CSC1「許可されたデバイスと無許可のデバイスのインベントリ」

SANS20

CSC1は、バイスのインベントリ管理について述べられています。

コントロール

「ネットワーク上のすべてのハードウェアデバイス能動的に管理イベントリ作成追跡修正)し、アクセス権限を許可されたデバイスだけに付与します。また、無許可のデバイスや管理されていないデバイスを検出し、これらのデバイスがアクセス権限を取得することを防止します。」

サブコントロール

  1. 「自動化された資産インベントリ検出ツールを適用し、これを使用して組織のパブリックネットワークおよびプライベートネットワークに接続されたシステムの予備の資産インベントリを作成します。IPv4またはIPv6のネットワークアドレス範囲をスキャンするアクティブツールおよびトラフィックの分析に基づいてホストを特定するパッシブツールの両方を採用する必要があります。」
  2. DHCPを使用して動的にアドレスを割りあてている場合は、システムに対して動的ホスト構成プロトコル(DHCP)サーバのロギング機能を適用して 資産インベントリを改善し、このDHCP情報から不明なシステムを検知します。」
  3. 「機器の取得に伴ってインベントリシステムが新規に更新され、承認されたデバイスがネットワークに接続されることを確認します。」
  4. 「少なくともネットワークアドレス、マシン名、各システムの目的、および各デバイスの責任を負う資産所有者、各デバイスに関連付けられた部門を記録して、ネットワークに接続されたすべてのシステムおよびネットワークデバイス自体の資産インベントリを保守します。このインベントリには、デスクトップ、ラップトップ、サーバ、ネットワーク機器(ルータ、スイッチ、ファイアウォールなど)、プリンタ、ストレージエリアネットワーク、VoIP(Voice over IP)電話、マルチホームアドレス、仮想アドレスなど、ネットワーク上にIP(Internet Protocol)アドレスを持つすべてのシステムが含まれている必要があります。作成する資産インベントリには、デバイスがポータブルデバイス/パーソナルデバイスであるかどうかに関するデータも含める必要があります。携帯電話、タブレット、ラップトップなど、データの保管または処理が可能なポータブル電子機器は、組織のネットワークに接続しているかどうかに関係なく特定する必要があります。 」
  5. 「ネットワークに接続できるデバイスを制限しコントロールするために、802.1x によるネットワークレベル認証を適用します。許可されているシステムと無許可のシステムを判別するために、802.1x をインベントリデータに結びつける必要があります。」
  6. 「プライベートネットワークへの接続前に、クライアント証明書を使用してシステムを検証および認証します。」

なぜこのコントロールが重要なのか?

 本コントロールの重要性は他のコントロールのベースになるということである。例えば、CSC2のソフトウェア管理しようと思った時、入れ物(ハードウェア)の情報がないと現状の把握しようがない。また、CSC3のシステム設定においても、どのようなデバイスを管理するかの情報(WindowsOSのデスクトップPC10台など)がないと設定の更新・現状の確認ができない。

本コントロールでは何を行うのか?

CISのコントロールによると、①インベントリ(一覧表)を作成し、②ネットワーク上におけるデバイスの現状を確認し、③インベントリと調査した現状のギャップがあれば、原因を調査し、是正することが定められています。

本コントロールでは具体的に何を行うのか?

①インベントリ作成、②デバイスの現状追跡、③ギャップの修正それぞれをサブコントロールを基に具体的にみていく。

①インベントリ作成

②デバイスの現状追跡

  • アクティブツールを用いたデバイスの追跡(CSC1.1)

※アクティブツールとは、一定範囲のIPアドレスに一斉にパケットを送付し、応答状況からネットワークに接続されているデバイスを把握する。(例:一定範囲のIPアドレスpingコマンドを送信し、応答を収集する)

  • パッシブツールを用いたデバイスの追跡(CSC1.1)

※パッシブツールとは、ネットワークにパッシブツールを配置し、そのネットワークを流れるパケットを収集し、ネットワークに接続されているデバイスを把握する。

③ギャップの修正

  • インベントリと連携された802.1xを用いて、デバイスを認証(CSC1.5)
  • ネットワークに接続されたデバイスが承認されているか、証明書を用いて確認(CSC1.6)