2020/11/11 - 読み終える時間: 2 分

BigFix offers Fixlets for RHEL versions at End of Support の翻訳版です。

BigFix、RHEL版のFixletをサポート終了時に提供

2020年11月10日

著者: Cyril Englert / Solution Architect

2020年11月、Red Hat Linux 6 はメインストリームのサポート終了を迎えます。現在のユーザーは、サポートされている Red Hat Enterprise Linux (RHEL) バージョンに移行するか、Red Hat から拡張サポートを取得することをお勧めします。拡張サポートを取得した場合は、HCL から以下の製品のいずれか 1つまたは両方を購入できます。

• RHEL 5 と 6 用 BigFix 拡張パッチ (現行サポートリリース用と、入手可能な RHEL 5 と 6 の ELS 拡張サポートリリース用)
• RHEL 用 BigFix 拡張パッチ (RHEL 5、6、7、8を含む、現在利用可能なすべての RHEL ELS および EUS 拡張サポート・リリース用)

どちらの製品も、IBM Z を除くすべての RHEL プラットフォームに継続的なコンテンツ配信を提供します。 RHEL 向け BigFix Extended Patch for RHEL 製品は、顧客が拡張サポートコンテンツを手動で発見し、キュレーションし、テストし、パッケージ化する必要性が不要になります。

前提条件: 11 月 13 日に提供されるこれらの新製品には、以下の BigFix および Red Hat 製品が必要です。

• RHEL Extended Lifecycle Support (ELS) および RHEL Extended Update Support (EUS)
• BigFix Patch、BigFix Compliance、または BigFix Lifecycle

詳細は、こちらの記事を参照してください。

詳細については、Red Hat カスタマーポータルの最近の記事を参照してください。新しい HCL オファリングの詳細については、BigFix Extended Patch for RHEL データシートをダウンロードしてください。

www.BigFix.com にアクセスするか、BigFix のセールススペシャリストまたはビジネスパートナーにお問い合わせください。

2020/11/4 - 読み終える時間: 3 分

Worried About Getting TrickBot-ed and Ryuk-ed? BigFix Provides Crucial Defense and Remediation Capabilities の翻訳版です。

TrickBot や Ryuk の攻撃が心配？ HCL BigFix は重要な防衛と修復機能を提供

2020年11月3日

著者: Ben Dixon / HCL BigFix Technical Marketing Manager & BigFix Evangelist

今年に入り、多くの金融機関や医療機関で Ryuk ランサムウェアの攻撃が大幅に増加しています。Ryuk は実は多段階攻撃の最終段階で、EternalBlue の脆弱性を利用して企業のネットワークを介して拡散する TrickBot トロイの木馬に先行しています。Ryuk は、攻撃の最終段階でシステムを暗号化して身の代金を要求する「ビジネス」ペイロードです。

攻撃のプロセスは、悪意のあるリンクを含むフィッシングメールから始まる。Trustwave SpiderLabs Digital Forensics and Incident Response のディレクターである Shawn Kanady 氏によると、攻撃者の 90%はフィッシングメールから攻撃キャンペーンを開始するそうです [1]。その理由は？簡単で低コストの配信方法であり、最近のフィッシングメールはユーザーをターゲットにしており、非常に説得力のあるものになっています。マルウェアは感染したシステムに組み込まれ、駆除するのは困難です。

BigFixユーザーのための推奨事項

パッチ:CVE-2017-0144 ((Eternal Blue)の脆弱性に対応) を確認します。

• 無効化: ネットワーク内のSMBvlを無効化し、最低でもSMBv2を必要とします。
• 検出: ネットワークスキャンを検出し、承認されていないホストを可能な限り迅速に封じ込め/無効化します。
• 回避: 感染したシステムへの管理者アカウントでのログインを避けます。
• 検討: 漏洩したクレデンシャルをフラッシュするために、ネットワーク全体のパスワードリセットを検討してください。
• 継続: 重要なエンドポイントのすべてにおいて、BigFixの高度な可視性と継続的なコンプライアンスを第一の予防策として活用し、攻撃の表面を減らして将来の攻撃を阻止します。

防衛の奥深さ

システムへのマルウェアの感染を防ぐツールは 1つではありませんが、この2つのアイテムがなければ、他の何をするにしても「モグラたたき」のようなものであることは確かです。これらの最前線の防御策を確立することで、これらの防御策が破られたときに存在する危険性に焦点を当てることができます。悪い役者は頭が良く、教育やフィルターに対抗する方法を考え出します。このような理由から、私たちには詳細な防御が必要であり、BigFix はシステム上のマルウェアとの戦いを支援することができます。ここでは、3つの防御領域を見てみましょう。BigFix が提供するリアルタイムの可視性、迅速な対応、継続的な実施が、これらの攻撃との戦いにどのように役立つかを見てみましょう。

システムへのパッチ適用

TrickBot/Ryukの対処法

Crowdstrike では、エンドポイントからTrickBotマルウェアを手動で削除するための3つのステップを推奨しています。これらのステップはBigFixで簡単に自動化することができます。

Crowdstrikeによると、TrickBot マルウェアによるシステムへの影響を防ぐための対策の 1つとして、CVE-2017-0144（Eternal Blue）の脆弱性に確実に対処すること [2]、つまり Microsoft MS17-010 Security Update を適用することが挙げられています。このパッチは 2017年3月に公開されてから 1200日以上が経過していますが、今でもインストールを勧められています。パッチ適用がそんなに重要なら、もっと真剣に取り組んでみてはどうだろうか。今日この脆弱性に対処していないシステムは、Ryuk ランサムウェアの配信を容易にする TrickBot トロイの木馬の脆弱性を持つ可能性があります。

