2025年のEssential Eight遵守方法

Essential Eightとは何か？

「EEC」は、サイバープライバシーを守るための手法です。2017年にASDが発表したこの更新版は、以前の4つのプライバシー基準を改善したものです。現代においてオーストラリア企業をマルウェア攻撃から守るため、EECはさらに4つの追加措置を提案・導入しました。

EECの手法は、大きく攻撃防止、迎撃、情報取得の3つに分けられます。

‍

成熟度レベル

EECは、導入を容易にするために、ステージゼロからステージスリーまでの4段階に分かれます。ステージゼロ以外の各段階は、敵が次第に高度な技術や手法を用いることに対応する能力に基づいています。敵の技術や標的選定は、状況やターゲットによって大きく異なる場合があるため、たとえば、基本的な技術と先進的な技術の両方に習熟した敵は、ある対象には前者を、別の対象には後者を用いることが考えられます。したがって、企業は特定の脅威そのものよりも、採用すべき技術や標的設定の洗練度に注目することが望ましいです。

また、サイバー犯罪者にとっての魅力度が攻撃リスクに影響し、情報の機密性、データのアクセス性、整合性がサイバープライバシー事象の結果に影響を及ぼします。これらを踏まえ、具体的な段階を絞り込むための指標とすることも可能です。

最後に、ステージスリーは、必要な時間、資金、労力を惜しまない敵に対しては効果が限定的です。したがって、企業はISMやサイバープライバシー事象の軽減策に記載されたその他の対策についても検討すべきです。

• 成熟度レベルゼロ

この段階では、企業のサイバーセキュリティ対策はまだ不十分です。成熟度ステージワンで示される技術や標的設定上の脆弱性は、悪用されるとシステムやデータの守る、整合性、利用可能性に影響を及ぼす恐れがあります。

• 成熟度レベルワン

この段階は、無料で入手可能な「汎用技術」を利用してシステムへの侵入や制御を試みる敵に対応するためのものです。例えば、パッチが適用されていないインターネット接続サービスの脆弱性に対して、公に入手可能なハックを利用したり、漏洩・再利用・ブルートフォース、推測された認証情報を使ってアクセスする恐れがあります。

攻撃者は特定の個人を狙うのではなく、容易な標的を探すため、多数のターゲットに共通する脆弱性を利用しようとします。また、一般的なソーシャルエンジニアリング手法を使い、ユーザーにセキュリティホールを生ませ、悪意あるソフト（例：Microsoft Officeマクロ）の実行を促すこともあります。侵害したアカウントの権限を悪用したり、情報（バックアップ含む）の削除を狙ったりするケースもあります。

• 成熟度レベルツー

この段階は、前段階よりも能力が向上した敵に対応するためです。これらの敵は、対象を詳しく調査し、手法を洗練させるためにより多くのリソースを投入する用意があります。例えば、既知の技術を利用して対象の防御策を回避し、検知を逃れようとする場合があります。弱い多要素認証がある場合、フィッシングやソーシャルエンジニアリングでその突破を狙います。

敵はターゲットの選定に慎重ながらも、1件ごとに投入するリソースは限定的です。フィッシング攻撃や標準的なソーシャルエンジニアリングで防御を崩す試みは、一定の効果が見込まれます。もし侵害したアカウントに高い権限があれば、それを悪用するほか、目的によっては高権限のアカウントでアクセス可能なデータ（バックアップも含む）を削除することもあり得ます。

• 成熟度レベルスリー

この段階では、公開されている情報やツールに依存する敵より、より洗練された脅威が優先されます。これらの敵は、古いソフトの使用や適切なログ・監視がなされていない防御の隙を突いて侵入し、侵入後はそのアクセスを隠し、内部に根を下ろします。公開された脆弱性が利用可能になると、すぐにその機会を捉え、攻撃成功の確率を高めようとします。

