中小企業向け情報セキュリティガイドライン（SMB）

こんにちは、Habr！ 「 中小企業（SME）向けCIS-Controls実装ガイド 」の記事の翻訳と改編を紹介します。

はじめに

クレジットカードの漏洩、個人情報の盗難、ランサムウェア（WannaCryなど）、知的財産の盗難、プライバシー侵害、サービス拒否-これらの情報セキュリティインシデントは一般的なニュースとなっています。 被害者の中には、政府機関、大規模な小売チェーン、金融機関、さらには情報セキュリティソリューションメーカーなど、最大かつ最も裕福で最も保護された企業があります。

このような企業は、数百万ドルの予算を情報セキュリティに割り当てていますが、従来の攻撃に対処することはできません。 これらの攻撃の多くは、定期的な更新やセキュリティで保護された構成の使用など、よく知られている情報保護方法によって防ぐことができました。

それでは、他の誰も何をすべきでしょうか？ 予算が少なくスタッフが限られている組織は、増え続けるサイバー犯罪にどのように対応できますか？ このドキュメントは、CISコントロールに基づいてビジネスを保護するツールをSMB所有者に提供することを目的としています。 CIS Controlsは、最も一般的な脅威と脆弱性に対抗する実証済みの情報保護方法の包括的なセットです。 これらの情報保護方法は、対象分野の専門家によって開発されています。

SMBに対する脅威には次のものがあります。

機密情報の盗難は、外部の侵入者や不満を抱いている従業員が会社にとって重要な情報を盗む攻撃の一種です。

サイト障害は、Webサイトのページが別のページに置き換えられるタイプの攻撃であり、ほとんどの場合、広告、脅威、または警告メッセージが含まれます。

フィッシングは、信頼できるソースからメッセージを偽造することにより、攻撃者が重要な情報（ログイン、パスワード、クレジットカード情報など）を受信するタイプの攻撃です（たとえば、悪意のあるユーザーを特定する電子メール内のリンクをクリックするように正当なトリックとして構成される電子メールコンピュータソフトウェア）。

ランサムウェアは、コンピューター上のデータへのアクセスをブロックするマルウェアの一種です。その結果、犯罪者は身代金を強要してロックされたデータのロックを解除します。

自然現象や事故によるデータの損失。

このドキュメントには、SMBを保護するために特別に選択された、CISコントロールの情報セキュリティ対策の小さなセットが含まれています。 情報セキュリティツールは絶えず変化しているため、 サイトで弊社に連絡して最新情報を入手できます。

復習

セキュリティは、ITインフラストラクチャ管理と密接に関連しています。適切に管理されたネットワークは、適切に管理されていないネットワークよりもクラッキングが困難です。 組織が情報をどの程度保護しているかを理解するには、次の質問を自問してください。

• 従業員がコンピューターに接続しているものを知っていますか？ ローカルネットワーク内でどのデバイスが接続されていますか？
• 情報システムで使用されているソフトウェアを知っていますか？
• 情報セキュリティ要件を満たすようにコンピューターを構成しましたか？
• 機密情報への従業員のアクセスを管理していますか、またはシステムでアクセス権を高められている人を管理していますか？
• 従業員は、情報セキュリティの脅威から組織を保護する役割を理解していますか？

以下に、さまざまな無料または低コストのツールと、これらの質問に答えて組織のセキュリティレベルを向上させるのに役立つ手順を示します。 リストされているツールはすべてを網羅しているわけではありませんが、情報セキュリティのレベルを上げるためにSMBが使用できる幅広い無料または低コストのツールを反映しています。
これらの推奨事項では、情報セキュリティシステムを構築するために段階的なアプローチを使用することを推奨しています。

• ステージ1では、ネットワーク上にあるものを理解し、情報セキュリティの基本要件を定義できます。
• ステージ2は、基本的なセキュリティ要件の提供と、情報セキュリティの従業員のトレーニングに重点を置いています。
• ステージ3は、組織が情報セキュリティインシデントに備えるのに役立ちます。

各段階で、回答が必要な質問と、目標の達成に役立つアクションとツールが提示されます。

ステージ1.インフラストラクチャを知る

当初、情報セキュリティの問題を進めるには、ローカルネットワーク、接続されたデバイス、重要なデータおよびソフトウェアに対処する必要があります。 保護する必要があるものを明確に理解しないと、許容できるレベルの情報セキュリティを確実に提供することが困難になります。

留意すべき重要な質問：

• 保護する必要がある情報を知っていますか？ ネットワーク上の最も重要な情報はどこに保存されていますか？
• ネットワークに接続されているデバイスを知っていますか？
• 従業員のコンピューターにインストールされているソフトウェアを知っていますか？
• システム管理者とユーザーは強力なパスワードを使用していますか？
• 従業員が使用しているオンラインリソースを知っていますか（つまり、ソーシャルネットワークで仕事をしたり座ったりします）？

