エッセンシャルエイト成熟度モデルをマスターする

Essential Eight（E8） とは、インターネットに接続されたITネットワークをさまざまなサイバー脅威から保護するために、豪州サイバーセキュリティセンター（ACSC）によって策定された優先度の高い一連の緩和策です。 これらのセキュリティ対策は、オーストラリア通信電子局（ASD）のサイバー侵入の軽減戦略の一部であり、より広範なベストプラクティスの枠組みです。

Essential Eightの戦略には以下が含まれます。

1. アプリケーションのパッチ適用
2. オペレーティングシステムのパッチ適用
3. 多要素認証（MFA）
4. 管理者権限の制限
5. アプリケーションの制御
6. Microsoft Officeのマクロを制限する
7. ユーザアプリケーションの堅牢化 
8. 定期的なバックアップ

Essential Eightが重要な理由

Essential Eightが重要とされるのは、サイバーセキュリティの緩和において最も効果的な分野を取り上げており、組織がサイバー脅威を防止、検出、対応できるように支援するためです。 これらの戦略を実施することで、オーストラリアの企業はサイバーインシデントのリスクを大幅に低減し、機密データを保護し、システムの完全性と可用性を確保することができます。

さらに、オーストラリア政府によれば、こうした対策に積極的に取り組むことは、「大規模なサイバーセキュリティインシデントに対応するよりも、時間、費用、労力の点で費用対効果が高い」とされています。 データ漏えいの平均被害額が過去最高の488万ドルに達していることを考えると、事後に脅威に対応するよりも、予防策を講じる方が、組織にとってはるかに有益です。

E8順守の対象となるのは誰ですか？

Essential Eightは、必ずしもすべての組織に適用される義務ではありません。 ただし、特定のオーストラリア政府機関および省庁においては、政府の指令、方針、または規制要件によってE8セキュリティ対策が義務付けられている場合があります。

このような場合、特定のサイバーセキュリティ基準や規制を満たすために、Essential Eightへの順守が必要となります。 法的な適用対象外の組織についても、サイバー脅威から保護するためのベストプラクティスとしてE8を採用することが推奨されていますが、法的に義務付けられているわけではありません。

ASDのEssential Eight成熟度モデル（E8MM）は、組織に適したサイバーセキュリティの実践における成熟度の達成を目指し、E8戦略を段階的に実施するための体系的なアプローチを提供します。 要するに、セキュリティ対策を向上するための枠組みです。

このモデルでは、成熟度を4つのレベルに分類しており、各レベルは高度化する「トレードクラフト（攻撃手法）」を軽減することに基づいて構成されています。 オーストラリア通信電子局によれば、「悪意ある行為者は、標的や作戦内容に応じて、異なるレベルの攻撃手法を用いる可能性があります」。

例えば、高度な手口を使えるサイバー犯罪者は、ある標的に対しては、その高度な手口を用い、別の標的に対しては基本的な手法を使うこともあり得ます。 そのため、オーストラリアの組織は、自身のリスク環境、すなわち攻撃を受ける可能性や想定される被害に応じて、どのEssential Eightの成熟度レベルが適しているかを検討する必要があります。

各レベルの内訳と内容は以下の通りです。

• 成熟度レベル0： 全体的なサイバーセキュリティ体制に弱点があり、組織が攻撃を受けやすいことを示しています。 簡単に言えば、このレベルの組織には、機密データを不正アクセスや悪用から保護するための十分な対策が欠如しています。
• 成熟度レベル1： 基本的かつ広く利用されている攻撃手法やツールを使用する悪意のある行為者からの脅威を軽減することに重点を置いています。 このレベルでは、脅威アクターが、パッチが適用されていない脆弱性など、よく知られたエクスプロイトの利用のみで十分だと考えていると想定されます。
• 成熟度レベル2： セキュリティ対策を回避するために、さらなる時間と労力を費やすことをいとわない、より巧妙なサイバー犯罪者からの脅威に対処します。 例えば、フィッシングやソーシャルエンジニアリングの手法を使って、ログイン認証情報を積極的に狙い、脆弱なMFAツールを回避しようとする可能性があります。 このレベルはまた、悪意のある行為者が標的をより選別する傾向があると想定されており、より多くの機密情報を入手できることから、特権的なアクセス権を持つユーザが狙われやすくなります。
• 成熟度レベル3： システムを侵害するために高度な攻撃手法や技術を駆使する、適応力が高く熟練した攻撃者を防御することを目的としています。 一般的には、より強固な保護を回避するために時間、お金、労力を惜しまず投入する意思と能力をもつサイバー犯罪者がこれに含まれます。 例えば、認証トークンを盗み取ることで、高度なMFAメカニズムを回避しようとする可能性があります。