一般に、敵はより的を絞った攻撃を行い、企業が採用した独自のポリシーや技術的安全管理の弱点を探すため、追加の労力を投入する傾向があります。例えば、悪意ある文書をユーザーに開かせ、知らずにセキュリティを突破させるといった手法です。また、認証トークンを取得してユーザーになりすますことで、より厳格な多要素認証を回避する場合もあります。システムへの侵入に成功した後は、高権限の認証情報やパスワードハッシュの取得、ネットワーク内の横展開、痕跡の隠蔽などを進め、必要であれば保存された全データの削除に踏み切ることもあります。

‍

アプリ制御

これは、ウイルスがコンピュータ上で動作するのを防ぐための安全策です。正しく設定すると、実行できるプログラムは許可されたファイルのみに限定されます。

承認されていないアプリの実行を防ぐとともに、敵が悪意あるコードを実行しようとする試みを検出する助けにもなります。そのため、アプリ管理は、成功・失敗を問わず実行試行のログを記録できるよう設定する必要があります。ログには、ファイル名、実行日時、ユーザー名などの情報が記録されると望ましいでしょう。

この管理アプリの主な目的は、悪意あるコードの動作を遮断することですが、同時に悪意あるアプリのダウンロードも防ぐ効果があります。

1. アプリホワイトリストとその実装

これは、承認されたプログラム以外の実行を防ぐセキュリティ対策です。承認されたプログラムのみの起動を認め、その他の実行を禁止することで、敵のプログラムがネットワーク上で動作するのを抑止します。

実装手順の概要は以下の通りです:

• まず、デバイスやネットワークが正常に動作するために必要なソフトを特定する。
• 次に、ハードウェアまたはソフトウェアベースのソリューションでこれを接続・特定する。
• 承認されたアプリのリストは定期的に更新し、不要な項目を削除し、新たなソフトを追加する。
• 最後に、リストに記載された承認済みプログラムのみが実行できるよう設定し、その他のソフトの実行をブロックする。これは、コードの実行を監視し、承認済みリストと照合することで実現されます。

ファイル名

名前による許可制限は、特定の名前を持つファイルのみへのアクセスを認める手法です。しかしながら、この方法は推奨されません。なぜなら、同じ名前を持つファイルについては、ソフトが改ざんされた場合でも実行が許される可能性があるためです。

実施する必要がある場合は、技術的な混乱を避けるため、ファイル名フィルタと併用することが望ましいです。

1. ファイルパス 

これは、アプリの実行を特定のパスに限定するものです。以下の2つのパターンがあります:

• 許可リストに記載された特定のファイルタイプおよび位置のみを許可します。たとえば、C:WindowsProgram Filesフォルダーがホワイトリストに登録されれば、その中の全ファイルとアプリが実行可能となります。
• ファイルパス全体をホワイトリストに登録する場合、リストに記載された個々のファイルのみが実行可能となります。例えば、C:/Windows/ProgramFiles/example.exeが登録されていれば、そのパッケージのみが実行されます。

安全性を確保するには、承認済みファイルパスのリストを完全に管理する必要があります。ファイルパス属性が取得できない場合は、ディレクトリベースのホワイトリストを用いると良いでしょう。

ファイル種別

ファイルサイズに基づいたホワイトリスト化は、悪意あるソフトが正当なソフトより小さい容量である前提に立っています。しかし、これは誤りです。なぜなら、悪意ある者は同一の見た目やサイズを持つ偽物を簡単に作成できるからです。

この属性単体では信頼性が低いため、他の方法と併用するのが望ましいです。

データ暗号化アルゴリズムを用いた鍵交換

• ディレクトリベースのホワイトリストは、特定のディレクトリおよびサブディレクトリ内のファイルを許可します。

例えば、C:/Windows/Program Filesフォルダーがホワイトリストに登録されれば、その中の全ファイルとアプリが実行可能となります。

• 完全なファイルパスのホワイトリストは、リストに記載された個々のファイルのみを許可します。

例えば、C:/Windows/ProgramFiles/example.exeが登録されていれば、そのパッケージのみが実行されます。完全なファイルパスのホワイトリストは安全性を保証します。もしファイルパス属性全体が取得できない場合は、ディレクトリベースのホワイトリストを用いるとよいでしょう。

