ナショナルCSIRTの能力を改善するための「CSIRT成熟度フレームワーク」、新バージョンで更新された内容は?【海外セキュリティ】

INTERNET Watch

ENISA、「CSIRT成熟度フレームワーク」を更新

 欧州ネットワーク情報セキュリティ機関(ENISA:The European Union Agency for Cybersecurity)は、ナショナルCSIRTの能力(capacity)を改善するための「CSIRT成熟度フレームワーク(maturity framework)」の新バージョンを公開しました。「ナショナルCSIRT」とは、国や地域の窓口として機能するCSIRTで、「国際連携CSIRT」と訳されることもあります。ちなみに、日本のナショナルCSIRTはJPCERT/CCと内閣サイバーセキュリティセンター(National center of Incident readiness and Strategy for Cybersecurity:NISC)です。

 ENISAの「CSIRT成熟度フレームワーク」は、Open CSIRT Foundation(以降、OCF)の「SIM3(Security Incident Management Maturity Model)」をベースに、ナショナルCSIRTに期待される成熟度をまとめたものです。なお、SIM3は2008年以来、ナショナルCSIRTに限らず、さまざまなCSIRTコミュニティで使用されています。そして、今回新しく公開されたフレームワークは、SIM3の次期バージョンSIM3v2としてリリースされる予定のもの(文書内ではSIM3v2iと表記、i=interim:暫定版)をベースにしています。

 なお、ENISAのフレームワークもSIM3も便宜上「CSIRTの成熟度」と称していますが、正確にはCSIRTそのものの成熟度ではなく、CSIRTを含めたインシデント対応体制全体の成熟度であることに注意が必要です。これはCSIRTごとに管轄や役割などが異なっているためです。また、SIM3については、ナショナルCSIRTに限らず、一般の企業や組織にも使えるものであり、全ての項目について「成熟」する必要はなく、それぞれのCSIRT(またはインシデント対応体制)ごとに必要とされるレベルを目指すための指標として使うべきものとなっています。

 現在、一般に公開されているSIM3v1(最終更新は2019年)と今回の新しいフレームワークで使われているSIM3v2iを比較すると以下のようになります。表の中でセルが薄い灰色の項目が更新されているものです。

  • O:Organization
  • H:Human
  • T:Tools
  • P:Processes

 項目そのものに大きな変更はありませんが、「intentionally left blank」として欠番扱いだったO-6が「Public Media Policy」として加えられています。また、「Resilient Phone」が「Resilient Voice Calls」、「Resilient E-Mail」が「Resilient Messaging」になっているなど、今の時代により即したものになっているのが特徴です。なお、「Public Media Policy」は報道機関との連携や広報活動全般についてのポリシーです。

 さらに、今回の新しいフレームワークではナショナルCSIRTに期待される成熟度のレベルが一部の項目で以前のフレームワークよりも高くなっています。例えばO(Organisation)の項目では以下のようになっています。

Parameter number Parameter Description Basic Intermediate Advanced
O-7 Service Level Description 3 3→4 3→4
O-8 Incident Classification 1→2 2→3 3
O-11 Security Policy 1→2 2→3 3→4

 これは前回のバージョンがリリースされてからの4年間でセキュリティインシデントを取り巻く状況が変化したことを反映しています。なお、各レベルは以下のように定義されています。

  • 0:利用不可/未定義/不明
  • 1:認識しているが文書化していない
  • 2:文書化しているが正式に採用またはレビューされていない
  • 3:文書化し、CSIRT責任者が承認済み
  • 4:CSIRTより上位のガバナンスレベルの権限で定期的に評価・レビューされている

 今回紹介したフレームワークはEU域内のナショナルCSIRTを対象としたものですが、そのベースとなるSIM3は一般の企業や組織のCSIRT(またはインシデント対応体制)にも使えるものです。2020年中のリリースが予定されていたSIM3v2は本稿執筆時点でまだ正式リリースされていませんが、すでにSIM3v1を使ったことがある場合は、一足先にSIM3v2を紹介した資料として、更新された項目の説明(Appendix C: Update of Three-Tier Maturity Approach and SIM3 Standard)だけでも目を通しておくことをお勧めします。

