イルミオをCISトップ20にマッピングする

ここ数週間、イルミオがインターネットセキュリティセンター(CIS)セキュリティコントロールイニシアチブの実現にどのように役立つかを理解したい企業からの問い合わせが増加していることが観察されました。CIS Top 20 Controls Guidelines は広く採用されており、10 年以上前から存在しており、 最新バージョン (7.1) は 2019 年 4 月にリリースされたため、この傾向に興味をそそられました。私たちはこれらの企業に、イルミオに対する動機と関心について話を聞き、多くのことを学びました。

これらの組織のほとんどは、CISのベストプラクティスガイドラインをしばらく前から使用してきましたが、リモートワークの運用モデルへの急速な移行とサイバー 攻撃の増加 の報告により、制御とツールの再評価を余儀なくされています。2020年4月のCSO調査では、回答者の26%が3月中旬以降、サイバー攻撃の量、重大度、範囲が増加していると感じていることがわかりました。これらの企業の中には、パブリッククラウドへの移行を続け、データセンター内の仮想化フットプリントを拡大している企業もあります。彼らは皆、セキュリティ制御のギャップをよりよく理解し、テクノロジーを実現したいと考えています。

これを念頭に置いて、イルミオがCISトップ20コントロールをどのようにサポートしているかについての概要を次に示します。

CIS Top 20 Critical Security Controls の概要

まず、 CIS トップ 20 の重要なセキュリティ制御について簡単に説明しましょう。コントロールは当初、NSAのレッドチームとブルーチーム、米国エネルギー省の原子力研究所、法執行機関、および国内トップクラスのフォレンジックおよびインシデント対応組織によって作成されました。

これらのコントロールは、主要な脅威レポートで強調されている最も一般的な 攻撃パターン から派生し、政府や業界の実務家の非常に幅広いコミュニティ全体で精査されています。これらは、商業および政府のフォレンジックおよびインシデント対応の専門家の知識を組み合わせたものです。

CIS トップ 20 のセキュリティ制御の実装と運用は、「一度で終わり」の作業ではありません。テクノロジー、脅威の状況、攻撃手法は常に進化しています。コントロールは毎年更新、検証、改良されます。これらはコンプライアンスプログラムに取って代わることを意図したものではなく、実際には NIST CSF などのフレームワークや PCI-DSS や HIPAAなどのコンプライアンス標準にマッピングされます。多くの企業では、CIS制御を情報セキュリティのベストプラクティスのベースラインとして使用し、コーナーケースに対処し、非常に具体的で規範的な要件を満たすためにそれを拡張しています。

イルミオをCISトップ20コントロールにマッピングする

ここでは、イルミオの機能がCISコントロールに直接対応またはサポートするのにどのように役立つかを紹介します。

基本的なコントロール

1. ハードウェア資産のインベントリと管理。Illumioは、アプリケーショングループに属するハードウェアサーバーコンポーネント、およびアプリケーションとの接続が許可されているサーバーとデバイスを識別および検証するために、リアルタイム アプリケーション依存関係マップ を使用して、この制御をサポートします。イルミオは、 NAC、資産検出、 ServiceNow CMDB 、サービスマッピングなどのサードパーティツールとのAPIベースの統合をサポートし、在庫を検証します。Illumioエージェントは、ベアメタル、VM、パブリッククラウドインスタンス、コンテナをサポートし、テレメトリ情報(IPアドレス、ポート、プロセス、プロトコル)を収集して、アプリケーションの依存関係マップを構築します。 

2. ソフトウェア資産のインベントリと管理。Illumioは、 アプリケーション依存関係マップ を使用して、アプリケーショングループに属するアプリケーションとワークロードコンポーネント、およびマルチクラウド、コンテナからサーバーへの接続、パブリッククラウドインスタンスとの接続など、接続が許可されているその他のソフトウェアスタックコンポーネントを識別できるようにすることで、この制御をサポートします。接続とフローに関する情報は、資産管理、CMDB、およびSCMツールによって管理されるソフトウェア・インベントリ情報を充実させます。イルミオのデフォルト拒否モデルは、事業運営に必要なリスクの高いアプリケーションを論理的に分離します。エージェントレスの可視性 (AWS RDS、Azure マネージド SQL、GCP フロー、ストレージ ファイラーなど、エージェントがサポートされていないシナリオでは、Flowlink 機能を使用して有効になります)。