2. ファイルサイズ 

ファイルサイズに基づいてホワイトリスト化する考えは、悪意あるソフトが正当なソフトよりも容量が小さいという前提に立っています。しかし、悪意ある者は見た目も容量も同じ偽物を容易に作成できるため、この前提は誤りです。

この属性は単独では弱いため、他の手法と併用すべきです。

3. 暗号学的ハッシュ 

ファイル名や位置に関わらず、ハッシュ化されたプランのみがこの属性で実行を許可されます。この手法は非常に安全ですが、アプリが更新され新たな暗号学的ハッシュが生成される際、最新状態の維持が難しい場合があります。

そのため、パッチ適用やパッケージのアップグレードのたびにホワイトリストを更新する必要があります。

ホワイトリストに登録されたアプリは、定期的な監査を受け、暗号学的ハッシュが悪用されていないか確認する必要があります。

4. デジタル署名 

デジタル署名は、ソフト自体に組み込まれた一意の識別子で、悪意あるコピーが実行されるのを防ぎます。

また、発行者の独自性も署名の一要素となり、アプリ配信時に発行者名を明示することで信頼性を示します。

しかし、この手法には2つの欠点があります。

信頼できる発行者や確認済みの識別属性があっても、アプリが安全とは限らず、SolarWindsのサプライチェーン侵害がその証拠です。

また、この手法にのみ依存すると、潜在的に安全性の低い旧来ソフトが実行され続ける可能性があります。

5. プロセス 

この機能は、承認されたパッケージを実行するために必要なプロセスのみが動作することを保証し、その他のプロセスの実行を排除します。ホワイトリストは、どのプログラムがどの機能にアクセスできるかを制御する手法です。

ただし、承認されたプロセスでも悪用される危険があるため、完全に依存するのは避けるべきです。強固な状況判断に基づく許可設定と併せることで、より堅固なファイアウォール制御が実現します。

Essential Eight アプリ制御要件の遵守方法

EECの成熟度を定期的に監視し、全てのセキュリティ要求を満たすよう努める必要があります。EECはサイバーセキュリティの基礎であるため、データ保護対策として成熟度レベルスリーの達成と維持が求められます。

ASDは、以下のアプリプライバシー対策を推奨しています:

• 全職場およびリモートエンドポイントのホワイトリスト化
• すべてのサーバにファイアウォールの導入
• Microsoftの最新ブロック設定の実装

‍

アプリのパッチ適用

これは、ソフトにセキュリティ修正やバグ修正、新機能を更新するプロセスです。パッチ適用は、ソフトの安定性、安全性、パフォーマンスを向上させ、攻撃者に狙われる脆弱性に対策を講じるために不可欠です。定期的なパッチ適用により、ソフトを最新かつ安全な状態に保ちます。修正は自動または手動で実施されますが、本番環境に適用する前にテストすべきです。

ASDは、アプリの脆弱性を4つのリスクレベルに分類し、以下の通り更新を推奨しています:

1. 極度のリスク

• 不正なリモートアクセス脆弱性
• 重要な業務システムに影響する脆弱性
• 公開されている脆弱性
• 軽減策がなく、インターネット接続されている場合

2. 高いリスク

• 不正なリモートアクセス脆弱性
• 重大な業務システムに影響する脆弱性
• 公共領域での露出
• 安全環境内のセキュリティ対策で保護されている場合

3. 中程度のリスク

• リモートアクセス脆弱性によりなりすましが可能
• 信頼できないユーザーに対してリモートアクセス制御が露出している
• 二段階認証で保護されたリモートアクセスゲートウェイ
• リモートアクセスゲートウェイが高権限を許可していない

