見出し画像

第50話 セキュリティ対策も定期的に棚卸しが重要

吉田 晋 情報処理安全確保支援士(登録025036号)


時間とともに安全性が低下する

CISセキュリティ管理12章はネットワークインフラ管理だ。

ネットワーク・セキュリティは常に変化し続ける環境であるため、アーキテクチャ図、設定、アクセス制御、許可されたトラフィックフローを定期的に再評価する必要があるのです。攻撃者は、ネットワーク・デバイスの設定が以下のように変化していることを利用しています。
また、ビジネス上の必要性に応じてユーザーが例外を要求するため、時間の経過とともに安全性が低下します。例外措置は導入されたものの、ビジネスニーズに合わなくなったときに削除されないこともあります。例外のセキュリティリスクは、関連するビジネスニーズに対して適切に分析も測定もされておらず、時間の経過とともに変化してしまうケースもあります。

CIS Controls 12 Network Infrastructure Management

ゼロトラストFTAなどを利用してセキュリティ対策を施したとしても、定期的に「棚卸し」をすることは必要である。
それは、運用の中で「例外」「想定外」などの脆弱性が発生する可能性があるからだ。
本記事では「棚卸しチェック内容」について解説する。

棚卸しで確認すべき内容

ゼロトラストFTAでは、対策すべきネットワークの脆弱性は下記3点である。

なりすまし攻撃対策
この対策は多要素認証が効果的である。少なくとも下記3項目については対要素認証を導入するべきである。

SaaS(クラウドサービス):ログイン画面が世界中に知られているSaaSについてはIDとパスワードだけのログインは多要素認証が必要である。
VPN接続:社内ネットワークに侵入できるVPNもまたIDとパスワードだけの認証は危険である。
管理者権限:クラウドにしろオンプレにしろ管理者アカウントは乗っ取られると被害は大きい。このためどのサーバ・サービスであっても、IDとパスワード以外の要素(管理者のパソコンのクライアント証明書やネットワークなど)が強く推奨される。

脆弱性攻撃対策
速やかなセキュリティパッチの適用は必須である。
ソフトウェアであればIPAが提供する「重要なセキュリティ情報」は最低限必要だ。
ハードウェアであればメーカーが提供するパッチは必須。もしパッチの提供が終了した機器であれば、新しい機器に交換が必要だ。

マルウェア攻撃対策
社内ネットワークに接続する端末は(VPNを含み)全てシステム管理者が管理するマルウェア対策が施されていなければならない。そのマルウェア対策は少なくとも下記対策(第一防御)である。
・最新セキュリティパッチの適用
・アンチウイルスソフトの最新定義ファイルの適用

セキュリティ対策の棚卸しはこれらの対策が、破られていないかをゼロトラストの視点でチェックする作業となる。
ゼロトラストの視点とは「暗黙の信頼性に依存しないこと=信用しないこと」である。

チェックリスト

具体的なチェック項目は下記内容を参考にして欲しい。

なりすまし攻撃対策チェックリスト
□ 多要素認証が回避されるアカウントが作られてないか
□ 多要素認証を導入していないサービスが追加されてないか

脆弱性攻撃対策チェックリスト
□ 更新されていない重大セキュリティパッチがないか

マルウェア攻撃対策チェックリスト
□ 管理されていない(マルウェア対策が保証されていない)端末が社内LANやVPNに参加可能になっていないか。(LANやVPNの認証仕様の変更など)
□ あるいはすでに参加していないか。(ツールなどを使ってチェック)
□ そしてログをチェック(ADとFWとプロキシなど)

まとめ

定期的にゼロトラストFTAセキュリティ対策が維持されていることを確認することは重要。

この記事が気に入ったらサポートをしてみませんか?