保護する必要がある情報。 最も重要な情報がネットワーク上に保存されている場所

会社の重要なデータが失われたり、盗まれたり、破損したりすると、ビジネスを失う可能性があります。 偶発的な出来事や自然災害も、永久的な損害を引き起こす可能性があります。 さらに、潜在的な攻撃者は、価値のあるデータを標的にします。 これらのハッカーは、顧客、金融情報、または知的財産を盗もうとするハッカーまたは会社の従業員です。 貴重な情報を使用するには、その情報にアクセスする必要があり、原則として組織のローカルネットワークにアクセスする必要があります。

ビジネスを保護するには、データの価値とその使用方法を理解する必要があります。 また、支払い情報や個人データなど、法律で保護する必要がある情報を決定する必要もあります。 以下は、識別およびインベントリする必要があるデータの例です。

• クレジットカード、銀行および財務情報。
• 個人データ;
• 顧客データベース、購入/供給価格;
• 会社の企業秘密、公式、方法論、モデル、知的財産。

情報の保護の要件を決定する主要な連邦法も提示されています（SMBに適用される場合があります） [翻訳者から：ロシアの法律に従って文書が挿入されます] 。

• 2006年7月27日の連邦法N152-「個人データについて」。
• 2011年6月27日の連邦法N161-「国民支払いシステムについて」。
• 2011年11月21日の連邦法N323-「ロシア連邦の市民の健康を守るための基礎について」。
• 2010年11月29日の連邦法N326-（「ロシア連邦の強制健康保険について」;
• 2006年7月27日の連邦法N149-「情報、情報技術、および情報保護」。
• 2004年7月29日の連邦法N98-「商業秘密について」。

ネットワークに接続されているデバイス

ネットワークに接続されているデバイスがわかっている場合、インフラストラクチャの管理が容易になり、保護する必要があるデバイスがわかります。 以下は、ネットワーク上のデバイスについて学ぶために実行できる手順です。

アクション：

• ワイヤレスネットワークがある場合は、ルーター（ワイヤレスアクセスコントローラー）で、接続されているデバイスと、強力な暗号化（WPA2）が使用されているかどうかを確認します。
• 大規模な組織では、ネットワークスキャナー（商用または無料）を使用して、ネットワーク上のすべてのデバイスを識別することをお勧めします。
• DHCPを介してIPアドレスを受信するネットワークデバイスの接続に関連するイベントのログを有効にします。 このようなイベントのログを記録すると、ネットワーク上にあったすべてのデバイスを簡単に追跡できます。 （サポートが必要な場合は、IT担当者にお問い合わせください。）
• 小さな組織では、機器（コンピューター、サーバー、ラップトップ、プリンター、電話など）のリストと、新しい機器またはデータが表示されたときに更新する必要があるスプレッドシートの保護情報のリストを保持できます。

ツール：

• Nmap ：世界中のシステム管理者やハッカーがネットワークに接続されているデバイスを特定するために使用する、よく知られた多目的ネットワークスキャナー。
• ZenMap ：Nmapの使いやすいGUI
• Spiceworks ：ネットワーク用の無料のインベントリおよびリソース管理ソフトウェア（デバイスおよびインストール済みソフトウェア）

従業員のコンピューターにインストールされているソフトウェア

インストールされたソフトウェアの監視は、優れたIT管理と効果的な情報セキュリティの両方の重要なコンポーネントです。 ネットワーク上の悪意のあるソフトウェアはリスクを最小限に抑える必要があり、ライセンスのないソフトウェアを使用した場合の法的責任もここに起因します。 更新されていないソフトウェアは、マルウェアの侵入の一般的な原因であり、情報システムへの攻撃につながります。 ネットワークにインストールされているソフトウェアを理解し、インストールされているソフトウェアを制御し、管理者権限でアカウントを保護すると、情報セキュリティインシデントの可能性と影響を軽減できます。

アクション：

• 組織が使用するアプリケーション、Webサービス、またはクラウドソリューションのリストを作成します。
• 管理者特権を持つユーザーの数を可能な限り最小の値に制限します。 一般ユーザーがシステムで管理者権限で作業することを許可しないでください。
• 管理者はシステムに大きな変更を加えることができるため、管理アカウントには複雑なパスワードを使用してください。 従業員が複雑なパスワードを作成するための指示を作成します[翻訳者から：複雑なパスワードの作成例はこちら ] 。
• システム管理者が別のユーザーアカウントを使用して、電子メールの読み取り、インターネットへのアクセス、文書の作成を行っていることを確認してください。
• ネットワークにソフトウェアをインストールする手順を開発し、Applockerなどを使用して未承認のアプリケーションのインストールを禁止します。

