ASDの管理策リスト

オーストラリアとニュージーランドの 標準化母体も、国際的な 標準の整備に寄与しています。 例えば、ISO 31000 『リスクマネジメント』は、 両国が共同で発行した 『リスクマネジメントハンドブック』を 出発点として策定されました。 オーストラリアでは、 ASD と呼ばれる通信電子局が 安全保障の観点から 独自のセキュリティ標準を定めています。 その中心となる 『情報セキュリティマニュアル』には、 650 種類を超える セキュリティ管理策が掲載されています。 ただ、規定が細かすぎて、 軍用以外の情報システムの セキュリティには適用しにくいのが 難点です。 ASD はより使いやすい標準を目指し、 2010 年に『情報セキュリティマニュアル』 のセキュリティ管理策を絞り込んだ 『ASD トップ 35』を発表しました。 ISO 27000 のような網羅性はないものの、 手に負える量にすることが狙いです。 これらの管理策は、有効性や重要度別に、 「必須」「秀」「優」「良」「限定的」 という５つのレベルに分けられています。 種類別には、インシデントを予防する 管理策、インシデントの範囲を 限定する管理策、 インシデントを検知して対応する 管理策、インシデントからの復旧を 可能にする管理策、 人を管理して悪意あるインサイダーの 行動を防止する管理策があります。 『ASD トップ 35』の発表後、 ASD はさらに数を絞った管理策の 宣伝普及に取り組みました。 その第１弾が 『ASD トップフォー』です。 ASD はこれを 「セキュリティ問題の 85％に役立つ」 と説明しました。 こうしたオーストラリアのアプローチに、 世界各国から高い関心が集まりました。 トップフォーに選ばれたのは、 アプリケーションのホワイトリスト化、 アプリケーションへのパッチ、 オペレーティングシステムへのパッチ、 管理者権限の制限という ４つの管理策です。 その後、『ASD エッセンシャルエイト』 という８種類のリストも発表されました。 トップフォーに加えて、マクロ設定、 アプリケーションのハードニング、 多要素認証、バックアップの ４つが入っています。 ただ、これらの管理策には 大きく２つの弱点があります。 ASD の管理策は、攻撃者よりも 正規のユーザーの行動を コントロールするものです。 また、民間の情報システムに応用することが 難しいものもあります。 アプリケーションのホワイトリスト化は、 ワークステーションのセキュリティ対策には 効果的ですが、ビジネス環境では 制約が多いため ほとんど使われていないのです。 ホワイトリスト以外のアプリケーションが 禁止されると、リモート会議に 参加するといったよくある業務にも 支障が出るからです。 さらに、攻撃によく使われる マルウェアの中には、 アプリケーション以外の 形式のものもあるため、 アプリケーションの ホワイトリスト化だけでは 防ぐことができません。 管理者権限の制限は 有効な管理策の１つですが、 大規模な攻撃への対策として 権限のエスカレーションを行うことが 想定されていない点が問題です。