ほとんどの企業では、パッチ管理プログラムを導入していますが、パッチ適用プロセスに追いつくことが不可能だと感じています。その理由の 1つは、エンドポイントのコンプライアンス状態を可視化できていないことです。BigFix を使用することで、エンドポイントの状態をリアルタイムで可視化することができます。また、自動化されたパッチポリシーを実装して、新しいパッチ、更新されたパッチ、および置き換えられたパッチを自動的にチェックし、システムが最新のパッチリリースに準拠した状態を維持できるようにすることもできます。これにより、毎月脆弱性から保護され、2017年や他の年にリリースされたパッチを気にする必要がなくなります。

セキュリティ構成の強制

セキュリティ設定項目を実装し、実施する。パッチ対応と同様に、ネットワークやそれにアクセスするシステムのセキュリティ設定にも気を配る必要があります。また、ハードニングとも呼ばれるシステム設定の実施に関しても、積極的に対応しなければなりません。

TrickBot や Ryuk は、SMBv1 のようないくつかの誤設定を悪用しています。BigFix は、Center for Internet Security (CIS) BenchmarksやDISA (Defense Information Systems Agency) Security Technical Implementation Guidelines (STIGs) などのセキュリティ設定を強化するためのお手伝いをします。BigFix を使用して、これらのチェックリストを環境に適用し、推奨される構成と設定値を強制します。また、BigFix はポリシーを使用して環境内のシステムにこれらの構成設定を強制し、悪質な行為者による脅威に対する継続的なコンプライアンスを保証します。

BigFix を使用して、侵入の痕跡を特定し、修復します

防御のオーケストレーション

BigFixは、場所や接続タイプに関係なく、すべてのエンドポイントで環境の継続的なコンプライアンスを維持するためのポリシー施行を提供します。

BigFix はフル機能のEDRソリューションではありませんが、管理しているすべてのエンドポイント上の既知の脅威指標を検出し、指定した条件や指標を通知することができます。Ryuk と TrickBot は、分析するのに十分な期間が経過しており、インストールフォルダー、ファイル名とハッシュ、レジストリ設定、実行中のプロセスなど、それぞれの構成要素は、マルウェアのリリース間に多少変化しても既知です。

Crowdstrike では、エンドポイントから TrickBot マルウェアを手動で削除するための3ステップのプロセスを推奨しています [3] が、これらのプロセスは BigFix を使用して自動化することができます。

• ステップ1. 悪意のあるプロセス(注入された svchost)を殺す。BigFix は実行中のプロセスの存在を監視し、特定された場合はプロセスを停止させることができます。このプロセスは、必要に応じて何度でも自動的に実施することができます。
• ステップ2. 永続性メカニズム（スケジュールされたタスク、サービスなど）を見つけて削除する。BigFix は、実行中のサービスの存在を監視して停止するだけでなく、状態を変更してサービスを削除することができます。また、BigFix はスケジュールされたタスクを判断して削除することもできます。
• ステップ3. ディスクアーティファクト（バイナリやディレクトリなど）の削除 プロセスやサービスを停止して排除した後、BigFix を使用して、ファイルやフォルダー、レジストリエントリなどの存在を発見し、これらのアーティファクトの存在を管理者に通知することもできます。

WannaCry ランサムウェア攻撃と同様に、BigFix は暗号化されたファイル（Ryuk の場合は拡張子が「.ryk」のファイル）の存在を警告し、他の人に影響を与えないようにシステムを隔離するなどの措置を取ることができます。

教育と認識

エンドユーザーを教育することも、TrickBot や Ryuk の予防と軽減のための重要なステップです。ユーザーがメールのリンクをクリックしないことを知っていれば、フィッシング攻撃が成功する確率は大幅に低下します。サイバー教育ですべての攻撃を止めることはできませんが、適切な教育を行うことで差をつけることができます。 その他の仕事に役立つツール

教育に加えて、受信メールをフィルタリングするためのメールゲートウェイなど、具体的にメールの問題に対処するためのツールを導入する必要があります。メールがユーザーに届かないようにしたり、不審なリンクや添付ファイルを取り除くことができれば、攻撃が成功する可能性はさらに低くなります。

警戒!

BigFix は、エンドポイントを保護する作業をより管理しやすくしますが、セキュリティを認識するプロセスでは、警戒心を持つ必要があります。悪質な行為者は、あなたと同じくらい脆弱性について知っており、パッチが適用されていないシステムでは 1日1日が経過するごとに、その脆弱性を悪用しようとする可能性があることを覚えておいてください。

BigFix は、脆弱性の可視性、脆弱性に対応するために必要なツール、およびロケーションや接続タイプに関係なく、すべてのエンドポイントの環境で継続的なコンプライアンスを維持するためのポリシーの実施を提供することで、防御のオーケストレーションを支援することができます。

現在 BigFix のお客様ではない場合は、BigFix が提供する機能とメリットのデモンストレーションをご希望の方は、こちらまでご連絡ください。システムにマルウェアが侵入しないようにするためのお手伝いをさせていただきます。

[1] Colon, Marcus, Analysis, Advice and Predictions from a Ransomware First Responder, August 27, 2019, (https://www.trustwave.com/en-us/resources/blogs/trustwave-blog/analysis-advice-and-predictions-from-a-ransomware-first-responder/)

[2] Hanel, Alexander, Big Game Hunting with Ryuk: Another Lucrative Targeted Ransomware, January 10, 2019, (https://www.crowdstrike.com/blog/big-game-hunting-with-ryuk-another-lucrative-targeted-ransomware/)