ツール：

• Applocker ：実行が許可されているソフトウェアを識別および制限するための無料のMicrosoft Windowsツール
• Netwrix ：システム上の管理アクセス情報を識別するための多くの無料ツール
• OpenAudIT ：サーバー、ワークステーション、ネットワークデバイス上のソフトウェアインベントリ

ステージ2.資産を保護する

従業員は最も重要な資産であり、この表現はビジネスだけでなく情報セキュリティにも当てはまります。 情報を保護するには、技術的なソリューションだけでなく、システムの偶発的な誤動作を防ぐための従業員の意識も必要です。 このフェーズの一環として、コンピューターの保護だけでなく、情報セキュリティの重要な側面に関する従業員のトレーニングについても説明します。

あなたが答える必要があるいくつかの質問：

• 情報セキュリティ要件を満たすようにコンピューターを構成しましたか？
• ネットワークには、常に更新されるウイルス対策ソフトウェアがありますか？
• 従業員に情報セキュリティの最新の方法について教えていますか？

基本的な情報セキュリティ要件を構成する

情報システムへのアクセスを得るために、悪意のあるプログラムや攻撃者は、ほとんどの場合、安全でない構成のアプリケーションまたは脆弱性のあるアプリケーションを使用します。 オペレーティングシステムとアプリケーション（特にWebブラウザー）が最新であり、適切に構成されていることを確認する必要があります。 さらに、オペレーティングシステムに組み込むことができるマルウェア対策メカニズムを使用することをお勧めします。 たとえば、Windows Device Guard、Windows Bitlocker、および以下で説明する他のユーザー。

アクション：

• Microsoft Security Analyzerセキュリティスキャナーを定期的に実行して、Windowsオペレーティングシステム用にインストールされていないパッチ/更新プログラムと、構成の変更が必要なものを判断します。
• ブラウザとプラグインが最新であることを確認してください。 Google Chromeなどのコンポーネントを自動的に更新するブラウザを使用してみてください[翻訳者から：Yandex.Browserはロシアの類似品かもしれません] 。
• マルウェアからシステムを保護するために、最新のウイルス対策データベースの更新でウイルス対策を使用します。
• リムーバブルメディア（USB、CD、DVD）の使用を、公務を行うために本当に必要な従業員に制限します。
• WindowsコンピューターにEnhanced Mitigation Experience Toolkit （EMET）をインストールして、コードの脆弱性から保護します
• 特に内部ネットワークまたは電子メールへのリモートアクセスの場合は、可能であれば多要素認証が必要です。 たとえば、パスワードに加えて追加のセキュリティレベルとしてコード付きのセキュアトークン/スマートカードまたはSMSメッセージを使用します。
• ネットワークに追加するときに、すべてのアプリケーション、オペレーティングシステム、ルーター、ファイアウォール、ワイヤレスアクセスポイント、プリンター/スキャナー、およびその他のデバイスのデフォルトパスワードを変更します。
• 暗号化を使用してデバイスをリモートで安全に管理し、機密情報を送信します。
• 機密情報を含むラップトップまたはモバイルデバイスのハードドライブを暗号化します。

ツール：

• Bitlocker ：Microsoft Windowsデバイスの統合暗号化
• FireVault ：Macデバイス向けの統合暗号化
• Qualys Browser Check ：最新の更新をブラウザで確認するツール
• OpenVAS ：システムが基本的な情報セキュリティ要件に準拠しているかどうかを確認するためのツール
• Microsoft Baseline Security Analyzer ：Windowsコンピューターを安全に構成する方法を理解するための無料のMicrosoftツール
• CISベンチマーク ：100を超えるテクノロジの情報セキュリティ構成を提供する無料のPDFファイル。

ISプロセス開発

情報セキュリティは、テクノロジーだけでなく、プロセスと人に関する話でもあります。 情報セキュリティツールだけでは不十分です。 組織のセキュリティを確保するには、従業員も情報セキュリティ要件を厳密に遵守する必要があります。 従業員に情報セキュリティの問題を教えるには、2つの重要な要素があります。情報を従業員に伝えること、常に知識レベルを維持することです。