3. 継続的な脆弱性管理。イルミオは、脆弱性スキャナーと統合し、脆弱性情報を取り込むことで、この制御をサポートします。この情報を使用して、 マルウェアの潜在的な横方向攻撃経路を視覚的に表示します。脆弱性エクスポージャー・スコアは、ビジネス中心のリスク計算を提供します。この情報を使用して、パッチ適用戦略に優先順位を付け、パッチ適用が運用上実行不可能なインスタンスにプロセスレベルのセグメンテーションを適用する機能を強化することができます。

4. 管理権限の使用の制御。イルミオは、主要なMFAソリューションと統合することで、この制御をサポートします。イルミオは、専用ワークステーションが分離され、最小限の権限が適用されるようにポリシーを監視および適用できます。VDI 環境では、ワークロード アプリケーションへの接続は、ユーザーの Microsoft グループ メンバーシップに基づいて制御されます。

5. モバイル デバイス、ラップトップ、ワークステーション、サーバー上のハードウェアとソフトウェアの安全な構成。イルミオは、すべてのトラフィックを可視化し、アプリケーション所有者が予期 しない ワークロードで使用されるポート/プロトコルを迅速に特定することで、SCMツールをサポートし、迅速に修復できるようにします。

6. 監査ログの保守、監視、分析。顧客がIllumioを使用して、内部データセンターとクラウド、ユーザー間、およびエンドポイントのピアツーピア接続をセグメント化している場合、Illumioはすべての接続とトラフィックフロー、イベント(許可、ブロック、ブロックされる可能性のあるトラフィック)、および関連するポリシー、ルール、およびイベントの履歴のログを維持します。認定されたオペレーターは、イルミオの履歴トラフィックデータベースを検索して、運用、インシデント対応と調査、レポートと監査を行うことができます。Illumioは、 Splunk、 IBM QRadar、ArcSightなどの主要なSIEMツールと統合して、レポート、調査、インシデント対応のために、膨大なログとイベントデータのセットをアーカイブ、検索、関連付けます。

基本的なコントロール

9. ネットワークポート、プロトコル、およびサービスの制限と制御。イルミオはこのコントロールに直接対応します。Illumioは、アプリケーションの接続に関する情報(ポート、プロセス、プロトコルを含む接続とトラフィックフローに関する詳細な履歴接続)を使用して、該当するファイアウォールルールを最初に推奨します。イルミオにはデフォルト拒否モデルがあるため、コンプライアンス違反の接続をブロックしたり、ブロックしたりする可能性があります。

11. ファイアウォール、ルーター、スイッチなどのネットワーク デバイスの安全な構成。イルミオはこのコントロールに直接対応します。イルミオは、トラフィックとイベントログに関する詳細な履歴情報とリアルタイム情報を保持して、ネットワークデバイス、特に東西ファイアウォールが本来あるべきことを行っており、ファイアウォールポリシーで禁止すべきトラフィックを許可していないことを検証します。ユーザーは、IP 拒否リスト を作成して、既知の悪意のあるインターネット IP アドレスや未使用のインターネット IP アドレスとの通信をブロックできます。ユーザーは、接続をプログラムして、ワークロードを特定のポート、プロセス、およびプロトコルへのワークロード接続に制限できます。Illumio CoreはVEN改ざん防止を実装しています。Illumioでマイクロセグメンテーションを実装して、ネットワーク管理マシンを分離して昇格されたアクセス権を持つことができます。ビジネスニーズが変化するたびにVLANやサブネットを再設計することなく、よりきめ細かなセグメンテーションを実装できます。

12. 境界防衛。イルミオはこのコントロールに直接対応します。イルミオは、ホストベースのセグメンテーションを適用して、信頼レベルが異なるアプリケーションやデバイス間の接続とフローを監視および制御します。コストとリスクを伴うネットワークインフラストラクチャの再アーキテクチャーを行わずに、きめ細かなセグメンテーションを実現できます。