[3] Campbell, Ryan and Cargill, Devin, Automating Remote Remediation of TrickBot via Falcon’s Real Time Response API: Part 1, July 7, 2020, (https://www.crowdstrike.com/blog/automating-remote-remediation-of-trickbot-part-1/)

2020/11/3 - 読み終える時間: 2 分

BigFix Modern Client Management Delivers New Capabilities の翻訳版です。

BigFix のモダンなクライアント管理に新たな機能が追加されました

2020年11月3日

著者: Marcus Hayden / HCL BigFix Technical Advisor

MCM とは？

BigFix モダンクライアント管理は、BigFix V10 の一部としてプラットフォームに導入された新機能です。MCM は、Windows 10 と macOS (10.15以降) に固有のモバイルデバイス管理 (MDM) 技術を活用し、BigFix エージェントをインストールすることなく、これらのデバイスの登録と管理を支援します。

MCM for BigFix

BigFixは、さまざまなバックグラウンド (Windows、Linux、物理、仮想、オンプレミス、クラウド) からエンドポイントを管理できるため、常に人気を博してきました。Windows 10 および macOS デバイスの MDM 技術を活用することで、BigFix愛好家はBigFixウェブポータルにアクセスし (企業ネットワーク上または企業ネットワーク外から)、企業の認証情報を使用してデバイスを BigFix 管理用に登録することができます。デバイスが登録され、BigFix にレポートされると、エンドポイントのネイティブ MDM 機能を介してデバイスの管理を継続するか、エンドポイントがそれぞれのオペレーティング・システムがネイティブに提供している以上の管理を必要とする場合は、BigFix WebUI から BigFix エージェントをシームレスに展開することができます。

BigFix MCM ではどのような機能が利用できますか？

デバイスが MCM に登録されると、デバイスのコレクションを管理するためのポリシーを定義したり、単一のエンドポイントまたはエンドポイントのセットに一般的に使用されるアクションを発行したりすることができます。BigFix MCM は、登録済みの MCM デバイス上でパスコードポリシー、フルディスクアクセス、およびカーネル拡張を管理する機能を提供します。BYOD (Bring Your Own Device) デバイスで強力なパスコードを確保するために、文字の長さ、ロックアウト間隔、ログインの最大試行回数などの設定を使用して、BigFix WebUI 内でパスコードポリシーを設定できます。

BYOD 戦略を有効にするには、組織は従業員を BigFix MCM ポータルに誘導して登録させることができます。登録されると、その従業員の個人的なラップトップは前述のポリシーに加入し、従業員のマシンに最大長などに適合したパスコードがあることを確認します。

BigFixの有名人のように、すぐに使えるポリシー以上のことをする必要がある場合、BigFix MCM ではカスタムポリシーを作成するオプションを提供しています。

カスタム MCM ポリシー

Windows 10 と macOS には、かなりの量の固有の MDM 機能があります。BigFix MCM を介してこれらのデバイスを管理している場合、BigFixのカスタムポリシー機能を活用することで、これらすべての機能を利用することができます。

BigFixを使用している多くの組織で特に共感を得ているユースケースの1つは、危殆化していると考えられるエンドポイントの処理方法です。例えば、リモートの Windows 10 ラップトップで不審なアクティビティが発生しているとします。BigFix MCMのカスタムポリシーを活用して、アクションを定義することができます。このアクションを展開すると、エンドポイントが Windows Defender Offline に再起動するように指示することができます。これは、BigFix MCM が Windows 10 および macOS 内のネイティブ MCM 機能とカスタムポリシーをペアリングすることで、管理者が活用できるようになった多くのユースケースの一例に過ぎません。

エンドポイント管理の進化に合わせて BigFix が適応

エンドポイント管理の分野が拡大するにつれ、BigFix の機能も成長しています。モダン・クライアント管理機能は、絶えず変化する環境をサポートするために顧客が必要とする機能を提供するためのBigFixの最新の取り組みであり、エンドポイント環境の管理方法を変更するための汎用性を提供します。BigFix MCMは、BYOD ポリシーを実装し、リモート・ワーカーをサポートするための信頼性の高い実証済みのアプローチを求める組織にとって不可欠なものです。

詳細については、BigFix Modern Client Management のデータシートをダウンロードしてください。BigFix の詳細については、製品ページをご覧いただくか、BigFix スペシャリストにお問い合わせください。

2020/11/2 - 読み終える時間: ~1 分

BigFix Days Virtual User Conference の翻訳版です。

HCL BigFix Days バーチャルユーザーカンファレンスを開催します

2020年11月2日

著者: Ben Dixon / HCL

HCL BigFix は、11月10日と11日にバーチャルユーザーカンファレンスを開催します。

2日間で 14のセッションが行われる BigFix Daysバーチャル・ユーザー・カンファレンスは、BigFix ユーザーの皆様に、活発でインタラクティブな環境 でHCL BigFixチームとつながる機会を提供します。新機能、プラットフォーム構成のヒントやテクニック、BigFix のベスト・プラクティス・コンテンツを共有するために、私たちのホーム・オフィスからあなたのオフィスまで、ライブであなたのところにお邪魔します。

カンファレンス全体に参加するもよし、半日参加するもよし、興味のあるセッションだけ参加するもよし。いずれにしても、皆様のご参加をお待ちしております。コラボレーション、情報やアイデアの共有、新しい人脈作り、新しい学びの場として、ぜひご参加ください。

日時

カンファレンスは以下の時間帯に実施されます。

• 2020年11月11日(水) 03:30 - 07:30 (日本時間)
• 2020年11月12日(水) 03:30 - 07:30 (日本時間)

詳細

イベントのアジェンダと登録リンクについては、www.hcltechsw.com/wps/portal/products/bigfix/events/bigfix-days をご覧ください。

2020/11/2 - 読み終える時間: 3 分

HCL Ambassadors Program for BigFix is live and nominations are now OPEN! の翻訳版

HCL BigFix の HCL Ambassador プログラムが始動し、ノミネートが開始されました

2020年10月30日

著者: Lisa Towles / BigFix Client Advocacy Manager

共著: Rhonda Studnick Kaiser / Director - Customer Experience BigFix

HCL Ambassador とは?

