Using BigFix for Security Configuration Management の翻訳版です。
セキュリティー構成管理に BigFix を使用する
2020年10月14日
著者: Ben Dixon / HCL
構成管理 (Configuration Management) は 1991年に、特にソフトウェアエンジニアリングの分野における変更の管理として定義されました。2011年までに、米国国立標準技術研究所 (NIST) は、「セキュリティーに焦点を当てた構成管理 (Security-focused Configuration Management,)」という用語を使用しており、ITセキュリティーの必須要素とみなされていました (1)。
セキュリティー構成管理とは、現在では、管理されている項目の機能的、物理的、または状態の変化を識別、制御、監視するための方法とツールを持つ正式な規律となります (2)。
セキュリティー構成管理の目標は、誤った構成を特定し、それを修正し、変更されないように監視することで、システムの攻撃面を減らすことである。その結果、ベースライン構成が組織のセキュリティー標準として施行されます。これにより、時間の経過とともに変更が加えられても、システムが期待通りに動作することを確認できます。構成設定を効果的に管理することで、変化を管理し、変化に管理されないようにします。
BigFix 構成管理を使用することで、組織は、脆弱性に対する継続的な可視性をITセキュリティー・オペレーションに提供し、その脆弱性に対応するために必要なツールをITオペレーションに提供する一連のツールを手に入れることができます。BigFix は、企業レベルだけでなく、すべてのエンドポイントで継続的なコンプライアンスを維持する能力を組織に提供します。
このブログは、システム・セキュリティーの必要性、システムを保護するために取るべき行動、およびこの保護を実施するために利用可能なツールとリソースに対処することを目的としています。その目的は、システムセキュリティーの姿勢を強化し、継続的なコンプライアンスを確保するために役立つ情報を提供することです。
リモートワークがセキュリティーリスクを悪化させる
そう遠くない昔、ほとんどの従業員はオフィスで働き、オフィスのドアはロックとネットワークファイアウォールで保護されていました。毎日のように、悪者がファイアウォールを突破しようとしていましたが、うまくいけば成功することはありませんでした。
今日では、リモートワーカーが使用するすべてのエンドポイントがターゲットになっているため、企業内にはさらに多くのドアがあります。これらのモバイル・エンドポイントは、企業のネットワーク・ファイアウォールでは保護されておらず、常に攻撃を受けています。「モバイルワーカー」は新しい概念ではありませんが、世界的なパンデミックの影響でワーカーが自宅に留まることを余儀なくされているため、2020年の間に大きく成長します。CSO Magazineが実施した調査によると、2020年の初めには、従業員の16.5%が大部分の時間を在宅で仕事をしていました。3月末にはその数は77.7%にまで上昇している (3)。悪質な行為者は悪用から休むことなく、おそらくパンデミックの間に攻撃をステップアップさせ、あらゆる角度から悪用してきたのでしょう。
重要なのは、リモートワークはそれ自体が悪いことではなく、本質的に安全ではないということです。最大の問題は、ホームネットワーク上の時代遅れの機器や設定にあるようです。多くのホームネットワークでは、ISPから提供されたモデムやルーターを使用しており、それらを設定したり更新したりする方法についてほとんど知識がありません。他のホームネットワークでは、一度インストールされても更新されていないコンシューマーレベルの機器を使用していますが、その中には、検索して悪用するのが簡単なデフォルトパスワードも含まれています。日常的に使用されているネットワークの安全性を考えると、それに接続されているシステムを安全なものにすることがより重要になります。
幸いなことに、エンドポイントを安全に保つ方法についての貴重なガイダンスがあります。Center for Internet Security は、コミュニティー主導の非営利団体であり、IT システムとデータの安全性を確保するための世界的に認知されたベストプラクティスである Controls and Benchmarks の発行を担当しています。
CIS コントロールとは?