したがって、成熟度レベル0は最も脆弱なセキュリティ体制を示すのに対し、成熟度レベル3は最も強固なセキュリティ体制を示します。

Essential Eightの成熟度向上

どの段階から始めるにせよ、適切なサイバーセキュリティ成熟度の状態に到達することが、機密データを保護するための鍵となります。 ここで、基本的なステップをいくつか紹介します。

1. 計画立案： 目標とする成熟度レベルを設定し、それを達成するために何が必要かを明確にします。 組織が扱う機密情報の種類や、脅威アクターがシステムを標的にするためにどの程度リソースを投じる可能性があるかを検討してください。 これに基づき、ASDの成熟度モデルを参照し、組織に求められる対策要件を確認してください。
2. リスク評価： ギャップ分析を実施し、改善すべき分野を特定します。 これにより、自社のサイバーセキュリティ体制が目標とする基準値からどの程度乖離しているかを把握することができます。
3. 実装： それぞれの緩和策を段階的に展開し、例外を最小限に抑え、文書化します。
4. モニタリングとレビュー： コンプライアンスを維持し、新たな脅威に対応するために、緩和策を定期的に見直し、更新します。 リスクの状況が変化した場合、現在の成熟度が十分であるかどうかを検討します。
5. 継続的な改善： 継続的に戦略を改善し、強化することで、より高い成熟度を目指します。

豪州サイバーセキュリティセンターは、成熟度レベル3を達成するために一つの解決策だけで対応するのではなく、複数の緩和策やセキュリティ対策の組み合わせを推奨しています。 なぜでしょうか 高度化する脅威から身を守るためには、複数のプロセスとツールを組み合わせた対策が必要だからです。