HCL Ambassador プログラムとは、HCL Software 製品のプロモーション、コミュニティーへの参加、そして他の人々を支援するために、その枠を超えた活動を行っているお客様やパートナーを表彰するプログラムです。HCL Ambassador に推薦することで、これらの方々を表彰し、促進することができます。

ノミネーション

このプログラムへのアクセスは、毎年、公募推薦、HCL審査、選考プロセスを経て決定されます。推薦は 2020年11月26日まで公募され、その後、社内選考が行われます。BigFix の新しい HCL Ambassador は 12月に発表され、任期は 2021年1月1日から開始されます。

ユーザーグループのイベントを企画したり、ブログ記事やフォーラムの記事を書いたり、トレーニングを作成したり、他のお客様が BigFix を最適に利用できるようサポートしたりした BigFix のお客様やパートナーをご存知ですか? 私たちは幸運にも、外部の顧客エコシステムの中に素晴らしい BigFix エバンジェリストがいます。そして今、あなたには、現在の役割を超えて他のお客様を支援・サポートしている個人を認識し、促進する力があります。

是非、BigFix の HCL Ambassador に推薦してください。BigFix ユーザーは、自薦もできます。

詳細はこちら

詳しくは、HCL Ambassador プログラムの Web サイトをご覧ください。

よくある質問

• HCL Ambassador とは?

HCL Ambassador とは、企業ではなく個人を表彰するプログラムで、HCL 製品の販売促進、地域社会との連携、他者への支援など、HCL の活動に貢献した人を表彰するものです。

• Ambassador になれるのは誰ですか?

  BigFix の顧客またはパートナーです。

• どのようにして候補者を推薦するのですか?

  お客様やパートナーの方は、ご自身で推薦することも、他の方を推薦することもできます。

• このプログラムは北米のみを対象としていますか、それとも全世界を対象としていますか?

  ワールドワイドが対象です。

• Ambassador プログラムの期間は?

  2021年1月1日～12月31日

• 指名プロセスとは何ですか?

  オンラインのノミネーションフォームを使用して、推薦する個人についての情報を入力し、過去12ヶ月間にどのように HCL BigFix を広報しているかを示す3つの「証拠」を提出してください。

• Ambassador になると、どのようなメリットがありますか?

  • 招待制のベータプログラムやイベントへのアクセス
  • 上級管理職との年 2回の電話会議
  • サポートチケットの迅速なエスカレーションをサブジェクトマターエキスパートエンジニアへ
  • HCL Software 製品の無償使用許諾
  • HCL Ambassador ブログへのシンジケーションを通じて、公開されたコンテンツの露出度を高める
  • HCL Ambassador ブランドのグッズを最大 200ドル分プレゼント
  • 3月～11月の間、HCL Ambassador グッズショップをご利用いただけます。

• HCL Ambassador として認められることは、技術的な証明になるのでしょうか?

  HCL Ambassador プログラムは、技術的な認定ではなく、営業やマーケティングのツールではなく、過去 12ヶ月間に「本業以上の仕事をしてくれた人」にお返しをするための表彰プログラムであり、地域社会の発展のためのものです。

• HCL Ambassador になると、毎年表彰されるのですか?

  HCL Ambassador には 2つのタイプがあります。

  • HCL Ambassador - 前年の功績に対して毎年表彰されます。
  • HCL Lifetime Ambassador - 継続的に優れた業績をあげた人に贈られる、より名誉ある賞です。これは終身雇用であり、毎年の再応募は必要ありません。

さらなる詳細、ご不明点は BigFix チームの以下のメンバーにお問い合わせください。

Lisa Towles: Lisa.Towles@hcl.com Rhonda Studnick Kaiser: Rhonda.Studn@hcl.com

2020/10/21 - 読み終える時間: 2 分

BigFix Compliance awarded CIS Security Software Certification for CIS Benchmarks の翻訳版です。

BigFix Compliance が CIS Benchmarks CIS Security Software Certification を取得

2020年10月21日

著者: Cyril Englert / Solution Architect

多くの組織が BigFix Compliance を活用して、Center of Internet Services が発行するベンチマークを迅速に導入し、継続的なコンプライアンスを維持しています。CIS Benchmarks は、サイバー攻撃に対する設定関連の脆弱性を排除するために、OS やソフトウェアを安全に保護するためのベストプラクティスとして提供されています。OSやアプリケーションごとに個別のベンチマークが用意されています。BigFix Compliance は、これらの CIS Benchmarks に基づいた、すぐに使えるチェックリストを多数提供しています。組織は、これらのチェックリストをすべてのエンドポイントに適用して、CIS が推奨するベストプラクティスを一貫して効果的に適用することができます。

実際、BigFix Compliance V10は、CIS Benchmarks の CIS セキュリティーソフトウェア認証を取得した最新の製品です。詳細は CIS の Web サイト(https://www.cisecurity.org/partner/hcl/) をご覧ください。