13. データ保護。イルミオは、不正なワークロードやユーザーがデフォルト拒否モデルを介して保護されたアプリケーションに接続するのをプロアクティブに防止し、悪意のある攻撃者の潜在的な横方向攻撃経路を特定してブロックすることで、この要件をサポートします。イルミオは、機密情報の転送を試みる可能性のある不正な接続を検出してブロックし、セキュリティにアラートを送信します。また、Illumioを使用して、クラウドおよび電子メールプロバイダーへのアクセスと接続を制御するポリシーをプログラムおよび適用することもできます。

14. 知る必要性に基づくアクセスの制御。イルミオはこのコントロールに直接対応します。Illumioを使用して、ワークロード、アプリケーション、 VDI ユーザー、デバイス間で許可された接続を制御できます。Illumio Core は、システムへのネットワークアクセスを管理するだけでなく、論理アクセスを管理する可能性もあれば、環境へのアクセスの管理を支援します。外部 IP アドレスは、ルールセットに特的に追加し、これらのシステムにアクセスするユーザーの必要性に基づいてグループに適用できます (ユーザーはマシンまたは個々のオペレーターにすることができます)。これらのルールは、ポリシーレベルで有効/無効にして、システムへの特定のアクセスを即座に効率的に無効にすることができます。VDI 環境では、 アダプティブ ユーザー セグメンテーション を利用して、Active Directory グループ ポリシーに基づいて特定のリソースへのアクセスを許可できます。

15. ワイヤレスアクセス制御。イルミオは、特定の許可されたデバイスやサーバーでのワイヤレスアクセスのセグメンテーションをプログラミングおよび適用し、他のワイヤレスネットワークへのアクセスを制限することで、この制御をサポートします。

16. アカウントの監視と制御。イルミオは、サードパーティのSSOおよびアクセスガバナンスツールと統合することで、この制御をサポートします。また、イルミオのオンデマンド暗号化を使用して、すべてのアカウントユーザー名と認証資格情報が暗号化されたチャネルを使用してネットワーク経由で送信されるようにすることもできます。

組織の統制

18. アプリケーションソフトウェアのセキュリティ。イルミオは、マイクロセグメンテーションポリシーを適用して本番システムと非本番システムを分離することで、この制御をサポートします。イルミオはまた、ホストベースのファイアウォールルールをプログラムして、開発者が本番システムに監視されず、制限されずにアクセスできないようにします。

19. インシデント対応と管理。イルミオはこの制御をサポートしています。許可されたユーザーは、イルミオの履歴トラフィックデータベース、イベント、ログデータからレポートを取得して、調査とインシデント対応ワークフローをサポートできます。

20. 侵入テストとレッドチーム演習。イルミオはこの制御をサポートしています。組織は、アプリケーション依存関係マップ、ルールセット、およびアプリケーショングループ内の情報を、侵入テストの範囲を設計するためのベースラインとして使用できます。

まとめると

通常、システムイベントは、既存のセキュリティ制御の評価をトリガーします。イルミオは、企業がCISトップ20のコントロールの実装を評価し、実現するための実用的なアプローチを実装するのを支援します。企業は、次の機能を利用することでこれを行うことができます。

1. 運用モデルの変更に起因する新しい接続と、価値の高いシステムへの接続の変更を特定するのに役立つリアルタイムのアプリケーション依存関係マッピング。
2. 脆弱性の悪用可能性を計算して視覚的に示す脆弱性マップ。これにより、最もリスクの高い資産と接続に関する制御とセグメンテーションの取り組みに優先順位を付けることができます。
3. ネットワークアーキテクチャの再設計に依存しないデフォルト拒否モデルによるセグメンテーション。
4. サードパーティのIT運用、セキュリティ、分析ツールとのAPIベースの統合により、会社に新たなリスクをもたらす傾向を継続的に監視できます。これらの統合は、既存のコントロールの有効性を向上させるための計画を策定および実装するのにも役立ちます。

CIS Top 20 Controls は、ベースラインのセキュリティ衛生を提供しますが、組織に最も大きな影響を与えるギャップとセキュリティ制御に優先順位を付けるためのフレームワークも提供します。

イルミオの機能について詳しく知りたい場合は、 イルミオコアをチェックしてください。