それぞれの緩和策をさらに詳しく説明します。

1. アプリケーションの制御
   このセキュリティ対策は、未承認または未許可のソフトウェアの実行を制限し、マルウェアや潜在的に有害なアプリケーションが組織のシステム上で実行されるのを防ぎます。 承認されたアプリケーションのホワイトリストを作成、適用することで、検証済みかつ必要なソフトウェアのみが実行できるようにします。
   アプリケーションの制御は、悪意のあるコードの実行を防ぐのに役立ち、マルウェアの感染リスクを低減し、潜在的な攻撃対象領域を限定するうえで、極めて重要です。 セキュリティ対策には、ソフトウェアのホワイトリスト化、実行可能なルールの導入、アプリケーションの動作の継続的なモニタリングなどが含まれます。
2. アプリケーションのパッチ適用
   時間の経過とともに、新たなエクスプロイトによってアプリケーションは以前よりも脆弱になる可能性があります。 この緩和策では、すべてのソフトウェアに最新のセキュリティパッチを常に更新するよう適用することで、このリスクに対処します。 定期的なパッチ適用には、設定ミスを特定するための脆弱性スキャンや、システムを適時に更新するための自動パッチ管理が含まれる場合があります。
3. Microsoft Officeのマクロ設定の構成
   Microsoft Officeのマクロは、ユーザがアプリケーションの動作を設定できるようにする機能です。 基本的には、反復作業を自動化できるプログラミングの命令文です。 マクロは生産性向上に役立つ一方で、悪意のある行為者がマルウェアの拡散手段としてマクロを使用することもあります。 例えば、Excelファイルに悪意のあるコードを隠して埋め込むことがあります。
   信頼できないソースからのマクロを無効化または制限することで、脅威が環境内に進入するのを防ぎ、重要な資産を不正アクセスから保護することができます。
4. ユーザアプリケーションの堅牢化
   ユーザアプリケーションの堅牢化は、攻撃者に悪用されやすいFlash、Java、ウェブ広告など、特定のアプリケーション内の不要な機能を無効化または制限することで、攻撃対象領域を縮小します。 堅牢化は、不正アクセスや悪意のあるコードの実行に悪用される得る機能を削除または制限するため、極めて重要です。
   重要な点として、このセキュリティ対策は、効果的な鍵管理と公開鍵基盤（PKI）もサポートする役割も果たします。 暗号鍵を使用するアプリケーションを保護することで、暗号鍵の漏えいや悪用を防ぐことができます。 これには、アプリケーション内で不要な機能を無効化し、強力な暗号化標準を適用することが含まれます。
5. 管理者権限の制限
   管理者権限とは、特定のユーザアカウントに拡張された権限や許可のことで、システム全体の変更、ソフトウェアのインストール、機密データへのアクセス、セキュリティ設定の構成などを行うことができます。 特権アクセスはITシステムを管理するために必要ですが、適切に管理されていない場合、重大なセキュリティリスクをもたらします。
   サイバー犯罪者が特権アカウントに不正アクセスすると、権限を悪用してマルウェアをインストールしたり、機密データを流出させたり、バックドアを作成したり、セキュリティ対策を無効化したりすることが可能となり、実質的には、システム全体を乗っ取る恐れがあります。 したがって、管理者権限を制限し、管理することは、このような攻撃による潜在的な影響を最小限に抑えるために極めて重要です。
   ハードウェア・セキュリティ・モジュール（HSM） を特権アクセス管理アプリケーションと併用することで、暗号鍵や機密操作の安全な管理と保護が可能となり、この戦略を大幅に強化することができます。nShieldハードウェア・セキュリティ・モジュールは PAMアプリケーションと連携し、API鍵、SSH鍵、DevOpsに関わる機密情報、クラウド管理者アカウントなどの特権クレデンシャルの保護に関するベストプラクティスを用い、アカウントの乗っ取りを防止するとともに、インフラストラクチャのセキュリティを支える暗号鍵を保護します。
6. オペレーティングシステムのパッチ適用
   オペレーティングシステム（OS）のパッチ適用には、既知の脆弱性を修正するために、最新のセキュリティアップデートを適用し、OSを常に最新の状態に保つことが含まれます。 アプリケーションのパッチ適用と同様に、この対策は、既知の脆弱性や設定ミスを狙ったエクスプロイトから保護するために不可欠です。 オペレーティングシステムはITインフラストラクチャの中核であり、脆弱性が生じれば、広範なセキュリティ侵害につながる可能性があるため、OSの定期的なパッチ適用が不可欠です。
7. 多要素認証
   MFAは、ユーザが知っている情報（パスワード）とユーザが所持するデバイス（セキュリティトークン）といった複数の形式の認証を要求することで、ユーザ認証プロセスを強化します。 また、顔認識や指紋認証を使って生体識別情報を確認し、ユーザの生体的特性を要求することもできます。
   この対策は、セキュリティレイヤーを追加することで、たとえ認証情報が漏えいした場合でも、攻撃者による不正アクセスをはるかに困難にするため、極めて重要です。 適応認証などのフィッシング耐性のあるMFAは、状況に応じてリスクベースのステップアップ認証を発行することで、さらに高度なプロセスを実現できます。
8. 定期的なバックアップ
   定期的または毎日のバックアップを実施することで、データの損失、破損、あるいはサイバーセキュリティインシデントが発生した場合でもデータを復元できるようにします。 この対策には、事業継続に不可欠なデータ、アプリケーション、システム設定の安全で弾力性のあるバックアップを作成し、維持することが含まれます。 これは、ランサムウェア攻撃、ハードウェア障害、その他の重大な障害から組織を復旧させるセーフティネットとなります。

Entrustは、MFAから特権アクセス管理、さらにはその先まで、Essential Eightの対策の実施と情報保護を支援する多様なソリューションを提供しています。