HCL BigFix Compliance 担当プロダクトマネージャーである I-Lung Kao は、「HCL BigFix チームは、セキュリティー構成を迅速に評価し、構成の逸脱を自動的かつ継続的に修正することができる、非常に多くのすぐに使えるチェックリストを提供してきました。チェックリストは、BigFixチームによって継続的に更新され、最新のCIS Benchmarks をサポートしています。セキュリティー上の脅威の状況は常に変化しており、新しい脆弱性は常に発見されています。Windowsのような一般的な OS プラットフォームでは、CIS Benchmarks は頻繁に、四半期ごとに更新されることが多いため、BigFix Compliance の最新のチェックリストを導入して、最新の CIS Benchmarks を適用することが重要です。"

BigFix Compliance は、CIS、DISA STIG、USGCB、PCI DSS などの業界標準のセキュリティー・ベンチマークに沿った数千のすぐに使えるセキュリティー・チェックを備えた構成コンプライアンスの実装と継続的な実施に不可欠なツールとして長年にわたって確立されてきました。BigFix は、場所や接続性に関係なく、オンプレミスであろうとクラウドであろうと、IT 運用チームとセキュリティーチームがエンドポイントを完全に自動化、発見、管理、修正できる唯一のエンドポイント管理プラットフォームです。エンドポイントの限られた部分をカバーし、修復に数日から数週間を要する複雑なツールとは異なり、BigFix は他のどのソリューションよりも迅速にすべてのエンドポイントを発見し、修復することができます。

コンプライアンスの課題に対するソリューションをお探しの読者の方は、I-Lung Kao が執筆したガイド Selecting an Endpoint Compliance Solution to Improve your Security Posture (エンドポイント・コンプライアンス・ソリューションを選択してセキュリティー姿勢を改善する) をダウンロードしてください。

BigFixの詳細やデモのスケジュールについては、www.BigFix.com をご覧ください。

2020/10/14 - 読み終える時間: 4 分

Using BigFix for Security Configuration Management の翻訳版です。

セキュリティー構成管理に BigFix を使用する

2020年10月14日

著者: Ben Dixon / HCL

構成管理 (Configuration Management) は 1991年に、特にソフトウェアエンジニアリングの分野における変更の管理として定義されました。2011年までに、米国国立標準技術研究所 (NIST) は、「セキュリティーに焦点を当てた構成管理 (Security-focused Configuration Management,)」という用語を使用しており、ITセキュリティーの必須要素とみなされていました (1)。

セキュリティー構成管理とは、現在では、管理されている項目の機能的、物理的、または状態の変化を識別、制御、監視するための方法とツールを持つ正式な規律となります (2)。

セキュリティー構成管理の目標は、誤った構成を特定し、それを修正し、変更されないように監視することで、システムの攻撃面を減らすことである。その結果、ベースライン構成が組織のセキュリティー標準として施行されます。これにより、時間の経過とともに変更が加えられても、システムが期待通りに動作することを確認できます。構成設定を効果的に管理することで、変化を管理し、変化に管理されないようにします。

BigFix 構成管理を使用することで、組織は、脆弱性に対する継続的な可視性をITセキュリティー・オペレーションに提供し、その脆弱性に対応するために必要なツールをITオペレーションに提供する一連のツールを手に入れることができます。BigFix は、企業レベルだけでなく、すべてのエンドポイントで継続的なコンプライアンスを維持する能力を組織に提供します。

このブログは、システム・セキュリティーの必要性、システムを保護するために取るべき行動、およびこの保護を実施するために利用可能なツールとリソースに対処することを目的としています。その目的は、システムセキュリティーの姿勢を強化し、継続的なコンプライアンスを確保するために役立つ情報を提供することです。

リモートワークがセキュリティーリスクを悪化させる

そう遠くない昔、ほとんどの従業員はオフィスで働き、オフィスのドアはロックとネットワークファイアウォールで保護されていました。毎日のように、悪者がファイアウォールを突破しようとしていましたが、うまくいけば成功することはありませんでした。

今日では、リモートワーカーが使用するすべてのエンドポイントがターゲットになっているため、企業内にはさらに多くのドアがあります。これらのモバイル・エンドポイントは、企業のネットワーク・ファイアウォールでは保護されておらず、常に攻撃を受けています。「モバイルワーカー」は新しい概念ではありませんが、世界的なパンデミックの影響でワーカーが自宅に留まることを余儀なくされているため、2020年の間に大きく成長します。CSO Magazineが実施した調査によると、2020年の初めには、従業員の16.5％が大部分の時間を在宅で仕事をしていました。3月末にはその数は77.7%にまで上昇している (3)。悪質な行為者は悪用から休むことなく、おそらくパンデミックの間に攻撃をステップアップさせ、あらゆる角度から悪用してきたのでしょう。

重要なのは、リモートワークはそれ自体が悪いことではなく、本質的に安全ではないということです。最大の問題は、ホームネットワーク上の時代遅れの機器や設定にあるようです。多くのホームネットワークでは、ISPから提供されたモデムやルーターを使用しており、それらを設定したり更新したりする方法についてほとんど知識がありません。他のホームネットワークでは、一度インストールされても更新されていないコンシューマーレベルの機器を使用していますが、その中には、検索して悪用するのが簡単なデフォルトパスワードも含まれています。日常的に使用されているネットワークの安全性を考えると、それに接続されているシステムを安全なものにすることがより重要になります。

幸いなことに、エンドポイントを安全に保つ方法についての貴重なガイダンスがあります。Center for Internet Security は、コミュニティー主導の非営利団体であり、IT システムとデータの安全性を確保するための世界的に認知されたベストプラクティスである Controls and Benchmarks の発行を担当しています。

