急速に進化する今日のデジタル環境において、組織は業務を推進するためのソフトウェア資産へ依存を強めています。しかし、各エンドポイント上のソフトウェアインベントリを包括的に理解し、これらの資産を効果的に制御する能力がなければ、組織はさまざまなセキュリティリスクや運用の非効率性に直面する可能性があります。そこで、CIS(Center for Internet Security)の「Control 2: Inventory and Control of Software Assets(ソフトウェア資産のインベントリと管理)」の出番となります。今回は、CISコントロール2を詳しく解説し、組織内のソフトウェア資産の安全性を確保する上での意義について説明します。
CIS コントロール 2 の理解
CISコントロール2は、ソフトウェア資産の正確なインベントリを維持し、それらを効果的に管理することに焦点を当てた基本的なセキュリティコントロールです。この管理策を実施することで、組織はインフラに導入されたソフトウェアを可視化し、管理されていないソフトウェアに関連する潜在的なリスクを軽減し、全体的な運用効率を向上させることができます。
ソフトウェア資産には、オペレーティングシステム、生産性向上スイート、データベース、開発ツールなど、さまざまなアプリケーションが含まれます。昨今のクラウドサービスの普及に伴い、企業はSaaS(Software-as-a-Service)製品やその他のサードパーティアプリケーションも考慮する必要があります。
Control 2の重要な側面
Control 2には、考慮すべきいくつかの重要な側面があります。これらは、システムの品質保証のために必要なものです。
重要なポイントは以下の通りです:
- 安全なベースラインを作成: ベースラインを作成することで、様々なセキュリティリスクに対して、より適切なインシデント・レスポンスを行うことができます。
- 許可リスト作成ソフトを使用: どのソフトウェア、ライブラリ、スクリプトの実行を許可するかを決定するための許可リストを定義できるオプションがいくつかあります。
- 再利用性: CIS Control 1で提供されたツールは、CIS Control 2でも役に立ちます。この再利用性により、コストを削減しながらサイバーセキュリティを実現し、また最初からシステムに慣れることができます。
コントロール2 セーフガード
ここでは、CIS統制2「ソフトウェア資産のインベントリおよび管理」の7つのサブコントロールの内訳を説明します:
2.1. ソフトウェアインベントリの確立と維持
CIS コントロール 2 は、ネットワーク上のコンピュータにあるすべてのソフトウェアの記録を作成することをユーザーに許可します。各プログラムの重要な情報(開発元、使用日時、インストール日など)を記録することで、企業の資産を管理することができます。資産目録のすべての情報は、ログに記録されます。
少なくとも年に2回はソフトウェアインベントリを更新し、安全な構成を維持することをお勧めします。セキュリティ意識は、エンドポイントにある実行中のソフトウェアを把握することから始まります。
2.2. 正規のソフトウェアが使用されていることを確認する
システム内のソフトウェア・アプリケーションやオペレーティング・プログラムが、すべてソフトウェアのサービス・プロバイダーによって承認されていることを確認することも肝要です。サポートされていないソフトウェアを使用している場合、他のソフトウェアと一緒にアップデートやパッチを受けることができません。やがて脆弱性が生じ、ハッカーが侵入する隙を与えてしまいます。
特にネット上に放置されているフリーソフトウェアやサポートが切れたMicrosoftオフィスなどの古いソフトウェアやサポートされていないソフトウェアは、システムの基礎構造上、できるだけ早く対処する必要があります。そのソフトウェアが組織にとって必要なものであれば、資産管理を怠らないために、コントロールを緩和することが可能かどうかを確認します。
すべての選択肢を検討したら、そのソフトウェアのビジネス上の目的と、なぜそれがシステムに必要なのかをメモしてください。実装されたコントロールと残存リスクの許容度を書き出し、アプリケーションとそれらが基礎構造に与える潜在的なリスクを忘れないようにします。
2.3. 未承認ソフトウェアへの対応
頻繁に起こることではありませんが、一部の従業員は、IT部門を通さず、勝手にシステム上にソフトウェアをダウンロードします。このようなダウンロードは、サイバー攻撃のリスクを高め、ビジネスに対する全体的なリスクを大きく高めることになります。
最善の方法は、この未承認のソフトウェアを管理者が把握し取り除くことです。必要であれば、それを書き出し、リスクを記し、ビジネスを成功させるためになぜ自動運用が必要なのかを判断する。さらに、ホワイトリストやアプリケーション・コントロール・ソフトウェアをスタックに導入すれば、不正なダウンロードを未然に防ぐことができます。
未承認のソフトウェアに頻繁に目を配りましょう。アプリケーションソフトウェアのセキュリティが安全であることを確認するために、少なくとも月に1回はチェックしましょう。過剰なチェックに思えるかもしれませんが、オンライン・オペレーティング・システム全体のさまざまなベクトルに対するマルウェア防御を成功させるために必要なことです。
2.4. 自動化されたソフトウェア・インベントリツールの使用
ソフトウェアのインベントリを手動で作成し、維持するのは大変な作業です。また、このプロセスを手動で完了させることは、エラーのリスクを高めることになります。可能な限り自動化するのが常に理想的な選択です。