CIS コントロールとは、組織内での優れたセキュリティー衛生を特定、優先順位付け、実装、および維持するのに役立つ一連のサイバーセキュリティーのベストプラクティスです。コントロールは3つのグループに分けられます。基本的なもの、基盤的なもの、組織的なものです。Center for Internet Securityの調査によると、基本的なコントロールのうち最初の5つだけを導入するだけで、全サイバー攻撃の85%から組織を守ることができるという結果が出ています。
CIS ベンチマークとは?
CIS 統制がベストプラクティスであるのに対し、CIS ベンチマークは、脆弱性をどのように保護するかについての具体的なガイドラインです。ベンチマークの中には、規制上の義務化されたものもあります。各ベンチマークは、パスワードの長さ、ポートアクセス、プロトコルの設定など、悪用されやすい項目について、アプリケーションやOSに特有の一連のチェックを含んだチェックリストです。これらのベンチマークを適用することで、組織は自社環境の脆弱性を特定できます。
基本的な CIS 対策の概要
前述したように、最初の数回のバック・コントロールを実施するだけで、大多数のサイバー攻撃から組織を守ることができる。ここでは、エンドポイントの安全性を確保するための取り組みにおいて、ほとんどの組織にとって重要な基本的な CIS 対策 (最初の 6 つの対策) を列挙する。
CIS Control Number 1
この管理は、ハードウェア資産のインベントリーと管理を扱う。この管理では、ネットワーク上にどのようなシステムがあるかを組織が把握する必要があります。簡単に言えば、組織は、そこにいるはずのない人がネットワーク (有線または無線) にアクセスすることを望まないということです。ネットワーク上の誰かが、ネットワーク上のすべてにアクセスできる可能性があります。組織は、誰がアクセスできるのか、何にアクセスできるのか、そして何ができるのかを管理しなければなりません。
また、コントロールナンバー1では、組織はネットワーク上のハードウェア資産の構成設定をコントロールできるようにすべきだと述べています。この可視性がなければ、組織内のエンドポイントのセキュリティー確保に着手することすら本当にできません。これが、コントロールナンバー1である理由です。
CIS Control Number 2
この制御は、ソフトウェア資産のインベントリーと制御を扱い、「ネットワーク上のすべてのソフトウェアを積極的に管理 (インベントリー、追跡、修正) し、許可されたソフトウェアのみがインストールされて実行できるようにし、許可されていないソフトウェアや管理されていないソフトウェアを発見してインストールや実行ができないようにする」能力を必要としています。
ソフトウェア資産にはお金がかかります。そのため、ソフトウェアライセンスのインベントリーを作成し、使用状況に関する情報を収集しています。しかし、不正なソフトウェアや組織にセキュリティーリスクをもたらすソフトウェアを特定するために、ソフトウェア資産の棚卸しも行っています。ソフトウェアのインベントリーを作成して、何がインストールされているかを確認し、承認されたソフトウェアと承認されていないソフトウェアを識別することができるようにしたいのです。ソフトウェアをホワイトリスト化できれば、それに越したことはありません。ホワイトリストは承認されたもののリストであり、リストにないものは承認されていないということを覚えておいてください。ソフトウェアは、リスクがあるからといって、リスクがあるわけではありません。
CIS Control Number 3
このコントロールは、継続的な脆弱性管理を管理します。これは、脆弱性を特定し、修正し、攻撃者の機会を最小化するために、新しい情報を継続的に取得し、評価し、対策を講じる能力のことです。
第一の要件は、容易に悪用される可能性のある既知のソフトウェアの脆弱性を修正するために、できれば定期的なスケジュールで、オペレーティング・システムとアプリケーションの自動パッチ適用を行うことです。また、同管理では、自動化された脆弱性スキャンツールの使用、脆弱性修正の優先順位をつけるためのリスク評価プロセス、スキャン結果の経時的な比較を推奨しています。
脆弱性管理とは、発見だけではなく、発見と改善を意味するものであることに言及しておくことが重要です。単に脆弱性を発見して優先順位をつけることは、脆弱性評価として知られており、セキュリティー構成管理の貴重な要素ではあるが、継続的な脆弱性管理のすべての要件を満たすものではありません。
