[2022年最新版] サイバー攻撃監視はカンタンに自動化できないのか? 専門知識不要、コスト不要の徹底自動化ガイド
「なぜサイバー攻撃に気づけないないのか」という基礎から、「自動検知するための具体的な仕組みづくり」まで。ログ管理の観点から、効率的なサイバーセキュリティ対策をご紹介します。
[2022年最新版] サイバー攻撃監視はカンタンに自動化できないのか? 専門知識不要、コスト不要の徹底自動化ガイド
資料をメールで受け取る

あなたの困り事は誰かが解決している! あなたの知らないセキュリティ関連ドキュメントの世界【第3回】

セキュリティ対策というと難しく考えがちですが、イチから自分で考えなくても先人たちの知恵の結晶とも言える資料が世の中にはたくさんあります。
もちろん国内にもいろいろありますが、海外にも目を向けてみるとさまざまな有用なセキュリティ関連のドキュメントや資料があります。そんな中から私が普段の業務でお世話になっているものを紹介したいと思います。

第3回 セキュリティのベストプラクティス集 『CIS Benchmarks』

CIS Benchmarksとは

[CIS(The Center for Internet Security, Inc.)]はサイバー攻撃から守るために役立つベストプラクティス・ソリューションを開発することを目的に、2000年にアメリカで設立された非営利団体です。 CISは情報システムコントロール協会(ISACA)や米国公認会計士協会(AICPA)、公認内部監査人(IIA)、国際情報システムセキュリティ認証コンソーシアム(ISC2)、SANS研究所などが創設に関わっています。

CISが提供している『CIS Benchmarks』はシステムを安全に構成するためのベストプラクティスです。Windows、LinuxなどのOS、ネットワーク機器、モバイル、データベース、アプリケーション、クラウドサービスなど、100を超える製品などの各種項目の設定方法や確認方法まで詳細に記載されています。

簡単な登録だけでPDF形式のドキュメントを無料でダウンロードすることができます。

 

主なドキュメントには下記があります。

  • Webブラウザー
    Apple Safari Browser, Google Chrome, Microsoft Internet Explorer, Mozilla Firefox Browser
  • モバイル機器
    Apple Mobile Platform iOS, Google Mobile Platform
  • ネットワーク機器
    Checkpoint Firewall, Cisco Firewall Devices, Cisco Routers/Switches IOS, Cisco Wireless LAN Controller, Juniper Routers/Switches JunOS
  • サーバーOS
    Amazon Linux, CentOS, Debian Linux Server, IBM AIX Server, Microsoft Windows Server, Oracle Linux , Red Hat Linux Server, Ubuntu LTS Server
  • サーバー
    Apache HTTP Server, Apache Tomcat Server, BIND DNS Server, Microsoft IIS Server, IBM DB2 Server, Microsoft Exchange, Microsoft SharePoint Server, Microsoft SQL Server, MySQL Database Server, Oracle Database Server
  • 仮想デスクトップ、クラウド
    AWS, Docker, Kubernetes, VMware Server, Xen Server
  • その他
    Microsoft Office

 

CIS Benchmarksでは、利用者が求めるレベルに応じて複数の構成プロファイルが提供されています。

  • レベル1プロファイル:ビジネスに必要な機能を妨げないようにしつつ、迅速に実装できてパフォーマンスに大きな影響を与えない基本的な推奨事項
  • レベル2プロファイル:セキュリティが最優先される環境を対象にした推奨事項

CIS Benchmarks の内容を紹介

CIS Benchmarks の内容はかなり具体的で、設定する項目やその説明、設定方法や設定の確認方法、設定が必要な根拠や影響まで記載されています。
たとえば『Apache HTTP Server 2.4』のCIS Benchmarksの目次をみてみると下記の項目が記載されています。

  1. インストールと計画
  2. Apacheモジュールを最小限にする
  3. 原則とパーミッションと所有権について
  4. アクセスコントロール
  5. 機能、コンテンツ、オプションを最小限にする
  6. 運用 - ログ、モニタリング、メンテナンス
  7. SSL/TLS構成
  8. 情報漏えいに関する設定
  9. DoS攻撃対策
  10. リクエスト上限
  11. SELinuxを利用したApacheプロセス制限
  12. AppArmorを利用したApacheプロセス制限

 

どのような内容が書かれているか、この中から1項目紹介します。

5.8 HTTP TRACE メソッドが無効になっていることを確認する

プロファイルの適用範囲(Profile Applicability)

レベル1、レベル2

説明(Description)

Apache TraceEnable ディレクティブを使用して、HTTP TRACE リクエストメソッドを無効にします。

理由は以下の通り(Rationale)

