Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

NISTのランサムウェアガイド(ドラフト版)

考えてみた。

米国国立標準技術研究所(NIST)が、ランサムウェアの新しいガイダンス(ドラフト)を公開しています。

www.infosecurity-magazine.com

NISTの ランサムウェアプロファイル は、NISTサイバーセキュリティフレームワークをすでに採用しており、リスク態勢を改善したいと考えている組織が使用できます。また、ランサムウェアの脅威に対処するリスク管理フレームワークの実装を模索している組織にも役立ちます。

ランサムウェアプロファイルには、ランサムウェアの耐性を向上させる機会を特定して優先順位を付けるために従うことができる手順が含まれています。ユーザーは、ランサムウェア攻撃を防ぐ方法と、ランサムウェアのリスクを効果的に管理する方法を学びます。

 

公式発表

【Preliminary Draft NISTIR 8374】

    Cybersecurity Framework Profile for Ransomware Risk Management

 

 

キタきつねの所感

暫定ドラフト版なので、パブリックコメント等を通じてもう少し内容が洗練されてくるかも知れません。

米国ではランサム被害の急増や、重要インフラ企業に対するランサム被害によって深刻な被害を出した事もあり、政府調達の要件等を策定するNISTがドラフトとは言え、ランサムのガイドラインを出してきた所に日本との温度差を感じます。

 

ドラフトの中身は、結構シンプルに書かれていて(※最低限の事という意味で書かれている様に思えます)、過去にリリースしたNISTサイバーセキュリティフレームワーク等との整合が取られている印象です。

基本的なセキュリティ対策で重複する部分も多く、目新しい事はあまり無い様に思えますので、どちらかと言えばチェックリスト(網羅性)として使う企業・組織が多いかも知れません。

 

ランサム対策の推奨として書かれている項目は以下の通りです。

ウイルス対策ソフトを常に使用してください。電子メールやフラッシュドライブを自動的にスキャンするように設定しましょう。
・ コンピュータには常にパッチを適用する。定期的にチェックを行い、すべてを最新の状態に保つ。
ランサムウェアのサイトへのアクセスをブロックする。既知のランサムウェアサイトへのアクセスをブロックするセキュリティ製品やサービスを使用する。
・ 許可されたアプリケーションのみを許可する。オペレーティングシステムを設定するか、サードパーティのソフトウェアを使用して、許可されたアプリケーションのみをコンピュータで使用できるようにする。
・ 職場のネットワーク上での個人所有のデバイスを制限する。
・ 可能な限り、管理者権限のあるアカウントではなく、標準的なユーザーアカウントを使用する。
・ 職場のコンピュータから電子メール、チャット、ソーシャルメディアなどの個人用アプリを使用しない。
・ 未知のソースに注意する。ウイルス対策スキャンを実行するか、リンク先をよく確認しない限り、不明な送信元からのファイルを開いたり、リンクをクリックしたりしないでください。将来のランサムウェアからの回復のために、組織が今できることは以下の通りです。
・ インシデントリカバリープランを作成する。意思決定のための役割と戦略を定義したインシデントリカバリープランを作成し、実施する。これは、業務継続計画の一部とすることができます。
・ バックアップと復元。データのバックアップと復元の戦略を慎重に計画、実施、テストし、重要なデータのバックアップを安全に分離する。
・ 連絡先の確保。法執行機関を含む、ランサムウェア攻撃に関する社内外の最新の連絡先リストを維持する。

 

多くの企業・組織にとって意表を突かれる項目が書かれている訳ではないかと思いますので、重要なのは「現在出来ていない」項目が何であるかを把握する事と言えるかも知れません。

 

ガイダンスの中では、ランサムプロファイルとしてフェイズ(CSF)毎の対策ポイントが書かれています。このガイドライン(ドラフト)の中で、チェックに使う場合には(ISMS等、他の参照ガイドラインの要件番号もまとまっていますので)参考になる事が多いのではないでしょうか。

f:id:foxcafelate:20210623093453p:plain

 

Infosecurity Magazineの記事では、このテーブル中に書かれている教育とインシデント対応計画について以下の様に書いているので、この辺りもチェックすべきポイントかも知れません。

ガイダンスが提唱するランサムウェアに対するもう1つの防御戦術は、セキュリティ認識トレーニングを実施して、未知のソースから送信されたファイルを開いたり、リンクをクリックしたりすることの危険性について従業員を教育することです。

NISTは、事前に計画を立てることで、ランサムウェアに屈した組織がより早く回復できるようになると述べています。インシデント回復計画を作成し、包括的なバックアップと復元の戦略を実装し、内部および外部のランサムウェア攻撃の連絡先の最新リストを維持することをお勧めします。

(Infosecurity Magazine記事より引用)※機械翻訳

 

ドラフトは(まだ)シンプルな内容ですが、ランサム脅威への対策という意味では、ドラフト版の段階でも良い指針・チェックリストになるかと思います。

RFCは7/9までの様です

※参考まで、Google日本語翻訳したものを置いておきます(こちら

 (※制限公開になっていたのを修正しました。6/23 PM2)

 

 

 

インシデント対応計画は、NISTのガイドライン等に加えて「今週のセキュリティ記事」でも★3で紹介していますが、以下の記事(サイバーセキュリティインシデントで本当に重要な事)の内容も、加味して計画策定(修正)をしていくと、実践な計画に近づいていくと思います。

beta.darkreading.com

 

実際に重大インシデントが発生すると計画通りにはいかない・・・

ログがどこにあるか把握するのが重要・・・

復旧優先度を考える上では事前のIT資産棚卸が重要・・・

 

実はコールツリー(実務上の)が最重要・・・

 

といった内容が書かれているのですが、「十分にあり得そう」な事ばかりなので、インシデント対応に”慣れてない”方や、”巻き込まれる”可能性がある方は、記事を(英語ですが)一読される事を強くお勧めします。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 DDoS攻撃のイラスト

 

更新履歴

  • 2021年6月23日 AM(予約投稿)