4. 低いリスク

• 認証済みユーザーによるSQLインジェクションで悪用可能な脆弱性
• 公開リソースに機密データが含まれていない
• 軽減策により悪用が困難または難しい

Essential Eight アプリパッチ適用要件の遵守方法

ASDは、ソフトウェア更新が意図通りに実施されるよう、以下の方法を推奨しています:

• 重大な脆弱性発見から48時間以内にセキュリティ更新を実施する
• 更新の検証強化策を開発中である
• すべての社内アプリが最新のベンダーソフトと連携できることを確認する

‍

アプリのハードニング

アプリのハードニングは、ウェブアプリをサイバー攻撃から守るために安全性を強化する対策です。パッチ適用や新たな安全策の導入を含み、外部向けアプリを通じた悪意あるコードの侵入を防ぎます。特に、1990年代以前に作成されたプログラムは、侵入試行の検知・防止が難しいため、標的になりやすいです。

アプリのハードニングルールは、サイバー攻撃防止のセキュリティフレームワークの重要な一環であり、未承認者の内部ネットワークアクセスを防止します。

アプリハードニングの手法

以下は、一般的な7つのアプリハードニング手法です:

• ユーザーや他の情報源からの全入力をチェックし、不正なコードが含まれていないか検証する
• 機密情報や重要な機能へのアクセスを、承認されたユーザーに限定する
• 送信中および保存中の機密情報を暗号化して、データの盗難を防止する
• セキュアコーディングの規範（例：エラーハンドリング）を採用し、攻撃者が脆弱性を突くのを困難にする
• 既知の脆弱性を修正するため、最新のバージョンとセキュリティパッチを適用する
• 潜在的な悪意ある動作を監視し、後の調査や対策のためにログを記録する
• アプリの脆弱性とリスクを分析し、攻撃面を低減するための予防策を実施する

Essential Eight アプリハードニング要件の遵守方法

ASDは、アプリハードニング対策の遵守のため、以下の手法を推奨しています:

• すべてのブラウザでFlashを無効、または利用不可にする（Adobeは2020年にFlashのサポートを終了しています）。
• Microsoft OfficeでのFlashサポートを無効にする
• Microsoft OfficeのObject Linking and Embedding（OLE）パッケージを設定で無効にする
• すべてのブラウザでオンライン広告のフィルタリングを有効にする
• すべてのブラウザでJava対応サイトを一律にブロックする
• また、システムハードニングについても確認する

‍

管理者権限の制限

組織内では、最も権限の高い管理アカウントが全ての重要なデータにアクセス可能です。そのため、サイバー犯罪者がシステム侵入に成功した場合、まずこれらのアカウントを狙って情報を盗む可能性が高まります。

PAMの基本原則は、以下の4点です:

• 高権限アカウントを把握し、監視する
• アクセス制限される全アカウントを守る
• 高権限アクセスのすべての操作を監視する
• アクセス権限の変更を自動化する

この種のアカウントは、PAMのセキュリティ対策として最小限に抑える必要があり、まずは既存の高権限アカウントを徹底的に監査し、可能な限り削減を図ります。

Essential Eight 管理者権限制限要件の遵守方法

管理者権限制限の遵守について、ASDは以下の方法を推奨しています:

• プログラムやサーバへの初回利用時および定期的（年次またはそれ以上）のアクセス認証の確認を行う
• 必要最小限の権限を持つユーザーに限定する
• 高権限ユーザーによるメール、ウェブ、クラウドストレージへのアクセスを制限し、不要な情報の読み取りやダウンロードを防ぐ

‍

Microsoft Officeマクロの設定

Microsoft Officeマクロは、Office内で繰り返しの作業を自動化するスクリプトです。マクロが侵害されると、悪意ある者が機密データに不正アクセスする恐れがあります。