HTTP 1.1 プロトコルでは、リクエストをレスポンスとして返すTRACE リクエストメソッドのサポートが必要です。TRACEメソッドは必要とされておらず、悪用されやすいため無効にすべきです。

確認方法(Audit)

推奨される状態が設定されているかどうかを判断するために、以下を実施してください。

  1. Apacheの設定ファイルを探す。
  2. 値が off に設定された TraceEnable ディレクティブが 1 つだけあることを確認する。

是正措置(Remediation)

推奨される状態にするために、以下の作業を行ってください。

  1. httpd.confのようなメインのApache設定ファイルを探します。
  2. サーバーレベルの設定に、TraceEnable ディレクティブを off の値で追加します。
    サーバーレベルの設定とは、最上位の設定のことで、<Directory> や <Directory> のような他のディレクティブの中に入れ子になっているものではありません。<Directory> や <Location> のような他のディレクティブの中に入れ子になっていない最上位の設定です。

デフォルト値(Default Value)

TRACEメソッドは enabled(有効)です。

参考文献(References)

  1. https://httpd.apache.org/docs/2.4/mod/core.html#traceenable
  2. https://www.ietf.org/rfc/rfc2616.txt

CIS Controls

  • バージョン6
    9.1 オープンポート、プロトコル、サービスの制限
    各システムでは、ビジネス上の必要性が確認されたポート、プロトコル、サービスのみが実行されていることを確認する。
  • バージョン7
    9.2 承認されたポート、プロトコル、サービスのみが実行されていることを確認
    システム上でビジネス上の必要性が確認されているネットワークポート、プロトコル、サービスのみが各システム上で実行されていることを確認する。

システムがCIS Benchmarksに準拠しているか確認する方法

CIS Benchmarksに記載されている項目はどれも有用ですが、設定や確認が必要な項目数は膨大で、先に紹介した『Apache HTTP Server 2.4』は213ページもある長大なドキュメントです。そして、CIS Benchmarksは割と頻繁に更新されるので、すべての項目が適切に設定されているかを確認するのは容易ではありません。

 

CIS Benchmarksの各プロファイルに対応したツールなどを使って効率的に確認するのが良いでしょう。

CISでは「CIS-CAT Lite」というCIS Benchmarksに準拠しているかチェックするツールが提供されています。有償版のProと、無償版のLiteがあります。Liteはお試し版的な位置付けで対応するプロファイルは限られています。

 

[OpenSCAP]などのシステム構成をチェックするツールや[Nessus]などの脆弱性診断ツールで、CIS Benchmarksに対応したプロファイルを持っているものを利用するのも良いでしょう。

 

CIS Benchmarksをうまく活用することで、皆さまのシステムがセキュアな設定になることを願います。

上野宣(うえの せん)
上野宣(うえの せん)

奈良先端科学技術大学院大学で山口英教授の元で情報セキュリティを専攻、2006年にサイバーセキュリティ専門会社の株式会社トライコーダを設立

OWASP Japan 代表、情報処理安全確保支援士 集合講習講師 カリキュラム検討委員会、一般社団法人セキュリティ・キャンプ協議会GM、情報セキュリティ専門誌 ScanNetSecurity 編集長、Hardening Project 実行委員、JNSA ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー、SECCON 実行委員、東京2020オリンピック・パラリンピック競技大会向けサイバー攻撃・防御演習 NICT サイバーコロッセオ 推進委員、NICT 実戦的サイバー防御演習 CYDER 推進委員、第16回「情報セキュリティ文化賞」受賞、(ISC)² 第11回アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA) 受賞

主な著書に『Webセキュリティ担当者のための脆弱性診断スタートガイド – 上野宣が教える情報漏えいを防ぐ技術』、『HTTPの教科書』、『めんどうくさいWebセキュリティ』、『今夜わかるシリーズ(TCP/IP, HTTP, メール) 』など他多数

ホワイトペーパー

[2022年最新版] サイバー攻撃監視はカンタンに自動化できないのか?

専門知識不要、コスト不要の徹底自動化ガイド

「なぜサイバー攻撃に気づけないないのか」という基礎から、「自動検知するための具体的な仕組みづくり」まで。ログ管理の観点から、効率的なサイバーセキュリティ対策をご紹介します。

こんな方におすすめ!

  • 1

    標的型攻撃の
    手法・対策を
    知りたい

  • 2

    セキュリティ運用
    の自動化メソッド
    を知りたい

  • 3

    サイバーセキュリティ
    対策にログを
    活用したい