エッセンシャルエイト

要約

Essential Eightは、オーストラリアの実用的なサイバー防御チェックリストであり、予防、制限、復旧の3つの分野に分かれた8つの制御策です。

例として、パッチ適用、MFA、アプリケーションの強化、バックアップなどが挙げられます。

これはメガフレームワークではありませんが、政府機関には必須であり、誰にとっても堅実なベースラインとなります。

3つの成熟度レベルは、アマチュアからAPT（高度な持続的脅威）まで、攻撃者に対する耐性を測定します。

エッセンシャルエイト スコアカード概要:

• 開発者の労力: 中程度（アプリケーションのパッチ適用、ユーザーアプリケーションの強化、場合によってはアプリケーション制御、MFAのサポート、およびバックアップの有効性の確保が含まれます）。
• ツールコスト: 中程度（パッチ適用、アプリケーション制御/ホワイトリスティング、マクロ制御、MFAソリューション、バックアップシステム、管理者権限管理のためのツールが必要）。
• 市場への影響: 高い（オーストラリア政府にとって必須のベースラインであり、オーストラリア企業にとってのベストプラクティスと見なされ、グローバルに優れた基盤セキュリティです。）
• 柔軟性: 高い（特定のリスク軽減結果に焦点を当て、成熟度レベルによりリスクに基づいた段階的な実装が可能です）。
• 監査の厳格度: 中（多くの場合、成熟度レベルに対して自己評価されますが、政府のコンプライアンスまたは第三者保証のために監査/評価が一般的です）。

Essential Eightとは何ですか？

Essential Eightは、オーストラリアサイバーセキュリティセンター（ACSC）によって開発・推奨されている、サイバーセキュリティの基本的な軽減戦略のセットです。これは、実用的で影響の大きい制御策に焦点を当てることで、組織の情報システムをさまざまなサイバー脅威から保護するように設計されています。サイバーレジリエンスを向上させるための基盤と見なされています。

Essential Eightの戦略は、以下の3つの目的に分類されます。

1. マルウェアの配信と実行を防止します:

* アプリケーション制御：未承認/悪意のあるプログラムの実行を防止します（ホワイトリスト方式）。

* アプリケーションのパッチ適用：アプリケーションを迅速にパッチ/更新し、既知のセキュリティ脆弱性を修正します。

* Microsoft Office マクロ設定の構成：インターネットからのマクロをブロックまたは制限します。

* ユーザーアプリケーションの強化：ウェブブラウザやその他のアプリケーションを設定し、潜在的に有害なコンテンツ（例：Flash、広告、Java）をブロック/制限します。

2. サイバーセキュリティインシデントの拡大を抑制する:

* 管理者権限の制限：ユーザーの職務に基づいて強力な管理者アクセスを制限し、個別の特権アカウントを使用します。

* オペレーティングシステムのパッチ適用：オペレーティングシステムを迅速にパッチ/更新します。

* 多要素認証（MFA）：機密システム/データへのアクセスにMFAを実装します。特にリモートアクセスおよび特権ユーザー向けです。

3. データを復旧し、可用性を維持します:

* 定期的なバックアップ：重要なデータ、ソフトウェア、および構成設定のデイリーバックアップを実行します。バックアップを安全に保持し、復元プロセスを定期的にテストします。

ACSCは、Essential Eightの実装における成熟度レベル（レベル1、レベル2、レベル3）も定義しており、これは敵対者の技術を軽減する能力の向上レベルを示しています。

• 成熟度レベル1: 主に一般的なツールと技術を使用して初期アクセスと制御を獲得する敵対者への対策に焦点を当てます。
• 成熟度レベル2: より高度な技術を持ち、積極的に制御を回避し、痕跡を隠そうとする敵対者への対策に焦点を当てます。
• 成熟度レベル3: 国家支援型アクターを含む、より標的型で執拗かつ適応性の高い高度な敵対者への対策に焦点を当てます。