CIS コントロールとは？

CIS コントロールとは、組織内での優れたセキュリティー衛生を特定、優先順位付け、実装、および維持するのに役立つ一連のサイバーセキュリティーのベストプラクティスです。コントロールは3つのグループに分けられます。基本的なもの、基盤的なもの、組織的なものです。Center for Internet Securityの調査によると、基本的なコントロールのうち最初の5つだけを導入するだけで、全サイバー攻撃の85%から組織を守ることができるという結果が出ています。

CIS ベンチマークとは？

CIS 統制がベストプラクティスであるのに対し、CIS ベンチマークは、脆弱性をどのように保護するかについての具体的なガイドラインです。ベンチマークの中には、規制上の義務化されたものもあります。各ベンチマークは、パスワードの長さ、ポートアクセス、プロトコルの設定など、悪用されやすい項目について、アプリケーションやOSに特有の一連のチェックを含んだチェックリストです。これらのベンチマークを適用することで、組織は自社環境の脆弱性を特定できます。

基本的な CIS 対策の概要

前述したように、最初の数回のバック・コントロールを実施するだけで、大多数のサイバー攻撃から組織を守ることができる。ここでは、エンドポイントの安全性を確保するための取り組みにおいて、ほとんどの組織にとって重要な基本的な CIS 対策 (最初の 6 つの対策) を列挙する。

CIS Control Number 1

この管理は、ハードウェア資産のインベントリーと管理を扱う。この管理では、ネットワーク上にどのようなシステムがあるかを組織が把握する必要があります。簡単に言えば、組織は、そこにいるはずのない人がネットワーク (有線または無線) にアクセスすることを望まないということです。ネットワーク上の誰かが、ネットワーク上のすべてにアクセスできる可能性があります。組織は、誰がアクセスできるのか、何にアクセスできるのか、そして何ができるのかを管理しなければなりません。

また、コントロールナンバー1では、組織はネットワーク上のハードウェア資産の構成設定をコントロールできるようにすべきだと述べています。この可視性がなければ、組織内のエンドポイントのセキュリティー確保に着手することすら本当にできません。これが、コントロールナンバー1である理由です。

CIS Control Number 2

この制御は、ソフトウェア資産のインベントリーと制御を扱い、「ネットワーク上のすべてのソフトウェアを積極的に管理 (インベントリー、追跡、修正) し、許可されたソフトウェアのみがインストールされて実行できるようにし、許可されていないソフトウェアや管理されていないソフトウェアを発見してインストールや実行ができないようにする」能力を必要としています。

ソフトウェア資産にはお金がかかります。そのため、ソフトウェアライセンスのインベントリーを作成し、使用状況に関する情報を収集しています。しかし、不正なソフトウェアや組織にセキュリティーリスクをもたらすソフトウェアを特定するために、ソフトウェア資産の棚卸しも行っています。ソフトウェアのインベントリーを作成して、何がインストールされているかを確認し、承認されたソフトウェアと承認されていないソフトウェアを識別することができるようにしたいのです。ソフトウェアをホワイトリスト化できれば、それに越したことはありません。ホワイトリストは承認されたもののリストであり、リストにないものは承認されていないということを覚えておいてください。ソフトウェアは、リスクがあるからといって、リスクがあるわけではありません。

CIS Control Number 3

このコントロールは、継続的な脆弱性管理を管理します。これは、脆弱性を特定し、修正し、攻撃者の機会を最小化するために、新しい情報を継続的に取得し、評価し、対策を講じる能力のことです。

第一の要件は、容易に悪用される可能性のある既知のソフトウェアの脆弱性を修正するために、できれば定期的なスケジュールで、オペレーティング・システムとアプリケーションの自動パッチ適用を行うことです。また、同管理では、自動化された脆弱性スキャンツールの使用、脆弱性修正の優先順位をつけるためのリスク評価プロセス、スキャン結果の経時的な比較を推奨しています。

脆弱性管理とは、発見だけではなく、発見と改善を意味するものであることに言及しておくことが重要です。単に脆弱性を発見して優先順位をつけることは、脆弱性評価として知られており、セキュリティー構成管理の貴重な要素ではあるが、継続的な脆弱性管理のすべての要件を満たすものではありません。

CIS Control Number 4

このコントロールは、管理者権限の制御された使用をカバーし、コンピュータ、ネットワーク、およびアプリケーション上の管理者権限の使用、割り当て、および設定を追跡、制御、防止、および/または修正するために使用されるプロセスとツールを含みます。

システム管理者は、時間とエネルギーを節約するために近道をすることがよくあります。なぜシステム管理者は、管理者アカウントに既にログインしているのに、ユーザーアカウントでログインしなければならないのでしょうか？なぜシステム管理者は、何もできないときに私に連絡してくることを知っていながら、ユーザーのアクセスを制限しなければならないのでしょうか？そして、セキュリティーの暴露を引き起こすショートカットのリストは、まだまだ続きます。

管理者は企業内で起こるすべてのことをコントロールできないので、組織が管理者権限の使用をコントロールし、それらを使用する人の行動を監査することが重要です。今日のオペレーティング・システムは、セキュリティーではなく、使いやすさを目的として構築されているため、組織は、管理者権限を持つ者を制限し、どのような行動を取るかを監査することによって、オペレーティング・システムを安全にしなければならない。

CIS Control Number 5

この管理では、モバイルデバイス、ラップトップ、ワークステーション、およびサーバー上のハードウェアとソフトウェアの安全な構成を対象としています。この管理の最初の部分では、構成管理を制御するための変更管理プロセスの実装を義務づけており、次の部分では、攻撃者が脆弱なサービスや設定を悪用することを防ぐためのこのプロセスの実施について説明しています。

