今日の世界はサイバーセキュリティの脅威に満ちており、日々新しい種類のマルウェアが出現しています。サイバーセキュリティとサイバー衛生の基本は誰にとっても重要ですが、企業のネットワークにとっては特に重要です。大規模なネットワークに一度でも侵入されると、最悪の場合、ランサムウェアのインストールなど、さまざまな問題を引き起こす可能性があります。
CISのコントロールは、ネットワーク監視の重要なステップと、企業資産の安全な構成を作成・維持する方法を概説しています。
コントロール1は、企業のネットワーク全体を保護するシステムを構築するための最初のステップです。以下がその内容です。
CISコントロールとは何か?
CISとは、インターネット・セキュリティ・センターの略です。CISは、インターネット全体のセキュリティリスクを監視するために設立された組織です。CISは、企業や大企業、そして個人でさえも、ハードウェア資産やソフトウェア資産をより適切に管理し、サイバー攻撃を事前に検知・防止するシステムを構築できるよう、サイバー防衛のための標準を策定しています。
コントロール自体は、サイバー脆弱性を排除し、全体的なサイバー防御を向上させるために、システムでコントロールできる18の事柄です。
CISはまた、コントロールの仕様を満たした企業やビジネスに対して認証を提供しており、ビジネスとその顧客の双方にさらなる安心感を与えています。CISコントロールズとNIST CSFは必ずしも1対1に並ぶものではないですが、システム・セキュリティのためには、どちらのシステムも実装グループも有用です。
CISコントロール1が重要な理由
CISコントロール1は、企業資産のインベントリとコントロールです。どのような端末がそのネットワークにアクセスする可能性があるのか分からない状態では、端末、資産、ネットワークを防御することはできないため、この管理は極めて重要です。
この管理は、他のすべてのセキュリティ対策の基礎となります。企業のネットワークに接続されているコンピューター、モバイル・デバイス、モノのインターネット・デバイスからのネットワーク・モニタリングは、効果的なセキュリティ・ネットワークを構築するための最も基本的な第一歩です。
その方法は以下の通りです。
CISコントロールのための重要なセーフガード 1
CISコントロール1の要件を満たすためのステップは、概念としてはシンプルですが、達成するのは意外と難しいものです。必要なことは以下の通り。
1.企業資産目録の作成と管理
最初のステップは、可能な限り完全な資産目録を作成することです。これには、企業ネットワークに継続的にアクセスする端末と、たまにしか接続しない端末をすべて含める必要があります。
さらに、ネットワークに接続されているコンピュータ以外の端末(モノのインターネット・デバイス)も、潜在的な侵入経路として含める必要があります。従業員のワークステーションにある全端末、所有者と一緒に移動するモバイル端末、たまにしか接続しないノートパソコンなどをカウントする必要があります。
2.未承認資産の処理プロセスの確立と維持
ほとんどの企業ネットワークでは、少なくとも数台のエンドポイント端末が、許可されていないネットワークへのアクセスを試みています。通常であれば認可されているはずの端末が認可を失効していたり、本来接続されるべきでない端末が一時的に接続されていたり、侵入を試みたりと、そうなる理由は様々です。
デバイスがオペレーティング・システムを変更するような単純なことでも、未承認の資産がシステムにアクセスする可能性があります。
カタログを作成すること、デバイスを認証または削除するプロセスを経ること、そして悪質な行為者がシステムにアクセスした場合にマルウェア防御をどのように処理するかの計画を立てること、これらすべてがこのプロセスの一部である必要があります。
3.アクティブ・ディスカバリーを利用して、継続的な資産リストを作成
一般的な企業のネットワークでは、静的なインベントリを作成してもあまり意味がありません。デバイスの離脱、磨耗、交換、アップグレード、サービス・プロバイダーの変更、その他の違いにより、資産のリストは頻繁に変更されます。
アクティブ・ディスカバリー・ツールを活用し、新しい端末を積極的に探してリストに追加することで、インベントリーを最新の状態に保つことができます。これはインベントリ保守の代わりにはなりませんが、インベントリを最新の状態に保つことを容易にします。
4.DHCPを使用して企業資産目録を更新
ダイナミック・ホスト・コンフィギュレーション・プロトコルも、資産インベントリを更新するために使用できます。DHCPロング・イン・プロトコルまたはIPアドレス管理ツールを使用して、端末がログインしたときにインベントリを更新することも、インベントリを最新の状態に保つもう1つの方法です。
5.パッシブ検知と資産発見ツールを使って資産目録を更新
アクティブな検知ツールに加え、パッシブな資産発見ツールを使用して、すでに企業ネットワークに接続されている資産を特定する必要があります。パッシブ・アセット・ディスカバリー・ツールは、少なくとも週に1回は使用すべきです。
CISコントロール1に関するよくある質問
なぜさまざまな検知・在庫管理方法を使うのか?