各成熟度レベルには、8つの戦略それぞれに対して特定の実施要件があります。

なぜそれが重要なのか

Essential Eightは、特にオーストラリアの状況において重要です。

• 効果的なベースライン防御: マルウェア、フィッシング、認証情報の窃取など、最も一般的なサイバー攻撃ベクトルを大幅に軽減する、実績のある優先順位付けされた管理策を提供します。
• オーストラリア政府の義務: 保護セキュリティポリシーフレームワーク (PSPF) の下で、オーストラリア連邦政府機関に対して、実装（多くの場合、成熟度レベル2以上）が義務付けられています。
• 業界のベストプラクティス（オーストラリア）: オーストラリア企業がサイバーレジリエンスを向上させるためのベースライン標準として、広く採用され推奨されています。
• 実用的で実行可能: 複雑な管理システムではなく具体的な技術的制御に焦点を当てているため、理解し実装するのが比較的簡単です。
• 費用対効果の高い軽減策：これらの主要なコントロールを実装することは、侵害発生後の対処よりも、侵害の防止において費用対効果が高いことがよくあります。
• サプライチェーンへの期待: 政府機関や民間企業は、サプライヤーがEssential Eightへの準拠を実証することをますます期待しています。
• サイバーレジリエンスの向上: 根本的にシステムを侵害しにくくし、万が一インシデントが発生した場合でも回復を容易にします。

オーストラリア国外においても、Essential Eightはサイバーセキュリティ衛生の強固な基盤となります。

何を、どのように実装するか (技術的側面とポリシー側面)

Essential Eightの実装には、特定の成熟度レベルを目指し、各戦略に対して技術的制御とそれをサポートするポリシーを展開することが含まれます。

1. アプリケーション制御:
   
   • ツール（Microsoft AppLocker、サードパーティ製ソリューションなど）を使用して、実行を許可する承認済みアプリケーション（実行可能ファイル、スクリプト、インストーラー）のリストを定義し、適用します。それ以外のすべてをブロックします。慎重なベースライン作成と継続的な管理が必要です。
2. アプリケーションのパッチ適用：
   
   • 堅牢なパッチ管理プロセスを導入します。自動化ツールを使用して、アプリケーション（ウェブブラウザ、Office、PDFビューア、Java、Flashなど）の不足しているパッチをスキャンします。定義された期間内（例：インターネットに接続するアプリケーションのML2/3では48時間以内）に、クリティカル/高優先度のパッチを適用します。
3. Microsoft Office マクロ設定を構成します:
   
   • グループポリシーオブジェクト（GPO）またはMDM設定を使用して、信頼できない場所（インターネット、メール添付ファイル）からのマクロをブロックします。業務機能に必要な場合は、信頼できる署名済みのソースからのマクロのみを許可します。例外は厳密に審査します。
4. ユーザーアプリケーションの強化：
   
   • Webブラウザを設定し、高リスクコンテンツ（例：Flash、Web広告、Javaアプレットなど）をブロックまたは無効にします。ユーザーがこれらの設定を容易に上書きできないようにします。Webコンテンツフィルタリングを使用します。Office、PDFビューアなどを設定し、可能な限りオブジェクトのリンク/埋め込みやスクリプトの実行を防ぎます。
5. 管理者権限の制限：
   
   • 最小権限の原則を導入します。管理者権限は必要な場合にのみ付与し、特権タスクと日常業務 (メール、ブラウジング) には別のアカウントを使用します。特権アカウントは安全に管理し (強力なパスワード/パスフレーズ、MFA)、特権操作をログに記録して監視します。
6. オペレーティングシステムのパッチ適用:
   
   • アプリケーションのパッチ適用と同様に、OSのセキュリティパッチを迅速にスキャンして適用するプロセスとツールを導入します。特に重要なパッチ（例：インターネットに接続するシステムの場合、ML2/3では48時間以内）については、迅速な対応が必要です。
7. 多要素認証 (MFA)：
   
   • すべての特権アクセス、リモートアクセス（VPN、RDP、ウェブメール）、および重要なデータリポジトリへのアクセスにMFAを導入します。強力な認証方法（例：認証アプリ、FIDO2キー、スマートカード）を使用します。より高いレベルでは、可能な限りSMSのようなフィッシングされやすい方法を避けます。
8. 日次バックアップ:
   
   • 重要なデータ、構成、システムイメージの自動日次バックアップを導入します。バックアップが安全に（オフライン、オフサイト、暗号化されて）保存されていることを確認します。完全性と信頼性を検証するために、復元プロセスを定期的に（少なくとも年に1回、より高いレベルでは四半期ごとに）テストします。

より高い成熟度レベルを達成するには、通常、より多くの自動化、より迅速なパッチ適用期間、より包括的なロギング/監視、より厳格な制御（例：より強力なMFA）、およびより頻繁なテスト（例：バックアップ復元）が必要とされます。

避けるべきよくある間違い

Essential Eightを導入する際の一般的な誤りとして、以下が挙げられます:

1. チェックリストのみと見なすこと: 管理策を技術的に実施するだけで、長期的に効果を発揮するためのサポートとなるポリシー、手順、トレーニングが伴わないこと。
2. 不適切な実装: 管理策（アプリケーション制御やMFAなど）を誤って、または不完全に設定し、ギャップを残したり、過度なユーザーの摩擦を生み出したりすること。
3. 一貫性のない適用: 定義された範囲内で、一部のシステムには管理策を適用するが、他のシステムには適用しないこと。
4. パッチ適用頻度の軽視: アプリケーションやオペレーティングシステム、特に重大な脆弱性に対するパッチ適用の必要な期間を満たせないこと。
5. 脆弱な管理者特権制御: 過剰な管理者権限の付与、または個別の特権アカウントを効果的に使用しないこと。
6. MFAのギャップ: MFAを実装しているものの、リモートアクセスや機密性の高いクラウドサービスへのアクセスなどの主要な領域が欠けている状態。
7. 未テストのバックアップ: バックアップは実行するものの、復元プロセスを一度もテストしないこと。これにより、実際のインシデント発生時に初めて機能しないことが判明します。
8. 成熟度レベルの無視: 8つの戦略すべてにわたるそのレベルのすべての要件を完全に理解または満たさずに、特定のレベルを目指すこと。成熟度は最も弱いコントロールによって決まります。

監査人/評価者が尋ねる可能性のあること（開発者向け）

Essential Eightの評価は、システム管理とインフラストラクチャに焦点が当てられることが多いですが、アプリケーションのパッチ適用、強化、およびセキュアな構成に関して、開発者が関与する場合があります:

• (パッチ適用) 「アプリケーションで使用されているサードパーティライブラリの脆弱性を特定し、パッチを適用するプロセスは何ですか？」（SCAに関連）
• (User Application Hardening) 「アプリケーション内で使用されるウェブコンポーネントやフレームワークのセキュリティ設定は、一般的なクライアントサイド攻撃を防ぐためにどのように構成されていますか？」
• (Restrict Admin Privileges) 「アプリケーション自体は、異なるユーザーロールに対して最小特権を強制しますか？アプリケーションレベルの管理機能はどのように保護されていますか？」
• (オペレーティングシステムのパッチ適用) 「アプリケーションがデプロイされるOSおよびランタイム環境が、ポリシーに従ってパッチ適用されていることをどのように確認していますか？」（運用/プラットフォームチームとの連携）
• (MFA) 「アプリケーションは、ユーザーログイン、特に機密性の高い機能に対してMFAをサポートまたは強制していますか？」

評価者は、パッチ適用プロセスの証拠、セキュアな構成（サーバーサイドおよびアプリケーションの強化に関連するクライアントサイドの両方）、そしてアプリケーションがMFAやロギングなどのより広範なコントロールとどのように統合されているかを確認します。

開発チームのためのクイックウィン

開発チームはEssential Eightの目標を直接サポートできます。

1. 依存関係のパッチ適用を優先する：SCAツールを統合し、既知の重大/高レベルの脆弱性を持つライブラリを迅速に更新するプロセスを確立します。（パッチ適用をサポート）
2. 安全なアプリケーション設定: アプリケーションが安全なデフォルト設定で提供され、依存関係が安全に構成されていることを確認します。（ユーザーアプリケーションの強化、アプリケーションのパッチ適用をサポート）
3. アプリケーション権限の制限: アプリケーションは、必要最小限のオペレーティングシステムまたはサービス権限で実行されるように設計します。（管理者権限の制限をサポート）
4. MFA統合のサポート: アプリケーションがユーザー認証のために標準的なMFAソリューションと正しく統合できることを確認します。（MFAをサポート）
5. セキュアなビルドの生成: ビルドプロセス自体が脆弱性を導入せず、アーティファクトが安全に保存されることを保証します。（いくつかの戦略を間接的にサポートします）
6. ロギングフックの提供: セキュリティ関連イベントに対して明確なロギング機能を備えたアプリケーションを構築し、監視要件をサポートします。（間接的にバックアップと広範なセキュリティをサポートします）

これを無視すると...（非準拠の結果）

オーストラリア政府機関にとって、PSPFによって義務付けられているEssential Eightの要件を満たさないことは、政府の方針への不遵守となり、監査結果や是正措置の要求につながる可能性があります。ビジネスにとって：

• 一般的な攻撃のリスク増加: これらの戦略を無視すると、組織はランサムウェア、フィッシング、マルウェア感染、認証情報の窃取といった、ほとんどのサイバー攻撃の常套手段に対して非常に脆弱になります。
• Higher Incident Impact: パッチ適用、管理者制限、バックアップなどの管理策が不足していると、インシデントはより広範囲にわたり、損害が大きく、復旧が困難になる可能性が高まります。
• 政府・パートナー要件の不履行: 入札や契約（特に政府関連）では、Essential Eightへの準拠がますます求められています。不遵守は機会を阻害します。
• 評判の損害: Essential Eightのような基本的で広く推奨されている制御策を実装しなかったために侵害を受けた場合、重大な評判の損害につながる可能性があります。
• 規制上／法的な問題の可能性: PSPF以外では直接的な法規制ではないものの、Essential Eightのような認識されたベストプラクティスを実装しないことは、個人データ（Privacy Act）に関わる侵害や重要インフラに影響を与える侵害が発生した場合に、過失と見なされる可能性があります。

よくあるご質問

Essential Eightはオーストラリアで義務付けられていますか？

オーストラリア連邦政府機関には、保護セキュリティポリシーフレームワーク (PSPF) の下で義務付けられています。民間企業にとっては、ベストプラクティスと見なされ、特に政府機関と連携する企業や重要分野の企業ではますます期待されていますが、広範に法律で義務付けられているわけではありません（現時点では）。

Essential Eightの成熟度レベルとは何ですか？

ACSCによって3つの成熟度レベル（レベル1、レベル2、レベル3）が定義されています。各レベルは、8つの緩和戦略をより厳格に実施することで、より高度な攻撃者に対する防御能力が向上することを示します。組織がその全体的な成熟度レベルを達成するには、8つすべての戦略において特定のレベルの要件をすべて満たす必要があります。

組織はどの成熟度レベルを目指すべきですか？

ACSCは、組織がリスクプロファイルに基づいて成熟度レベルを設定するよう助言しています。これは、標的となる可能性と侵害が発生した場合の潜在的な影響を考慮したものです。オーストラリア政府機関はしばしばレベル2以上を目指します。企業は適切な目標を決定するためにリスクアセスメントを実施すべきです。

Essential EightはISO 27001やNIST CSFとどのように関連していますか？

Essential Eightは、特定の優先順位付けされた技術的緩和戦略に焦点を当てています。ISO 27001は、ガバナンス、リスク管理、およびより広範な管理策（E8に合致する多くの技術的管理策を含む）をカバーする、より広範な情報セキュリティマネジメントシステム（ISMS）規格です。NIST CSFは、サイバーセキュリティ活動を組織化するための高レベルなフレームワークです。Essential Eightを導入することで、ISO 27001内の多くの技術的管理策要件を満たすのに役立ち、NIST CSFの「Protect」および「Recover」機能と整合します。

Essential EightはWindows環境専用ですか？

元々は主にMicrosoft Windowsシステムを念頭に置いて設計されましたが（Office Macro設定などの管理策に反映されています）、Essential Eightの原則（パッチ適用、アプリケーション制御、MFA、バックアップなど）は、他のオペレーティングシステム（Linux、macOS）やクラウド環境にも適用可能であり、適応できます。ただし、具体的な実装方法は異なります。

Essential Eightコンプライアンスはどのように評価されますか？

評価は、ACSCの成熟度モデル仕様に対する自己評価を伴うことがよくあります。政府のコンプライアンスまたは第三者保証の場合、独立した第三者によって正式な監査または評価が実施され、目標とする成熟度レベルにおける各戦略の技術的な構成、ポリシー、手順、および実装の証拠が調査されることがあります。Introspectus Assessorのようなツールは、技術的なチェックの一部を自動化できます。

公式のEssential Eightガイダンスはどこで入手できますか？

オーストラリアサイバーセキュリティセンター（ACSC）のウェブサイト（cyber.gov.au）は、Essential Eight緩和戦略および詳細な成熟度モデル仕様の公式情報源です。