最初にプロセスを実装してから、そのプロセスをサポートするツールを見つけてください。システムにパッチを当てたり、ソフトウェアを提供したりするために使用するツールのように、ツールを中心にプロセスを構築すると、ツールの能力を超えてプロセスを調整することができません。

我々のプロセスはビジネスをサポートすべきであり、ツールはプロセスをサポートする能力を持つべきです。

CIS Control Number 6

この管理は、監査ログの維持、監視、および分析に焦点を当てています。組織は、攻撃を検知し、理解し、または攻撃から回復するために、イベントログを収集、管理、分析しなければなりません。

私たちの組織が最初の5つのコントロールを実施している完璧な世界では、監査ログをチェックする理由はありません。しかし、世の中は完璧ではないので、組織は定期的にログを監視し、分析する必要があります。そうしないと、重要なイベントや変更を見逃す可能性があり、組織は同じ問題に繰り返し対応することになる運命にあります。

覚えておくべきことがいくつかあります。第一に、ログはオンにしておく必要があります。第二に、ログのタイムスタンプが一貫しているように、同期化された登米ソースを使用してください。次に、ログを保存するシステムに十分なスペースがあることを確認してください。最後に、定期的にログをレビューして異常を探し、環境で何が通常発生しているかを理解する。この点では、SIEM (System Information & Event Management) やログ解析ソフトが役立ちます。

BigFix によるセキュリティー構成管理

BigFix は、エンドポイントを常にコンプライアンスの状態に保つことで、エンドポイントの保護において、反応しないのではなく、プロアクティブな対応ができるようにします。BigFix は、ITセキュリティー・マネージャが脆弱性を継続的に可視化し、IT運用チームが脆弱性に対応するために必要なツールを提供するソリューションを提供します。BigFix を使用すると、企業ネットワークから外れたエンドポイントであっても、環境内のすべてのエンドポイントに適切な CIS チェックリストを実装できます。これにより、BigFix は、企業レベルだけでなく、すべてのエンドポイントで継続的なコンプライアンスを維持できます。以下に、BigFix がどのようにしてそれを達成するかを示します。

脆弱性評価

BigFix には、CIS ベンチマークを含む数千もの事前設定済みのすぐに使えるチェックが含まれています。チェックが管理されているエンドポイントに適用されると、エンドポイントのコンプライアンス状態を可視化できます。BigFix は、エンドポイントのコンプライアンス状態を継続的に評価し、その状態を BigFix サーバに報告するインテリジェントなエージェントを利用して、環境の脆弱性の可視性を提供します。

脆弱性の修復

すべてのエンドポイントにすべてのパッチを適用することで、すべての脆弱性が確実に対処されていることを確認するというのは、簡単な解決策のように思えるかもしれません。問題は、エンドポイントが脆弱性を抱えているかどうかがわからなければ、それがいつ、あるいはいつ修正されるかわからないということです。それは、薬が対処してくれる症状が出たときのために、必要のない薬を毎日飲んでいるようなものです。第二に、パッチのインストールの中には、その内容が適用されない場合に失敗するものがあります。パッチが適用できなかったから失敗したのか、それとも他の理由で失敗したのか？さらに、パッチや設定の中には、適用できなくても適用できるものがあり、何かを壊す可能性があります。幸いなことに、パッチや関連性や適用可能性の条件は BigFix のコンテンツに組み込まれているため、必要な場所にのみパッチがインストールされることを保証します。

組織は、脆弱性評価と脆弱性修正のために異なるツールを使用する可能性がありますが、BigFix にこれら2つの機能を統合することで、企業全体の脆弱性管理を合理化し、ITセキュリティーチームと運用チームの両方の労力を削減することができます。

継続的な実施

脆弱性を特定して修復した後、組織はコンプライアンスを維持するために、その状態を維持することを保証しなければなりません。評価と修復プロセスを達成するために脆弱性のスキャンとレポートを繰り返す必要がある他のツールとは異なり、BigFix はエンフォースメントを統合しているため、エンドポイントが継続的にコンプライアンスを遵守することができます。

BigFix エージェントは、管理されているエンドポイントのバックグラウンドで継続的に実行され、パッチの状態や構成設定 ( CIS チェックリストに記載されているような設定) を分析します。設定が指定したものと異なる場合は、システム上の設定を指定した値に変更します。構成が設定されるかパッチが適用されると、BigFix はシステムを監視して、その構成項目の値が変わらないことを確認します。また、何らかの理由で設定が変更された場合は、BigFix がチェックリストで指定した設定に戻します。

BigFix コンプライアンスは、可視性、レスポンス、およびエンフォースメントを統合

市場には、1つ以上の関連するITプロセスをサポートするコンプライアンス管理製品が数多く存在します。BigFix は、可視性、対応、実施を提供する唯一のソリューションであり、継続的なコンプライアンスの特定、修正、維持を可能にします。BigFix は、環境に対する継続的な可視性を提供するソリューションであり、組織は脆弱性を発見するだけでなく、脆弱性に対応することができます。また、同様に重要なこととして、BigFix を使用することで、組織はどこにいても、すべてのエンドポイントで継続的なコンプライアンスを維持できます。

エンドポイントのパッチ適用とコンプライアンスの維持についての詳細は、www.BigFix.com をご覧ください。

(1) Jackson, W. (2011, August 16). NIST offers tips on security configuration management. Retrieved from Government Computer News: https://gcn.com/articles/2011/08/16/nist-configuration-security-rules.aspx

(2) Johnson, A., Dempsey, K., Ross, R., Gupta, S., & Bailey, D. (2011 (Updated 10-10-2019)). NIST Special Publication 800-128: Guide for Security-Focused Configuration Management of Information Systems. US Department of Commerce.

