CIS Control 07:脆弱性管理を継続して成功させるには?

CIS Control 07: Continuous Vulnerability Management

2021/10/06 StateOfSecurity — サイバー・セキュリティにおける脆弱性管理は、資産を保護するために重要な役割を果たす、従来からのテクノロジーのひとつだ。そして、適切な脆弱性管理プログラムは、一連のデータ漏洩を回避する上で重要な役割を果たしている。CIS (Center for Internet Security) Control 07 は、成功する脆弱性管理プログラムを確立するための、最低限の必要条件を提供していく。

CIS Control 07 の主なポイント

CIS Control 07 の核心は、NIST や MITRE などの組織が提供する、これまでの標準への信頼にある。それは、サイバー・セキュリティの分野にいる者たちが、何年も前から耳にしてきた用語のことでもある。したがって、CVE/CVSS/SCAP/OVAL (Open Vulnerability and Assessment Language) などのキーワードが、このドキュメントの随所に出てくるが、それらが脆弱性管理プログラムの、すべてではないことに注意することも重要だ。この文書では、CVSS のようないくつかのシステムは、追加のデータにより補強されるべきだと述べている。この点が、継続的な脆弱性管理を計画する際に、考慮すべき重要な注意点となる。

CIS Control 07 から得られる最大のメリットは、対象となる脆弱性にパッチが当てられれば、その脆弱性を悪用することが出来なくなるということだ。脆弱性管理プログラムのプロセスが重要であり、継続的なサイクルになる理由である。

・脆弱性の発見
・脆弱性の優先順位付け
・脆弱性を解決する
・繰り返す

この CIS Control 07 は、脆弱性管理から取り除くべきものも思い出させてくれる。脆弱性管理は、ゼロデイ脆弱性に対応するための、反応的なプロセスであってはならない。そのような脆弱性を軽減するためには、別の方式がある。むしろ、この CIS Control 07 は、多くの組織が忘れがちな、環境内の既知のリスクを低減することに焦点を当てている。

CIS Control 07 のセーフガード

1: 脆弱性管理プロセスの確立と維持

Description: 企業資産の脆弱性管理プロセスを、文書化することで維持していく。この文書の見直しと更新は年次で行われるべきだが、このセーフガードに影響を与える可能性のある、企業にとっての重大な変更が発生したときにも見直/更新される。

Notes: この保護措置に関連する、セキュリティの機能は「保護」である。このプロセスは、循環的なプロセスの概念を重要視して、最初から最後までのプロセスを詳細に記述する必要がある。脆弱性管理は、一度きりのプロセスではなく、また、設定して終わりのプロセスでもない。アスリートが毎日のジムで行うように、定められた手順が反復されるべきであり、結果をもたらす正しい組み合わせが見つけられるべきである。

2: 修復プロセスの確立と維持

Description: リスクに応じた改善戦略を確立し、改善プロセスを文書化し、毎月、またはそれ以上の頻度でレビューを行う。

Notes: この保護措置に関連するセキュリティ機能は「応答」である。修正プロセスは、脆弱性管理プロセスの下位にありサ、発見された脆弱性を実際に修正する方式に焦点を当てる。ここでは、組織に適した優先順位付けシステムを開発し、組織のリスクに影響を与える可能性のある、すべての外部データに対して考慮することが重要になる。

3: オペレーティングシ・ステムのパッチ管理を自動化する

Description: 自動化されたパッチ・マネージメントにより、企業資産のオペレーティング・システムの更新を、毎月またはそれ以上の頻度で行うこと。

Notes: この保護措置に関連するセキュリティ機能は「保護」である。パッチ管理が脆弱性管理の下位にあることを、管理者が明示することが重要である。多くの場合、これらのプロセスは同じものと考えられていますが、そうではない。パッチ管理とは、脆弱性を解決するかどうかに関わらず、パッチを配布することであり、脆弱性管理とは、脆弱性を解決し、全体的なリスクを低減することである。セキュリティ・パッチには、パッチ適用後の設定が必要となるが、パッチ管理ソフトウェアでは、その設定が疎かになることが多い。したがって、継続的な脆弱性管理プログラムにより、そのような設定漏れを発見していくべきである。

