米政府機関と専門団体が集まって新しいセキュリティ監査ガイドラインConsensus Audit Guidelines (CAG)を作成。
Feds forge gold standard for cybersecurity • The Register
政府機関としてはNSA、DHS, US-CERT, DoD, DoE, Office of CISO, Air Force, Armyなど、団体としてSANS等、リーダーはJohn Gilliganという人でAir ForceとDoEのCIOを務めオバマ政権移行チームでDoDのIT関連を担当した人、とのこと。
SANSのサイトにあるプレスリリース文PDF:
http://www.sans.org/cag/press_release.pdf
FISMAからの移行、CSIS Commission report on Cybersecurity for
the 44th Presidencyといった流れの一部の模様。
30日間パブリック・レビューの後、パイロット実装を政府機関数件で実施、そのあと各種レビューや普及活動。
仕様はここにある。
SANS Institute - Consensus Audit Guidelines
内容は、20件のコントロールをリストアップ。
最初の15件が自動的な計測と検証の対象となる重要なコントロール。
Critical Control 1: Inventory of authorized and unauthorized hardware.
Critical Control 2: Inventory of authorized and unauthorized software; enforcement of white lists of authorized software.
Critical Control 3: Secure configurations for hardware and software on laptops, workstations, and servers.
Critical Control 4: Secure configurations of network devices such as firewalls, routers, and switches.
Critical Control 5: Boundary Defense
Critical Control 6: Maintenance, Monitoring and Analysis of Complete Audit Logs
Critical Control 7: Application Software Security
Critical Control 8: Controlled Use of Administrative Privileges
Critical Control 9: Controlled Access Based On Need to Know
Critical Control 10: Continuous Vulnerability Testing and Remediation
Critical Control 11: Dormant Account Monitoring and Control
Critical Control 12: Anti-Malware Defenses
Critical Control 13: Limitation and Control of Ports, Protocols and Services
Critical Control 14: Wireless Device Control
Critical Control 15: Data Leakage Protection
プラス、自動的な手段の対象とはならないが重要なコントロール5件。
Critical Control 16: Secure Network Engineering
Critical Control 17: Red Team Exercises
Critical Control 18: Incident Response Capability
Critical Control 19: Data Recovery Capability
Critical Control 20: Security Skills Assessment and Appropriate Training To Fill Gaps
6番の監査ログ関連は内容が多くて、レベル1のQWとして
- ログ取得設定やログ形式の確認
- ログ用ストレージの確認
- 日常発生するイベントのプロファイル把握による異常検知と過剰アラート抑止
- リモートアクセスに関しては詳細なログ取得
- OSレベルのアクセスログ
- 隔週で異常レポートのレビュー
の6点、これが必須レベルということか。
次のレベルVis/Attribも6点。
- 時刻合わせ
- 境界機器(ファイアウォールやIPS)では全トラフィックを記録
- DNSサーバーでは全リクエストとレスポンスを記録
- ログは書き込み専用機器か専用サーバーに記録
- SEIMの導入、syslogと脆弱性スキャンの相関分析
- 監査ログの分析プログラムを毎日実行
3番目のレベルConfig/Hygieneは2点。
- テスト用イベントの挿入による監査ログ分析体制の定期的なテスト
- 監査ログ内容の定期的なテスト
なかなか厳しい。
7番のアプリケーションソフトウェアのセキュリティは、QWが2点。
- ソースコードのテスト、特に入力検査と出力エンコーディング
- スキャナによるテスト、最低週1回プラス変更のたびに
Vis/Attribは無くて、Config/Hygieneが2点
- 全アプリで開発ライフサイクルにセキュリティが組み込まれていること
- WAFの導入、Webベースでなければ専用アプリケーションFW
これも、週1スキャンが必須レベルになっている。
Leave a comment