(3) Bragdon, B. (2020, April 1). Pandemic impact report: Security leaders weigh in. Retrieved from CSO: https://www.csoonline.com/article/3535195/pandemic-impact-report-security-leaders-weigh-in.html

2020/10/6 - 読み終える時間: 2 分

Cybersecurity Issues Amid an Extended COVID-19 Lockdown の翻訳版です。

COVID-19 のロックダウンが延長される中でのサイバーセキュリティーの問題

2020年10月5日

著者: Jeremy McNeive / Public Relations Manager

先週、HCL BigFix のジェネラル・マネージャー兼副社長である Kristin Hazlewood は、CyberTheory が主催するサイバーセキュリティー・リーダーシップ・パネルに参加しました。以下は、「サイバーセキュリティ・リーダーシップ」をテーマにした「COVID-19のロックダウンが延長された中での継続的な問題」のトピックについてHazlewood が語ったコメントです。

質問: デバイスやユーザーをプロキシとして利用して企業ネットワーク内のより価値の高い資産に到達する、より複雑なマルウェアの新たな波は、今回のロックダウン中の最大の潜在的な脅威の一部です。この新しい現実の中で、新しい脅威に対応するために新しいテクノロジーに頼ることができるのか、また、それらを十分に迅速に実装することができるのでしょうか。

Hazlewood: エンドポイントの継続的なコンプライアンスの維持を支援するために、インフラストラクチャー内にそれらのセーフティネットを持つことで簡単に対処できる基本的なことを忘れないようにしましょう。自宅で仕事をしているときに、子供がノートパソコンをちょっと貸してくれと言って、その後帰ってきて驚いたことに、自分のシステムに何かが起きてしまったということは、とても簡単なことなのです。

質問: ここ数ヶ月の間、サイバーセキュリティー・コミュニティーは、COVID-19のテーマを囮として、あるいは悪意のある活動を識別や検出から隠す方法として使用する多数の攻撃ベクターを観察してきました。北朝鮮の国営ハッカーは、COVID-19 をテーマにしたフィッシングメールをシンガポール、日本、米国、韓国、インド、英国の 500 万人以上の企業や個人に送信し、個人情報や金融データを盗み出そうとしました。このような新しいメールフィッシングの手法を跳ね返すために、私たちは何をしているのでしょうか？また、それは純粋に人間の問題なのか、それともテクノロジーによる解決策はあるのでしょうか？

Hazlewood: トレーニングとテクノロジーの組み合わせです。今日のリモートワーカーは IT の専門家ばかりではないことを心に留めておかなければなりません。さらに、COVID-19 に対する感情の高まりも加わり、人々はフィッシング攻撃の影響をさらに受けやすくなっています。これらの攻撃に対抗するために、適切なITとセキュリティーのインフラを整備することが、今ではさらに重要になっています。教育は重要ですが、私たちは人間性に注意を払わなければなりません。何度か失敗することもあるでしょう。最終的には、フィッシング攻撃は環境に潜む脆弱性を突くことができて初めて可能になるので、組織が脆弱性を可視化してリスクのある場所を理解し、対策を講じることができるようにするためのツールを持つことが絶対に重要です。

質問: クラウド・コンピューティングへの依存度が高まっている中で、サイバーセキュリティーの観点から最も重要なのはどのような問題でしょうか？エンドユーザーのための過大な依存やプロバイダーと不十分なデリジェンス、第三者による報告のギャップ（SOC2は誰が行っているのか）、MFAや構成管理のような技術的な制限でしょうか？

Hazlewood: ステップ 1 は可視性を持つことです。自分たちのチームがクラウドで何を実行しているのかを知らない組織がたくさんあります。わからないとコントロールも保護もできません。より多くのツールと教育が必要で、より多くの構成とリスクがあることを理解している組織が増えてきています。それは、組織自身とクラウド・プロバイダーが何をもたらすかという責任の共有モデルです。

質問: リモートワークの増加により、2020年には仮想プライベートネットワーク（VPN）とクラウドサービスに攻撃者が集中しますが、昨年のペネトレーションテストのデータによると、クラウドインフラへのアクセスを得るための最良の方法として、多くの侵害がすでにクレデンシャルに焦点を当てていました。パスワードスプレーは、外部からの攻撃者のトップテクニックであることが続いていました。また、WMI と RDP のエクスポージャに対するパッチ適用は依然として課題となっています。リモートワークへの依存度が高まっている世界で、この脅威に対抗するための最も効果的なアプローチは何だと思いますか？

Hazlewood: パスワードがなくなるわけではありませんが、私たちはパスワードから離れたいと思っています。しかし、安全で強制力のあるパスワードポリシー、行動分析の多要素レイヤリング、最小特権の原則を確認することです。これが最初の防御線です。次に、対応について議論し、これらの攻撃が起きているのを見たときに対応する方法があるかどうかを確認してください。どのようにシステムを隔離しますか？どのようにして組織をまとめて対応しますか？

質問: 2021年のサイバーセキュリティーロードマップで最も重要な要素は何でしょうか？

Hazlewood: 「セキュリティーチームと IT チームの連携」です。 多くの場合、セキュリティーチームは知識とツールを持っていますが、IT チームは実装と実施のための人手を持っています。多くの組織では、異なるツールを使用していたり、異なる言語を使用していたり、優先順位が異なっていたりと、このような断絶を目の当たりにし続けています。残念ながら、多くの侵害は、2つのチームが思うように連携していないことが原因となっています。

リーダーシップパネルの詳細はこちらをご覧ください。