従業員に伝えられる情報：

• 組織内の機密情報にアクセスしたり処理したりする従業員を特定し、この情報を保護する役割を理解してください。
• 最も一般的な2つの攻撃は、電子メールと電話のフィッシング攻撃です。 スタッフが攻撃の主な兆候を説明および特定できることを確認してください。 このような兆候には、人々が非常に緊急性の高いことを話したり、貴重な情報や機密情報を求めたり、あいまいな用語や技術用語を使用したり、セキュリティ手順を無視したりバイパスしたりするように求める状況が含まれます
• 従業員は、常識が最善の防御であることを理解する必要があります。 何が起こっているかが奇妙、疑わしい、またはあまりにも良いと思われる場合、これらは攻撃の兆候である可能性が最も高いです。
• 可能であれば、各アカウントに複雑でユニークなパスワードの使用および/または二要素認証を奨励します。
• 同僚がモバイルデバイスで「画面ロック」を使用することを奨励します。
• すべての従業員がデバイスとソフトウェアを常に更新していることを確認してください。

サポート知識レベル：

• 組織を保護する方法と、これらの方法を個人の生活にどのように適用できるかを従業員に説明し、これを理解していることを確認してください。
• 情報セキュリティが仕事の重要な部分であることをすべての従業員が理解していることを確認してください。
• SANS OUCHニュースレターなどの無料の情報セキュリティ資料を従業員に配布してください！ およびMS-ISAC月刊ニュースレター。
• National Cyber​​security AllianceのStaySafeOnline.orgなどのオンラインリソースを使用します。

ツール：

• サンズ痛い！ ニュースレター 、今月のビデオ、毎日のヒントとポスター。
• MS-ISAC月刊ニュースレター
• Staysafeonline.com ;
• Safe-surf.ru [翻訳者より：ロシア語版] ;

ステージ3：組織を準備する

組織が情報セキュリティの強固な基盤を開発したら、インシデント対応メカニズムを構築する必要があります。 このアプローチには、情報セキュリティインシデントへの対処方法と、その後の会社の復旧方法の理解が含まれます。

主な問題：

• 貴重なファイルを最後にバックアップしたのはいつですか？
• バックアップを定期的にチェックしていますか？
• インシデントが発生した場合、どの同僚に連絡するべきか知っていますか？

バックアップ管理

バックアップの作成と管理は日常的な作業であり、あまり興味深い作業ではありませんが、これはデータを保護し、障害から回復し、ビジネスを正常に戻すための最良の方法の1つです。 ランサムウェアはすべてのデータを暗号化し、身代金までブロックすることができるため、これは重要です。 現在および維持されているバックアップによって補完される堅牢な対応計画は、情報セキュリティインシデントに対処する際の最善の防御策です。

アクション：

• 重要な情報を含むすべてのコンピューターの毎週のバックアップを自動的に実行します。
• バックアップを定期的に確認し、バックアップを使用してシステムを復元します。
• 少なくとも1つのバックアップがネットワーク上で利用できないことを確認してください。 これは、このバックアップがマルウェアにアクセスできないため、ランサムウェア攻撃から保護するのに役立ちます。

ツール：

• Microsoftバックアップと復元 ：Microsoftオペレーティングシステムに組み込まれたバックアップユーティリティ
• Apple Time Machine ：Appleオペレーティングシステムにインストールされたバックアップツール
• Amanda Network Ba​​ckup ：無料のオープンソースバックアップツール
• Bacula ：オープンソースのネットワークバックアップおよびリカバリソリューション

インシデントの準備

情報セキュリティインシデントの発生を誰も望んでいませんが、準備が万全であればあるほど、インシデントから迅速に復旧できます。 情報セキュリティインシデントには、サイトへのアクセスに違反するサービス拒否攻撃、システムまたはデータをブロックするランサムウェアによる攻撃、クライアントまたは従業員からのデータの損失につながる悪意のあるソフトウェアによる攻撃、および暗号化されていないデータを含むラップトップを盗みます。

準備するには、インシデントの場合に誰に連絡するかを知る必要があります。 社内のITスタッフに助けを求めるか、サードパーティのインシデント管理会社に頼ることができます。 いずれにせよ、イベントが発生する前にインシデントを管理する責任者の役割を知っておく必要があります。

アクション：

• インシデントが発生した場合に意思決定を行い、ガイダンスを提供する組織の従業員を特定します。
• ITスタッフやサードパーティに連絡先情報を提供します。
• 情報の共有と情報セキュリティの促進に重点を置く協会に参加します。
• 計画の一部として外部連絡先のリストを保持します。 これらには、法律顧問、保険代理店、情報セキュリティリスクに保険をかけている場合、セキュリティコンサルタントが含まれます。
• あなたの国の情報セキュリティ侵害に関連する法律を読んでください。

インシデントが発生した場合の対処：

• インシデントの性質と範囲が明確でない場合は、情報セキュリティコンサルタントに連絡することを検討してください。
• 事件で第三者の機密情報が侵害されたことが判明した場合は、弁護士に連絡することを検討してください。
• 違反の結果として情報が開示された、影響を受けるすべての個人に通知する準備をします。
• 必要に応じて法執行機関に通知します。