing Platform
・IBM AIX
・IBM DB2
・Juniper
・Kubernetes
・MIT Kerberos
・Microsoft Azure
・Microsoft Exchange Server
・Microsoft IIS
・Microsoft Internet Explorer
・Microsoft Office
・Microsoft SQL Server
・Microsoft SharePoint
・Microsoft Windows Desktop
・Microsoft Windows Server
・MongoDB
・Mozilla Firefox
・NGINX
・Oracle Database
・Oracle Linux
・Oracle MySQL
・Oracle Solaris
・Palo Alto Networks
・PostgreSQL
・Print Devices
・Red Hat Linux
・SUSE Linux
・Safari Browser
・Ubuntu Linux
・VMware
きっとここにあなたの求めているベンチマークがあるはずです!
また、CISというセキュリティの有名団体が協力して作成しているものなので、上司を納得させやすいという利点もあります。
※上司がCISを知らなかったら、優しく教えてあげましょう!
資料のダウンロードについて
欲しいベンチマークがあった場合、それを選択して次のページに進みます。
すると、ダウンロードするにあたり、メールアドレス等の入力を求められます。
大丈夫です!会社の業務で必要な資料ので、自分の会社メールを入力しちゃいましょう!
各フォームを入力後「Get Free Benchmark Now」を押下するとすぐに入力したメールアドレス宛にURLが記載のメールが飛んできます。
恐れずそのメールに記載のURLにアクセスしてみましょうFQDNは私の環境では「learn.cisecurity.org」となっていました。
すると以下のように各OSやサーバ等のベンチマークをダウンロードすることができます。
そこにはきっと現状を解決する糸口が見つかるはずです。
上記例のパターンAであれば以下のように「Amazon Web Services」の「Download CIS Benchmark」を押すだけです。
「CentOS」や「Windows Server」をダウンロードしたい方ももちろんありますのでご安心ください。
※ちなみに私はCISからお金や依頼をされて書いているわけではありませんのでご安心を。
実際の内容について
どんな内容か先に確認したい方もいるでしょう。
私も全部読んでいるわけではありませんが、どのような内容があるかを「Amazon Web Services」を例に大項目だけ簡単に記載していきます。
※ちなみに英語が得意ではないので、ミスがあればご指摘いただけると助かります。
⇒IDおよびアクセス管理に関連するオプションを設定するための推奨事項について
2.ロギング(Logging)
⇒AWSのアカウントログ機能を設定するための推奨事項について
3.モニタリング(Monitoring)
⇒アカウントアクティビティの監視と対応を支援するようにAWSを設定するための推奨事項について
4.ネットワーキング(Networking)
⇒デフォルトのVirtual Private Cloud(VPC)のセキュリティ関連の構成の推奨事項について
実際の内容については以下のとおり、具体的なコマンドも記載されています。
私は仕事で日本で使用されている管理基準等を見たりもするのですが、コマンドレベルまで記載されているものはあまり見かけません。
よくある管理基準等では具体的な内容にまで落とし込めていないことが多いです。(各OSやソフトウェアレベルまで落とし込むのは難しいのは分かりますが)
これを参考に自分の今やっている仕事に合わせて上手くCISと付き合っていくことで、組織や作成したアプリケーションのセキュリティのレベルをさらに上げることができると考えています。
最後に注意
勉強会で話した内容なのですが、このベンチマークはあくまでベンチマークです。
なので、これをそのまま自分の組織に当てはめることが最適解というわけではありません。
組織によってはそのまま何も考えずに「全て対応する!」としてしまうと、必要以上にコストがかかったり、自社のセキュリティ要件に合わない可能性があります。
あくまでこれを参考に必要な箇所を選んでいくという処理を行うことが必須だと私は考えています。
ただ、このベンチマークは内容が内容なので、読み解くのも大変だと思います。(私も数年前に一度仕事で使ったときには泣きながら確認していました・・・)
私は今後、こういったベンチマークや指標を元に各組織やアプリケーションの仕様に沿った最適な仕組みを考えていくことがセキュリティエンジニアの大きな仕事になるのではないかと考えています。
こういった改善活動や改善提案は非常に面白い分野でもあると思いますので、興味がある方は是非一度CISにアクセスして資料を読んでみてください。
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
あとは頑張ることも大事ですが、頑張っても成果を認めてくれないところもありますので、そういった場合は早めに転職するのをお勧めします。
コメント