さまざまな資産検出とインベントリ管理ツールを使用することは、CISコントロール2、ソフトウェア資産管理の準備に役立ち、攻撃対象となるべきIT資産の最も基本的な防御線となります。
CISコントロール基準の他の側面が満たされている場合、コントロール1は本当に重要か?
そうです。たとえ他のすべてのCIS管理が満たされていたとしても、ネットワーク・メンテナンスはその範囲内でしか効果を発揮しないからです。インベントリから機器や資産が欠落している場合、他の管理努力によってその機器が保護されている保証はありません。
CISコントロール1の実施に共通する課題:
更新され、より合理化されたプロトコルのバージョンであっても、CIS コントロール 1 の実装には多くの重大な課題があります。これらの課題のいくつかは避けられないものであり、セキュリティチームは、たとえ実装が完璧であったとしても、問題につながりかねない一般的な弱点やシステム障害について認識しておく必要があります。
コントロール1の最も一般的な課題の1つは、すべての端末をリアルタイムで説明できないという事実です。エージェントのない資産、パススルー端末、スキャンとスキャンの間に接続し、アクティブスキャン中には接続しない端末などの組み合わせは、すべてインベントリの課題となります。
コントロール1が重要である主な理由は、知らない資産やデバイスを保護できないからです。また、エージェントのない端末やカウントできない資産から発生する潜在的なセキュリティ侵害を防ぐこともできません。
インベントリに含まれていない既知の端末を追跡するだけで、エンドユーザー端末やハードウェア資産に対しても、ある程度のコントロールが可能です。インベントリを時系列で比較することは、資産管理の重要な側面であり、個々のスキャンでは見落とされる可能性のあるネットワーク端末を発見し、監視するのに役立ちます。
未承認の資産に対処し、サイバーセキュリティの脅威にリアルタイムで対応するために、インシデント対応プロトコルを導入することで、追加の保護レイヤーを提供することができます。マルウェアのスキャンやその他の基本的なサイバーセキュリティ対策によって、セキュリティ・システムの侵害に使用されたネットワーク端末やアクセス・ポイントの種類を把握し、将来に向けてより効果的なサイバー防御計画を策定することができます。
また、予防・管理対策としてコントロール1を優先し、コントロール1の完璧な実施を追求するあまり、他のCIS管理をおろそかにしないようにすることも重要です。継続的な脆弱性管理には、さまざまな可動部分があります。コントロール1はその基礎となるものですが、それだけでは何の役にも立ちません。
その他の重要なセキュリティ対策
インターネット・セキュリティ・センターは、ソフトウェア資産のインベントリーと管理、データ保護、侵入テスト、アクセス・コントロール管理など、18のCISクリティカル・セキュリティ・コントロールを挙げています。
これらの18のコントロールはすべて、特にエンタープライズ・レベルのシステム・セキュリティにとって重要です。サイバー防衛と優れたサイバー衛生およびサイバー攻撃防衛の要件は常に変化していますが、CIS統制の認定を取得することは、攻撃によって問題が発生する前に、先手を打って準備しておく良い方法です。
引用元:CIS Control 1: Inventory and Control of Enterprise Assets (August 10, 2023 / Nick Buikema)
