グローバルなセキュリティ基準でセキュリティ状況を改善した話 - デバイス管理編

セキュリティをやり始めた頃に何を優先して実行し、何をやらないかの設定に難儀していました。いわゆる経営戦略やリスクアセスメントの結果から、セキュリティ戦略をつくって、という正道を行こうとしたのです。

しかしながらこれは多くのリソースが必要で、自社のフェーズ的に求められているのは具体的な対策、ということで諦めました。

そこで代替策としてCIS Controlsというグローバルなセキュリティ基準をベースに現状の状態と比較してできていないセキュリティ対策をやっていこうと思いました。

今回はそのCIS Controlsのうち、Controls1 企業資産のインベントリとコントロールを整備したのでその方法になります。

CIS Control 1: Inventory and Control of Enterprise Assets

Control1で求められているのは5つのセーフガードのうち、2つのみです（IG1というCIS Controlsの中でもさらに最低限やるべきこと）

• 1.1: Establish and Maintain Detailed Enterprise Asset Inventory

• 1.2: Address Unauthorized Assets

内容

これはデータを保存または処理する可能性のあるすべての企業資産の正確で詳細な最新のインベントリーを確立し、維持するという内容です。また不正な資産が見つかったときのプロセスを定義することも含まれます。

シンプルに言い表すと デバイスの一覧を作成し最新の状態を維持する ということです（IaaSのサーバも範囲なんだけどここでは割愛）

全体の流れ

1. 承認済みのデバイス一覧（一般的には管理台帳）を日々、維持する

2. スキャンして検出したデバイスの一覧（スキャンリストと命名）を作成する

3. 管理台帳とスキャンリストをマッチングさせる

4. 行方不明なデバイス、不正なデバイスが存在したら調査する

5. 調査結果を元に台帳更新など対応する

ここでの目的は下記の2つです

1. 台帳上のハードウェアが存在するか（承認済みデバイスの追跡）

2. 台帳に存在しないハードウェアがあるか（不正なデバイスの確認）

注意ポイント

ポイントは スキャンして検出したデバイスの一覧の作成 です。いかにしてシュッと台帳にすら載っていないデバイスも含めて一覧を作成するのか、で要する時間が大きく変化します。

今回はMDM、ネットワークスキャン、目視の3つの手法をかけ合わせることにしました。MDMでは主に承認済みデバイスがわかり、ネットワークスキャンでは主に不正なデバイスを洗い出し、目視ではネットワークにすらつながっていないデバイスを洗い出すことにしています。

MDMはAPIでデータを引っ張り、ネットワークスキャンは作成したこのスクリプトで取得し、目視は頑張るｗ

今回ルールや仕組みを作りにあたってお試しでやってみたのですが、目視は辛いです。よってできるだけ使ってないデバイスを減らしたり（廃棄）、バーコードスキャンで一覧化できるような仕組みがあってもいいなぁと思ってます。

セキュリティ基準をベースに対策するには

このような世の中の基準をベースに対策を行うと過剰な場合があります。今の運用体制では回らない、つらいというケースです。
そのような場合は、自社の状況に応じてカスタマイズすることをおすすめします。

基準だからといってそのまま素直に適用する必要はないと思っています。

CIS Controlsは攻撃をベースに考えられた基準であるため実効性があり、かつ最低限重要なものにフォーカスしています。よってCIS Controlsをベースにセキュリティを考えていくのは個人的にオススメです。

参考URL

CIS Controlsとは？5分で分かる全体像とv8の改訂ポイント
セキュリティ業務の自動化におすすめなガイドライン「CIS Controls」とは？
CIS Controls Assessment Specification