CISの重要なセキュリティコントロールでは、プロセス全体を自動化することができます。追加されたパッチからダウンロードされたデータまで、システムの細部に至るまで追跡することができます。インベントリーを自動化することで、システムが見事に改善され、すべてが簡素化され、あなたの職場にとってより安全なものになるでしょう。
自動化は、特に様々なプログラムを管理する上で、未来につながるものです。可能な限りスピードアップし、精度を向上させるのが常套手段です。
2.5. 承認されたソフトウェアのみ社内利用を許可
未承認のソフトウェアがシステムに入らないように全力を尽くしても、すり抜けてしまうことはあり得ます。そこで、承認されたソフトウェアだけが実行できるような制御を追加することで、安全性を高めることができます。
ホワイトリストは、明示的にリストアップされたソフトウェアにのみ許可を与えるものです。許可するプログラムを絞り込むことができるので、後追いで一部のソフトウェアだけをシステムから追い出すよりも優れています。
PC Maticのように、ホワイトリスト方式のセキュリティソリューションは数多くあります。Applockerは無料の良い選択肢ですが、多くのサブコントロールやNIST CSFのどの部分も満たしておらず、組織のセキュリティを完全に確保できないかもしれません。このように、ルールと商用技術を組み合わせることで、お客様の利便性を高めることができます。正しいオプションを選ぶと、いくつかのツールはパッチレベルの情報を収集し、最新バージョンであることを確認することができます。
PC Maticの全稼働プロセスを把握可能なEDRを含む、厳格なホワイトリスト方式のソリューションは、システムで必要とされる可能性のあるすべての情報が含まれています。パス、ファイル名、サイズ、署名などの項目が含まれ、詳細情報に名前が記載されていない未承認のソフトウェアをスキャンする機会も提供されます。
2.6. 事前承認されたバイナリー形式ライブラリーを許可
ソフトウェアのインベントリと許可されたプログラムのホワイトリストは、セキュリティシステムの始まりにすぎません。特定のソフトウェアを許可するだけでなく、ユーザーが承認されたライブラリからしかファイルを持ち込まないようにすることで、マルウェアを持ち込むリスクを軽減する必要があります。ライブラリは、承認とセキュリティのプロセスにもう1つの深みを与えてくれます。
この分野で教育が必要なことはほとんどありません。従業員には、検証されていない、または不明なコンピュータ上のソースからファイルをアンロードしないよう指導してください。また、この選択から生じる可能性のあるセキュリティ上の脅威についても、確実に伝えておいてください。何も考えずにダウンロードすると、ハッカーやその他のセキュリティ脅威を簡単にオンラインに持ち込んでしまう可能性があります。
2.7. 事前承認されたスクリプトを許可
ソフトウェアのインストールや様々な管理作業を完了させるためには、スクリプトインタープリタが必要です。場合によっては、攻撃者は暗号エンジンをターゲットにして、システムや様々なプロセスを破壊することもあります。スクリプトの許可リストにより、リーダーはシステム上でスクリプトを実行できる人を決定し、ハッカーが攻撃する可能性のある無許可のオプションを制限することができます。
この追加により、ITチームはスクリプトにデジタルで署名することになります。面倒に感じるかもしれませんが、システムを安全かつセキュアに保つためには、余分な努力をする価値があります。バージョン管理とデジタル署名は、ワーカーにとって最も簡単なオンライン承認の形態です。
CIS Control 2を導入するメリット
CIS Control 2を導入することで、組織には以下のような多くのメリットがあります:
- セキュリティの強化: セキュリティの強化:ソフトウェア資産の正確なインベントリーを維持し、その使用を管理することで、不正なソフトウェアや潜在的なセキュリティ侵害のリスクを低減することができます。
- コンプライアンス向上: PCI DSS(Payment Card Industry Data Security Standard)やGDPR(General Data Protection Regulation)などの業界規制や標準への準拠が、効果的なソフトウェア資産管理により促進されます。
- 運用の効率化: ソフトウェアの状況を明確に把握することで、ソフトウェアライセンスの最適化、サポートプロセスの合理化、重複するソフトウェアや十分に活用されていないソフトウェアに関連する不必要なコストの削減が可能になります。
- 迅速なインシデント対応: 未承認のソフトウェアを迅速に特定し、異常を監視できるため、企業はセキュリティインシデントに迅速に対応し、潜在的な影響を最小化することができます。
最終的な結論
組織に優れたセキュリティを求めるなら、ソフトウェア資産の緻密な管理は必須です。CIS Control 2は、ソフトウェア管理ソリューションを特定し、監視し、実行に移すことで、あなたの会社を支援し、成功へと導きます。
システムの自動化は、特にセキュリティに関して言えば、優れた選択です。安全への旅が安全なものであることを保証するために、従業員を訓練し、実装プロセスを追跡していることを確認してください。
ソフトウェアの在庫とホワイトリストの管理でお困りですか?
PC Maticは、フレームワークの他のいくつかのコントロールの中で、CISコントロール2の7つのサブコントロールすべてを満たしており、効果的なサイバー防衛戦略のための必需品ソフトウェアとなっています。
原文:CIS Control 2: Inventory and Control of Software Assets (May 11, 2023 Nick Buikema)