全てのマクロを無効にするのが最も安全ですが、業務上必要な場合も存在します。したがって、プライバシーに影響を与えない最低限のマクロを許可する必要があります。

以下の点について検討するとよいでしょう:

• このマクロは業務達成にどの程度重要か
• 他に同じ目標を達成する手段はあるか
• 信頼できる情報源を用いて作成されたか
• 承認された情報源により安全性が確認された証拠があるか

Essential Eight Microsoft Officeマクロ設定要件の遵守方法

最大限のプライバシーを守り、ユーザーによるマクロ設定の改変を防ぐため、ASDは全マクロの無効化を推奨しています。必要なマクロについては、以下の対策が求められます:

• Secure Sourcesからダウンロードされたファイル内のマクロのみを有効にする
• マクロの作成・変更は承認権限者に限定する
• インターネットからダウンロードされたMicrosoft Officeファイル内のマクロは無効にする

‍

多要素認証

多要素認証（MFA）を利用する場合、資格情報入力後に追加のセキュリティ確認が求められます。これにより、ログインする全ユーザーの身元を確認し、不正アクセスを困難にします。

MFAは、配置が容易でありながら、データ流出のリスクを大幅に低減する効果があります。認証層が追加されるほど、ネットワークアクセスの突破が一層難しくなります。

また、フィッシングやその他のアカウント乗っ取り対策としても有効です。

ただし、MFAの安全性は一様ではなく、より堅牢な認証手法は、ログイン端末とは別の手段を必要とするものです。

Essential Eight 多要素認証要件の遵守方法

リモートデバイスの保護には、複数の認証手段を組み合わせることが重要です。現代のリモートワーク環境では特に不可欠です。

最大の安全性を確保するため、以下の認証方法のうち2種類以上を採用すべきです:

• 6文字以上のパスワード
• U2F（Universal 2nd Factor）セキュリティキーの使用
• ワンタイムパスワード生成トークン
• 生体認証
• スマートカード

さらに、ASDは以下の多要素認証対策も推奨しています:

• 高アクセス権限の全アカウントに多要素認証を適用する
• 戦略的資産へのアクセス要求では多要素認証を必須とする

‍

日次バックアップ

これは、Essential Eightの8番目の対策であり、サイバー攻撃における最終防衛ラインです。敵が他の7対策を突破した場合でも、直近のバックアップから復元できれば被害を抑えられます。

オーストラリア企業は、デジタル保存のポリシーとして、日次バックアップとバックアップの改ざん防止策を導入する必要があります。

Essential Eight 日次バックアップ要件の遵守方法

他の7対策を突破された場合でも、オーストラリア企業が重要データの持続的かつ正確なバックアップを保有できるよう、以下の対策が推奨されます:

• デジタル保存ポリシーの策定と実施
• 2種類のデータバックアップ手順の確立
• 一次および二次のデータ復旧プロセスの設定
• 本番適用前および大幅なITインフラ変更時に復旧手順の評価
• 少なくとも3ヶ月に1回、部分バックアップ復元のテストを実施
• 欠かせないデータや設定については日次バックアップを実施
• 単一障害点を避けるため、複数箇所にバックアップを保管
• 全バックアップは最低3ヶ月の保管期間を確保

‍

Wallarmは、これらの対策にどのように役立つか

APIやアプリの守りにおいて、Wallarmは有力な選択肢です。Wallarmは攻撃面の監視ツールとして、オーストラリア企業がEssential Eightの規準に沿った対策を講じ、データ流出や漏洩のリスクに備えるための支援を行います。継続的なセキュリティおよび技術サポートにより、APIセキュリティ対策が効率的に機能し、変化する脅威に対応できるよう支援します。専門知識を持つAPIセキュリティのプロフェッショナルが常駐するSOCが、24時間体制で脅威の検知、セキュリティ監視、インシデント対応を行います。