4: アプリケーションのパッチ管理を自動化する

Description: 自動化されたパッチ・マネージメントにより、企業資産のアプリケーションの更新を、毎月またはそれ以上の頻度で実施すること。

Notes: このセーフガードに関連する、セキュリティ機能は「保護」である。これはセーフガード3と同じであるが、システムにインストールされているアプリケーションの数が非常に多いため、アプリケーションにおける攻撃対象領域は、 OS の攻撃対象領域よりも、はるかに広いケースが大半であるという点を考慮する必要がある。

5: 企業内資産に対する自動脆弱性スキャンの実施

Description: 四半期ごとに、またはそれ以上の頻度で、企業内の資産に対する自動脆弱性スキャンを実施する。SCAP (Security Content Automation Protocol) に準拠した脆弱性スキャン・ツールを使用して、認証済みスキャンと、未認証スキャンの両方を実施する。

Notes: この保護措置に関連する、セキュリティ機能は「識別」である。これは、CIS Control が曲解されやすい部分でもある。標準は良いものだが、SCAP 準拠とはスキャンツールの価値を示すものではなく、単に特定の標準に準拠していることを意味する。スキャン・ツールを検討する際には、カバーする範囲と深さ、および、偽陽性率と偽陰性率を考慮する必要がある。さらに、ツールがカバーする範囲のアップデートの、リリース頻度についても理解しておく必要がある。

6: 外部に公開されている企業資産に対する自動脆弱性スキャンの実施

Description: SCAP に準拠した脆弱性スキャン・ツールを用いて、外部に公開されている企業資産に対して、自動脆弱性スキャンを実施すること。スキャンは月1回またはそれ以上の頻度で実施すること。

Notes: この保護措置に関連するセキュリティ機能は「識別」である。複雑さを軽減し、確実に導入するための良い一般的なルールは、内部および外部に開示される資産において、同じスキャン・ツールを使用することである。

7: 検出された脆弱性の修正

Description: 検出されたソフトウェアの脆弱性を、修正プロセスに基づき、月次またはそれ以上の頻度で、プロセスやツールを用いて修正すること。

Notes: この保護策に関連する、セキュリティ機能は「応答」である。修正は、プロセスにおける重要な側面である。修正の目的は、パッチなどの手段によりリスクを軽減するものだ。もし、修復のステップを怠る場合や、修復結果に適切な優先順位をつけられない場合には、システム全体が危険にさらされる。継続的な脆弱性管理プロセスは、簡単に崩壊してしまうものだが、修正を怠らないことで、ひ弱な構造に安定性を与えることができる。

このガイドをダウンロードして、簡潔で効果的なセキュリティ管理によるフレームワークを構築し、既知のサイバー攻撃ベクターから、組織とデータを保護してほしい。

READ MORE ABOUT THE 18 CIS CONTROLS HERE:

CIS Control 1: Inventory and Control of Enterprise Assets
CIS Control 2: Inventory and Control of Software Assets
CIS Control 3: Data Protection
CIS Control 4: Secure Configuration of Enterprise Assets and Software
CIS Control 5: Account Management
CIS Control 6: Access Control Management
CIS Control 7: Continuous Vulnerability Management

この CIS Critical Security Controls の資料は、脆弱性管理を明確に定義してくれるので、とても有り難いですね。その中でも、「パッチ管理が脆弱性管理の下位にある。パッチ管理とは、脆弱性を解決するかどうかに関わらず、パッチを配布することであり、脆弱性管理とは、脆弱性を解決し、全体的なリスクを低減することである」という部分により、いまの立ち位置を確認できる組織も、多いのではないかと思います。また、回避策を適用することも重要です。そして、大事なのは持続性ですね。

%d bloggers like this: