TL;DR

エッセンシャル・エイトは、オーストラリアの実践的なサイバー防衛チェックリストであり、予防、制限、回復に分かれた8つのコントロールである。

パッチの適用、MFA、アプリのハードニング、バックアップなどだ。

メガフレームワークではないが、政府機関には必須であり、誰にとっても確かなベースラインだ。

3つの成熟度レベルは、アマチュアからAPTまで、攻撃者に対する抵抗力を測定する。

エッセンシャル・エイト・スコアカードの概要

• 開発者の労力：中程度（アプリケーションのパッチ適用、ユーザーアプリケーションの堅牢化、潜在的なアプリケーション制御、MFAのサポート、バックアップの有効性の確保が含まれる）
• ツールコスト：中程度（パッチ適用、アプリケーション制御／ホワイトリスト、潜在的なマクロ制御、MFAソリューション、バックアップシステム、管理者権限管理のためのツールが必要）。
• 市場への影響：高い（オーストラリア政府にとって必須基準であり、オーストラリア企業にとってベストプラクティスと考えられている。）
• 柔軟性：高（具体的な緩和結果に焦点を当てる。成熟度レベルではリスクに応じて段階的に実施できる）。
• 監査の強度：中程度（成熟度レベルに照らして自己評価することが多いが、政府コンプライアンスまたは第三者保証のための監査／評価が一般的である）。

エッセンシャル・エイトとは？

エッセンシャル・エイトは、オーストラリア・サイバー・セキュリティ・センター（ACSC）が開発・推奨するサイバーセキュリティの基本緩和策です。これは、実践的でインパクトの大きい管理策に焦点を当てることで、さまざまなサイバー脅威から組織の情報システムを保護するように設計されている。サイバーレジリエンスを向上させるための基礎と考えられている。

エッセンシャル・エイトの戦略は3つの目標に分類されている：

1.マルウェアの配信と実行を防ぐ：

* アプリケーション制御：許可されていない/悪意のあるプログラムの実行を防ぐ（ホワイトリスト）。

* アプリケーションのパッチ適用：既知のセキュリティ脆弱性を修正するため、アプリケーションのパッチ/更新を迅速に行う。

* Microsoft Officeマクロの設定：インターネットからのマクロをブロックまたは制限します。

* ユーザーアプリケーションの堅牢化：潜在的に有害なコンテンツ（Flash、広告、Javaなど）をブロック／制限するよう、ウェブブラウザやその他のアプリケーションを設定する。

2.サイバーセキュリティ事故の範囲を限定する：

* 管理者権限の制限：ユーザーの職務に基づき、強力な管理者アクセスを制限する。

* オペレーティングシステムのパッチ適用：オペレーティングシステムのパッチ/アップデートを迅速に行う。

* 多要素認証（MFA）：多要素認証（MFA）：機密性の高いシステム／データへのアクセス、特にリモートアクセスや特権ユーザーに対して MFA を導入する。

3.データの復旧と可用性の維持：

* 定期的なバックアップ：重要なデータ、ソフトウェア、構成設定のバックアップを毎日実行します。バックアップを安全に保管し、復元プロセスを定期的にテストする。

ACSCはまた、エッセンシャル・エイトの実施に関する成熟度レベル（レベル1、レベル2、レベル3）を定義しており、これは敵のテクニックを軽減する能力のレベルを表している。

• 成熟度レベル1：主に一般的なツールやテクニックを使って最初のアクセスや制御を行う敵対者を軽減することに重点を置く。
• 成熟度レベル2：より高度なテクニックを持つ敵対者を軽減することに重点を置き、積極的にコントロールを迂回し、その痕跡を隠そうとする。
• 成熟度レベル3：より標的を絞り、持続的で適応力のある、国家をスポンサーとする行為者を含む洗練された敵対者を軽減することに重点を置く。

各成熟度レベルには、8つの戦略それぞれに具体的な実施要件がある。

なぜ重要なのか？

エッセンシャル・エイトは、特にオーストラリアの文脈においては非常に重要である：

• 効果的なベースライン防御最も一般的なサイバー攻撃ベクトル（マルウェア、フィッシング、クレデンシャル盗難など）を大幅に軽減する、実証済みの優先順位付けされた一連のコントロールを提供します。
• オーストラリア政府の義務：保護セキュリティポリシーフレームワーク（PSPF）に基づき、オーストラリア連邦政府機関には実施（多くの場合、成熟度レベル2以上）が義務付けられている。
• 業界のベストプラクティス（オーストラリア）：オーストラリア企業がサイバー耐性を向上させるための基本基準として広く採用され、推奨されている。
• 実践的で実行可能：複雑な管理システムではなく、具体的な技術的コントロールに焦点を当てているため、比較的容易に理解し、実施することができる。
• 費用対効果の高い緩和策：これらの中核的な管理策を導入することで、侵害を未然に防ぐことができるため、事後対応よりも費用対効果が高くなることが多い。
• サプライチェーンへの期待：政府機関や民間企業は、サプライヤーがエッセンシャル・エイトを遵守していることを示すことをますます期待するようになっている。
• サイバー耐性の向上：根本的にシステムを侵害しにくくし、インシデントが発生した場合の復旧を容易にする。

オーストラリア以外の国でも、エッセンシャル・エイトはサイバーセキュリティ衛生の強固な基盤となっている。

何をどのように実施するか（技術・政策）

エッセンシャルエイトの実施には、各戦略の技術的統制とそれを支えるポリシーの導入が含まれ、特定の成熟度レベルを目指す：

1. アプリケーションコントロール：
   
   • ツール（Microsoft AppLockerやサードパーティのソリューションなど）を使って、実行を許可されたアプリケーション（実行可能ファイル、スクリプト、インストーラー）のリストを定義し、強制する。それ以外はすべてブロックする。慎重なベースラインの作成と継続的な管理が必要。
2. パッチの適用：
   
   • 堅牢なパッチ管理プロセスを導入する。自動化ツールを使用して、アプリケーション（Webブラウザ、Office、PDFビューア、Java、Flashなど）のパッチが適用されていないかスキャンする。クリティカル/高レベルのパッチを、決められた時間枠内に適用する（たとえば、インターネットに面したアプリケーションのML2/3には48時間）。
3. Microsoft Officeマクロの設定を行う：
   
   • グループポリシーオブジェクト（GPO）またはMDM設定を使用して、信頼できない場所（インターネット、電子メールの添付ファイル）からのマクロをブロックする。業務上必要な場合のみ、信頼できる署名付きソースからのマクロを許可する。例外を厳しく審査する。
4. ユーザーアプリケーションのハードニング：
   
   • リスクの高いコンテンツ（Flash、ウェブ広告、Javaアプレットなど）をブロックまたは無効にするようウェブブラウザを設定する。ユーザーがこれらの設定を簡単に上書きできないようにする。ウェブコンテンツフィルタリングを使用する。OfficeやPDFビューアなどを設定し、オブジェクトのリンク/埋め込みやスクリプトの実行を可能な限り防止する。
5. 管理者権限を制限する：
   
   • 最小特権の原則を実行する。必要な場合にのみ管理者権限を割り当てる。特権的なタスクと日常的なアクティビティ（電子メール、ブラウズ）には別のアカウントを使用する。特権アカウントを安全に管理する（強固なパスワード/パスフレーズ、MFA）。特権操作をログに記録し、監視する。
6. パッチOS：
   
   • アプリケーションのパッチ適用と同様に、OS のセキュリティパッチをスキャンして迅速に適用するプロセスとツールを導入する。特に重要なパッチは（例えば、インターネットに面したシステムの ML2/3 では 48 時間以内に）適用する。
7. 多要素認証（MFA）：
   
   • すべての特権アクセス、リモートアクセス（VPN、RDP、Webメール）、重要なデータリポジトリへのアクセスにMFAを導入する。強力な認証方法（認証アプリ、FIDO2キー、スマートカードなど）を使用する。SMSのようなフィッシングされやすい方法は、可能な限り高いレベルでは避ける。
8. 毎日のバックアップ
   
   • 重要なデータ、設定、システムイメージを毎日自動バックアップする。バックアップを安全に保存する（オフライン、オフサイト、暗号化）。リストアプロセスを定期的にテストし（少なくとも年1回、より高いレベルの場合は四半期に1回が望ましい）、完全性と信頼性を検証する。

より高い成熟度レベルを達成するためには、一般的に、より自動化、より迅速なパッチ適用、より包括的なロギング／モニタリング、より厳格な管理（MFAの強化など）、より頻繁なテスト（バックアップの復元など）が必要となる。

避けるべき一般的な間違い

エッセンシャル・エイトを実践する際、よくある間違いには次のようなものがある：

1. チェックリストとしてのみ扱うこと：管理策を長期的に有効なものにするための方針、手順、訓練を伴わずに、技術的に実施すること。
2. 不十分な実装：アプリケーションコントロールやMFAなどの）コントロールの設定が不適切または不完全で、ギャップが残ったり、ユーザーとの間に過度の摩擦が生じたりすること。
3. 一貫性のない適用：定義された範囲内で、あるシステムには統制を適用し、他のシステムには適用しないこと。
4. パッチ適用時期の軽視：アプリケーションやオペレーティングシステム（特に重要な脆弱性）へのパッチ適用に必要な期限を守らない。
5. 弱い管理者権限管理：過剰な管理者権限の付与や、個別の特権アカウントを効果的に使用していない。
6. MFAのギャップ：MFAを実装しているが、リモートアクセスや機密性の高いクラウドサービスへのアクセスなど、重要な領域を見逃している。
7. テストされていないバックアップ：バックアップを実行したが、リストアプロセスをテストしたことがなく、実際のインシデント発生時に初めて機能しないことが判明する。
8. 成熟度レベルの無視： 8つの戦略すべてにおいて、そのレベルに必要なすべての要件を完全に理解したり満たしたりすることなく、特定のレベルを目指すこと。最も弱いコントロールと同じ程度にしか成熟していない。

監査人／評価者が尋ねそうなこと（開発者フォーカス）

Essential Eightの評価では、システム管理とインフラストラクチャに焦点を当てることが多いが、特にアプリケーションのパッチ適用、ハードニング、セキュアな設定に関しては、開発者が関与することもある：

• (パッチアプリケーション)"アプリケーションで使用されているサードパーティライブラリの脆弱性を特定し、パッチを適用するプロセスはどのようなものですか？"(SCA関連）
• (ユーザ・アプリケーションの堅牢化）"一般的なクライアントサイド攻撃を防ぐために、アプリケーション内で使用されているウェブコンポーネントやフレームワークに対して、どのようにセキュリティ設定がなされていますか？"
• (管理者権限の制限)"アプリケーション自身は異なるユーザロールに対して最小特権を強制しますか?アプリケーションレベルの管理機能はどのように保護されていますか?"
• (OSへのパッチ適用）"アプリケーションをデプロイするOSとランタイム環境がポリシーに従ってパッチ適用されていることをどのように確認しますか？"(運用／プラットフォームチームとのやりとり）
• (MFA)"アプリケーションは、ユーザのログイン、特に機密性の高い機能のための MFA をサポートするか、強制するか。

評価者は、パッチ適用プロセス、セキュアな設定（サーバサイドと、アプリケーションのハードニングに関連する可能性のあるクライアントサイドの両方）、およびアプリケーションがMFAやロギングなどの広範な制御とどのように統合されているかの証拠を確認する。

開発チームのクイックウィン

開発チームはエッセンシャル・エイトの目標を直接サポートすることができる：

1. 依存関係のパッチ適用を優先する:SCAツールを統合し、既知の重要/高レベルの脆弱性を持つライブラリを迅速に更新するプロセスを確立する。(パッチアプリケーションのサポート)
2. 安全なアプリケーション構成：アプリケーションが安全なデフォルト設定で出荷され、依存関係が安全に構成されるようにします。(ユーザーアプリケーションの堅牢化、パッチアプリケーションをサポート)
3. アプリケーションの権限を制限する：必要最小限のオペレーティングシステムまたはサービス権限で実行されるようにアプリケーションを設計します。(管理者権限の制限をサポート)
4. MFA統合のサポート：アプリケーションが、ユーザー認証のための標準的なMFAソリューションと正しく統合できるようにします。(MFAをサポート)
5. 安全なビルドを行う：ビルド・プロセス自体が脆弱性をもたらさないようにし、成果物を安全に保管する。(いくつかの戦略を間接的にサポートする）
6. ロギングフックを提供する：監視要件をサポートするために、セキュリティ関連イベントに対する明確なロギング機能を備えたアプリケーションを構築する。(バックアップを間接的にサポートし、より広範なセキュリティをサポートする）。

これを無視すれば...（コンプライアンス違反の結果）

オーストラリア政府機関にとって、PSPFが義務付けるEssential Eightの要件を満たさないことは、政府の方針に対するコンプライアンス違反となり、監査で指摘を受け、是正を求められる可能性がある。企業にとって

• 一般的な攻撃のリスクの増大：これらの戦略を無視すると、組織はランサムウェア、フィッシング、マルウェア感染、クレデンシャルの窃取など、サイバー攻撃の常套手段に対して非常に脆弱になる。
• インシデントのインパクトが大きい：パッチの適用、管理者の制限、バックアップなどの管理体制の欠如は、インシデントがより広範囲に及び、被害が拡大し、復旧が困難になる可能性が高いことを意味する。
• 政府／パートナーの要件を満たすことができない：入札や契約（特に政府関連）において、エッセンシャルエイトとの整合性を示すことが求められることが増えている。コンプライアンス違反はチャンスを阻む。
• 風評被害：エッセンシャル・エイトのような、広く推奨されている基本的な管理策を実施しなかったために情報漏えいに見舞われると、大きな風評被害につながる可能性がある。
• 潜在的な規制／法的問題：PSPF以外の）直接的な法律ではないが、エッセンシャル・エイトのような認知されたベスト・プラクティスを実施しなかった場合、個人情報（プライバシー法）に関わる情報漏洩や重要なインフラに影響を与えた場合に過失とみなされる可能性がある。

よくあるご質問

オーストラリアではエッセンシャル・エイトは必須ですか？

オーストラリア連邦政府機関では、PSPF（Protective Security Policy Framework）により義務付けられている。民間企業については、ベストプラクティスとみなされ、特に政府機関や重要なセクターで働く企業にとってはますます期待されているが、（まだ）法律で広く義務付けられているわけではない。

エッセンシャル・エイトの成熟度レベルとは？

ACSC では 3 つの成熟度レベル（1、2、3）を定義している。各レベルは、8 つのミティゲーション戦略のより厳格な実施を要求することで、より巧妙な攻撃者から防御する能力を高めていることを表している。組織は、その成熟度レベルを達成するために、8 つの戦略すべてにおいて特定のレベ ルの要件をすべて満たす必要がある。

どの成熟度レベルを目指すべきか？

ACSCは、組織が標的にされる可能性と侵害がもたらす潜在的な影響を考慮し、リスクプロファイルに基づいて成熟度レベルを設定するよう助言している。オーストラリアの政府機関は、レベル2以上を目標とすることが多い。企業は、適切な目標を決定するためにリスクアセスメントを実施すべきである。

Essential EightとISO 27001やNIST CSFとの関係は？

エッセンシャルエイト（Essential Eight）は、技術的な緩和策の特定の優先順位付けされたセットに焦点を当てている。ISO 27001 は、より広範な情報セキュリティマネジメントシステム（ISMS）規格であり、ガバナンス、リスク管理、およびより広範な管理（E8 と整合する多くの技術的なものを含む）を対象としている。NIST CSF は、サイバーセキュリティ活動を組織化するためのハイレベルなフレームワークです。エッセンシャルエイトを実施することで、ISO 27001の多くの技術的管理要件を満たすことができ、NIST CSFの「保護」と「回復」の機能と整合します。

Essential EightはWindows環境専用ですか？

元々は主にマイクロソフト・ウィンドウズ・システムを念頭に置いて設計された（Officeマクロ設定などのコントロールに反映されている）が、エッセンシャル・エイトの背景にある原則（パッチ適用、アプリケーション・コントロール、MFA、バックアップなど）は、具体的な実装方法は異なるものの、他のオペレーティング・システム（Linux、macOS）やクラウド環境にも適用・適応可能である。

エッセンシャル・エイトへの適合性はどのように評価されますか？

評価には、多くの場合、ACSC の成熟度モデル仕様に照らした自己評価が含まれる。政府のコンプライアンスや第三者による保証の場合は、独立した第三者による正式な監査または評価を実施し、目標とする成熟度レベルの各戦略について、技術的構成、ポリシー、手順、および実装の証拠を調査する。Introspectus Assessorのようなツールは、技術的なチェックの一部を自動化することができます。

エッセンシャル・エイトの公式ガイダンスはどこにありますか？

オーストラリアのサイバーセキュリティセンター（ACSC）のウェブサイト（cyber.gov.au）は、エッセンシャルエイトの緩和戦略と詳細な成熟度モデルの仕様に関する公式の情報源である。