第57話 CIS Controlsを採用する時に

脆弱性対策と運用ルール

CIS Controlsを１８回に渡って考察してきた。この１８回のテーマは大きく分けると「脆弱性対策」と「運用維持」２つのトピックスに分けられることがわかる。

脆弱性対策
CC01組織の資産のインベントリと管理
CC02ソフトウェア資産のインベントリと管理
CC06アクセス制御管理
CC09電子メールとWebブラウザの保護
CC10マルウェア防御
CC12ネットワークインフラストラクチャ管理
CC15サービスプロバイダーの管理
CC16アプリケーションソフトウェアセキュリティ

運用維持
CC03データ保護
CC04組織の資産とソフトウェアの安全な構成
CC05アカウント管理
CC07継続的な脆弱性管理
CC11データ復旧
CC13ネットワークの監視と防御
CC14セキュリティ意識向上とスキルのトレーニング
CC17インシデントレスポンスと管理
CC18ペネトレーションテスト

ITセキュリティ日本とアメリカの違い

ゼロトラストFTAの分類と比較すると、まず
・盗難紛失
・誤操作ミス
の分野についての取り扱いが非常に希薄であることがわかる。
これは日米企業の風土文化の違いであると考えられる。

米国のセキュリティ考え方は「外部の攻撃者からの情報窃取を防ぐ」ということに重点が置かれている。
これか今回のCIS Controlsに限らず、米国のIT全般について言える。

日本社会では、社員が個人情報を紛失したり誤送信漏洩が発生した場合、それらの情報が悪用されることになるかは関係なく、事故が発生した時点で社会的責任が問われる。

この有無が米国の日本のITセキュリティの大きな差となる。

米国のセキュリティ基準や製品を導入する時は、脆弱性に対する防御については参考になる点は多いが、個人情報における紛失や誤送信は日本社会においては企業はより大きな責任を負っていることを忘れてはならない。

対応が難しいものはとりあえず「運用ルール」で？

次にCIS Controlsは運用ルールに関するテーマが多い。
もちろんセキュリティレベルを維持するには、適切な運用ルールが必要であるのは間違いない。

しかし企業の中には、実施するセキュリティ対策について、リスクが高いインシデント対策からではなく、導入しやすい対策から実施するケースも少なくないだろう。

その場合、システムで対策しづらいインシデントについては、「運用ルールで対応」という伝家の宝刀を使用する。

しかし最も対策が必要なのは
・リスクが高くて
・対策がしづらい
領域であり、ここが企業の「セキュリティホール」となっている。

社員がルールを守ることを当てにしない

セキュリティ対策で「運用ルール」を適用する場合には原則が２つある。

原則１　ユーザの運用ルールによる防御率は５０％で計算する

ゼロトラストとは「暗黙の信頼に依存しない」というコンセプトのことだ。社員に対しても「ルールは守るはずだ」というのが暗黙の信頼である。

運用ルールによるセキュリティ防御率は良くて５０％と見ることをお勧めするのは、ルールを守ろうとする善意の人でもミスは必ずあるからである。
ましてや、業務ノルマが厳しい部署で、ルール遵守がノルマと相反する場合は、もっと低くなるであろう。

このように「システムで防げないからルールで守る」という発想はまるきり逆であり、「防御率が５０％でも充分有効である」場合に、運用ルールによるセキュリティ対策が有効となる。

ルール実行者と監査する人間は別にする

原則２　システム管理者の運用ルールは監査する人が別に必要

定期的な脆弱性の監査など、システム管理者が行う運用ルールなど、システムに完全に置き換えるのが難しいものが多い。
その場合は、実際にそのルールを実行するものと、それをチェックする人間は、別に割り当てることが重要である。

もし別に監査担当を設置しない場合は、原則１と同様に、ルールの実施率（防御率）は５０％として計算し、目標とするセキュリティレベルが維持されるかを検証する必要がある。

その企業が「必要最小限何をやらなければならないのか」を決定するのに、ゼロトラストFTAを役立てて欲しい。

まとめ

CIS Controlsを自社に取り入れるときに考慮にいれるべきこと。
・日本国内では情報の紛失や盗難も同様のセキュリティレベルが必要
・運用ルールの導入は下記２原則を考慮すること。
　原則１　ユーザのルール防御率は５０％として計算すること。
　原則２　システム管理者のルール運用には別に監査する人間が必要。

【2021年版】ゼロトラストFTAガイドブック（無料）はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願っています。