CIS Control Number 4
このコントロールは、管理者権限の制御された使用をカバーし、コンピュータ、ネットワーク、およびアプリケーション上の管理者権限の使用、割り当て、および設定を追跡、制御、防止、および/または修正するために使用されるプロセスとツールを含みます。
システム管理者は、時間とエネルギーを節約するために近道をすることがよくあります。なぜシステム管理者は、管理者アカウントに既にログインしているのに、ユーザーアカウントでログインしなければならないのでしょうか?なぜシステム管理者は、何もできないときに私に連絡してくることを知っていながら、ユーザーのアクセスを制限しなければならないのでしょうか?そして、セキュリティーの暴露を引き起こすショートカットのリストは、まだまだ続きます。
管理者は企業内で起こるすべてのことをコントロールできないので、組織が管理者権限の使用をコントロールし、それらを使用する人の行動を監査することが重要です。今日のオペレーティング・システムは、セキュリティーではなく、使いやすさを目的として構築されているため、組織は、管理者権限を持つ者を制限し、どのような行動を取るかを監査することによって、オペレーティング・システムを安全にしなければならない。
CIS Control Number 5
この管理では、モバイルデバイス、ラップトップ、ワークステーション、およびサーバー上のハードウェアとソフトウェアの安全な構成を対象としています。この管理の最初の部分では、構成管理を制御するための変更管理プロセスの実装を義務づけており、次の部分では、攻撃者が脆弱なサービスや設定を悪用することを防ぐためのこのプロセスの実施について説明しています。
最初にプロセスを実装してから、そのプロセスをサポートするツールを見つけてください。システムにパッチを当てたり、ソフトウェアを提供したりするために使用するツールのように、ツールを中心にプロセスを構築すると、ツールの能力を超えてプロセスを調整することができません。
我々のプロセスはビジネスをサポートすべきであり、ツールはプロセスをサポートする能力を持つべきです。
CIS Control Number 6
この管理は、監査ログの維持、監視、および分析に焦点を当てています。組織は、攻撃を検知し、理解し、または攻撃から回復するために、イベントログを収集、管理、分析しなければなりません。
私たちの組織が最初の5つのコントロールを実施している完璧な世界では、監査ログをチェックする理由はありません。しかし、世の中は完璧ではないので、組織は定期的にログを監視し、分析する必要があります。そうしないと、重要なイベントや変更を見逃す可能性があり、組織は同じ問題に繰り返し対応することになる運命にあります。
覚えておくべきことがいくつかあります。第一に、ログはオンにしておく必要があります。第二に、ログのタイムスタンプが一貫しているように、同期化された登米ソースを使用してください。次に、ログを保存するシステムに十分なスペースがあることを確認してください。最後に、定期的にログをレビューして異常を探し、環境で何が通常発生しているかを理解する。この点では、SIEM (System Information & Event Management) やログ解析ソフトが役立ちます。
BigFix によるセキュリティー構成管理
BigFix は、エンドポイントを常にコンプライアンスの状態に保つことで、エンドポイントの保護において、反応しないのではなく、プロアクティブな対応ができるようにします。BigFix は、ITセキュリティー・マネージャが脆弱性を継続的に可視化し、IT運用チームが脆弱性に対応するために必要なツールを提供するソリューションを提供します。BigFix を使用すると、企業ネットワークから外れたエンドポイントであっても、環境内のすべてのエンドポイントに適切な CIS チェックリストを実装できます。これにより、BigFix は、企業レベルだけでなく、すべてのエンドポイントで継続的なコンプライアンスを維持できます。以下に、BigFix がどのようにしてそれを達成するかを示します。
脆弱性評価
BigFix には、CIS ベンチマークを含む数千もの事前設定済みのすぐに使えるチェックが含まれています。チェックが管理されているエンドポイントに適用されると、エンドポイントのコンプライアンス状態を可視化できます。BigFix は、エンドポイントのコンプライアンス状態を継続的に評価し、その状態を BigFix サーバに報告するインテリジェントなエージェントを利用して、環境の脆弱性の可視性を提供します。
脆弱性の修復
すべてのエンドポイントにすべてのパッチを適用することで、すべての脆弱性が確実に対処されていることを確認するというのは、簡単な解決策のように思えるかもしれません。問題は、エンドポイントが脆弱性を抱えているかどうかがわからなければ、それがいつ、あるいはいつ修正されるかわからないということです。それは、薬が対処してくれる症状が出たときのために、必要のない薬を毎日飲んでいるようなものです。第二に、パッチのインストールの中には、その内容が適用されない場合に失敗するものがあります。パッチが適用できなかったから失敗したのか、それとも他の理由で失敗したのか?さらに、パッチや設定の中には、適用できなくても適用できるものがあり、何かを壊す可能性があります。幸いなことに、パッチや関連性や適用可能性の条件は BigFix のコンテンツに組み込まれているため、必要な場所にのみパッチがインストールされることを保証します。
組織は、脆弱性評価と脆弱性修正のために異なるツールを使用する可能性がありますが、BigFix にこれら2つの機能を統合することで、企業全体の脆弱性管理を合理化し、ITセキュリティーチームと運用チームの両方の労力を削減することができます。
継続的な実施
脆弱性を特定して修復した後、組織はコンプライアンスを維持するために、その状態を維持することを保証しなければなりません。評価と修復プロセスを達成するために脆弱性のスキャンとレポートを繰り返す必要がある他のツールとは異なり、BigFix はエンフォースメントを統合しているため、エンドポイントが継続的にコンプライアンスを遵守することができます。
BigFix エージェントは、管理されているエンドポイントのバックグラウンドで継続的に実行され、パッチの状態や構成設定 ( CIS チェックリストに記載されているような設定) を分析します。設定が指定したものと異なる場合は、システム上の設定を指定した値に変更します。構成が設定されるかパッチが適用されると、BigFix はシステムを監視して、その構成項目の値が変わらないことを確認します。また、何らかの理由で設定が変更された場合は、BigFix がチェックリストで指定した設定に戻します。
BigFix コンプライアンスは、可視性、レスポンス、およびエンフォースメントを統合
市場には、1つ以上の関連するITプロセスをサポートするコンプライアンス管理製品が数多く存在します。BigFix は、可視性、対応、実施を提供する唯一のソリューションであり、継続的なコンプライアンスの特定、修正、維持を可能にします。BigFix は、環境に対する継続的な可視性を提供するソリューションであり、組織は脆弱性を発見するだけでなく、脆弱性に対応することができます。また、同様に重要なこととして、BigFix を使用することで、組織はどこにいても、すべてのエンドポイントで継続的なコンプライアンスを維持できます。
エンドポイントのパッチ適用とコンプライアンスの維持についての詳細は、www.BigFix.com をご覧ください。
(1) Jackson, W. (2011, August 16). NIST offers tips on security configuration management. Retrieved from Government Computer News: https://gcn.com/articles/2011/08/16/nist-configuration-security-rules.aspx
(2) Johnson, A., Dempsey, K., Ross, R., Gupta, S., & Bailey, D. (2011 (Updated 10-10-2019)). NIST Special Publication 800-128: Guide for Security-Focused Configuration Management of Information Systems. US Department of Commerce.
(3) Bragdon, B. (2020, April 1). Pandemic impact report: Security leaders weigh in. Retrieved from CSO: https://www.csoonline.com/article/3535195/pandemic-impact-report-security-leaders-weigh-in.html