EUの全ての官民組織が最低限採用すべきサイバーセキュリティのベストプラクティス

 ENISAとCERT-EU(EU域内全体のCSIRT)は連名で、EU域内の全ての官民組織が採用すべきサイバーセキュリティのベストプラクティスを公開しました。

 今回の公開の背景として以下の3点が挙げられています。

  • 1.ランサムウェアは依然として主要な脅威であり、何百万もの組織を危険にさらしている。
  • 2.サイバー犯罪者は、自分たちの活動をマネタイズすることにますます意欲を燃やしている。
  • 3.重要インフラへの攻撃は爆発的に増加しており、他の経済分野や社会全体が危険にさらされる可能性がある。

 「Boosting your Organisation’s Cyber Resilience」と題した全5ページのPDF文書で、ベストプラクティスとして紹介されているのは以下の14項目です。なお、各項目の説明は省略または抜粋・要約となっていますので、詳細については必ず原文を参照してください。

1.リモートアクセス可能なサービスには多要素認証(MFA)を必須にする。

 SMSや音声通話を使用したワンタイムコードではなく、スマートカードやFIDO2 (Fast IDentity Online)セキュリティキーなどのフィッシング耐性のあるトークンの導入を推奨。

2.ユーザーがパスワードを再利用しないようにし、アプリケーション(例えばソーシャルメディアなど)でサポートされている場合は多要素認証(MFA)を使用するようユーザーに奨励する。

3.全てのソフトウェアを確実に最新にする。

 家庭内の個人用システム(例:コンピューター、スマートフォン、タブレット、テレビやゲーム機などのネット接続機器、家庭用ルーターなど)にも、できるだけ定期的にパッチを適用するよう、ユーザーに強く促すことを忘れないように。

4.第三者による社内ネットワークやシステムへのアクセスを厳重に管理する。

5.重要なものをクラウドに移行する前にクラウド環境の堅牢化に注意を払う。

6.データのバックアップ戦略を見直し、いわゆる「3-2-1ルール」のアプローチを採用する。

 3-2-1ルール(https://www.enisa.europa.eu/securesme/cyber-tips/strengthen-technical-measures/secure-backups

 3:重要なファイルは3部コピーしておく。

 2:異なるリスクから保護するために、それらのコピーを2つの異なる記憶媒体に保存する。

 1:中小企業のコアICT環境以外の場所、つまり遠隔地やクラウドに、少なくとも1つのオフサイト・バックアップを用意する。

7.デフォルトの認証情報を全て変更し、多要素認証に対応していないプロトコルや弱い認証(例:平文パスワード、時代遅れで脆弱な認証・暗号化プロトコル)を使用するプロトコルを無効化する。

8.アクセスを制限するためにネットワークの適切なセグメンテーションと制限を採用し、アクセスを決定する際に追加の属性(デバイス情報、環境、アクセス経路など)を活用する。

9.定期的なトレーニングを実施し、ITおよびシステム管理者が組織のセキュリティポリシーと関連手順を確実に理解するようにする。

 システム管理者用ツールの誤使用を注意深く監視することで、攻撃者がネットワークに侵入して横方向に移動するのを防ぐことができる。

10.アンチスパムフィルタリングを有効にし、悪意のあるメールがメールボックスに到達するのを防ぐように設計された実地試験済みのポリシーとプレイブックに自動的に従うように設定されたセキュアメールゲートウェイを追加して、レジリエント(resilient:弾力性や回復力のある)なメールセキュリティ環境を構築する。

11.サイバー啓発イベントを定期的に開催し、一般的なフィッシング手法(例:なりすまし/不審なメッセージ)やフィッシング攻撃の影響についてユーザーを教育する。

12.Web資産をサービス妨害攻撃から保護する。

 CDN(Content Delivery Network)を利用することで、Web資産を複数のサーバーに分散させたり、クラウドプラットフォームの持つ高可用性機能を利用したりすることができる。

13.めったに再起動しないサーバーやその他のデバイスに対するインターネットアクセスをブロックまたは厳しく制限する。

 これらは脅威者がバックドアを設置したり、コマンド&コントロール(C2)インフラへの持続的なビーコンを作成したりするために欲しがるものだからである。

14.自組織のCSIRTと連絡を取って迅速にコミュニケーションする手順を確認する。

 EU域内の企業や組織を対象としたものですが、その内容は極めて普遍的なもので、日本国内の企業や組織にも適用できるものになっています。うまく活用してください。

Source