Macエンドポイントテレメトリを活用した規制フレームワークへの準拠

今年初めにリリースされたJamfの最新Macエンドポイントテレメトリは、コンプライアンス監査、インシデント調査、脅威ハンティング、IT運用に役立つ、有意義で実用的なインサイトを提供する機能です。組織の命運を左右するコンプライアンスフレームワークへの準拠には、テレメトリを含めたデータが欠かせません。このブログでは、ガバナンスとコンプライアンスに焦点を当て、Jamfのテレメトリを活用することで、組織はどのようにしてデータの構成・収集を簡素化できるかをご紹介します。

ITにおけるガバナンスとコンプライアンスとは？

ガバナンスとは、業界公認の基準をベースとして、最低限のデータセキュリティレベルを達成するために必要な構成、機能、プロセスに関する基準を定めた、フレームワークのような仕組みです。

コンプライアンスとは、データ保護、プライバシー保護、監査対応ができるように、ガイドラインの範囲内で管理策の実装、ハードウェア/ソフトウェアの構成、プロセスの実施を行うことによって、ガバナンス（社内外両方の基準）を満たす行為です。

両者を成立させるにあたり、Macエンドポイントテレメトリから得られる実用的なインサイトを活用することで、異常を検出し、ポリシーを適用し、社内外の要件への準拠を証明できます。

ITにおけるガバナンスとコンプライアンスが重要な理由

組織が機密データを保護し、セキュリティ状態の穴を把握し、金銭的損害や評判低下のリスクを軽減するためには、ガバナンスとコンプライアンスが不可欠です。強固なガバナンスによってポリシーを確実に適用してリスクを最小限に抑えることができ、コンプライアンスによって社外の規制や社内の基準への準拠を証明して罰則やデータ漏洩を回避できます。

具体例を挙げましょう。

• 内部脅威の防止：ユーザアクティビティと権限昇格をログに記録することで、組織は不正な操作を検出して対応でき、NIST 800-53やISO 27001などのフレームワークに準拠できます。
• 監査対応の確立：システムアクティビティと構成変更を記録することで、PCI DSSやHIPAA監査への準拠を証明できます。
• 侵害による影響の軽減：テレメトリを通じて異常を追跡し、ポリシーを適用することで、高度な脅威を早期に検出し、業務への影響を最小限に抑えることができます。

ガバナンスとコンプライアンスは単なる義務ではなく、セキュアで効率的な業務運営を維持するための鍵となります。

コンプライアンスフレームワークを理解する

どの業界や地域にも、組織が準拠を求められたり目指したりする一般的なサイバーセキュリティフレームワークが存在します。重要なこととして、Jamfのエンドポイントテレメトリは、組織にデバイスの現在の健全性に関するインサイトを提供する機能です。重要性の高いこのデータは、コンプライアンスフレームワークに定められている要件にセキュリティ構成を適合させるのに役立ちます。以降では、代表的なフレームワークについて紹介します（すべてのフレームワークを網羅しているわけではありません）。

規制コンプライアンフレームワーク

このタイプのフレームワークは、法律や業界の規制によって準拠が義務付けられており、一般的に組織にはデータ保護、プライバシー、または運用の完全性を確保するために特定の要件を満たすことが求められます。これらのフレームワークへの準拠は必須です。

• 大統領令14028（M-21-31）：アメリカ合衆国連邦政府機関向け
• HIPAA/HITRUST CSF：アメリカ合衆国の医療機関およびサービスプロバイダ向け
• PCI DSS：決済処理に関するグローバルフレームワーク
• SOC：サービスプロバイダ向けのグローバルフレームワーク

セキュリティのベースラインとベンチマーク

このタイプのフレームワークや要件は、ITシステムの保護に推奨される技術的な管理策やベストプラクティスを提供するもので、より広範なコンプライアンス目標を達成するためのリファレンスとしてよく利用されます。これらのフレームワークは、組織や機関によって準拠が必須となる場合もあれば、任意となる場合もあります。

• ISO 27001/2：全組織を対象としたグローバルベースライン
• NIST 800-53：アメリカ合衆国（他国にも影響あり）の政府機関および民間企業向け
• NIST 800-171：アメリカ合衆国（他国にも影響あり）の政府、国防総省の請負業者、および関連する政府機関・防衛関連機関、防衛関連企業向け
• CNSSI 1253：アメリカ合衆国連邦政府の国家安全保障システム向け
• DISA STIG：アメリカ合衆国の軍事請負企業・国防総省の請負業者向け
• CISレベル1および2：全組織を対象としたグローバルベンチマーク

セキュリティ成熟度モデル

このタイプのフレームワークは、回復力と適応力に焦点を当て、段階型の推奨事項を通じて組織のサイバーセキュリティ状態を向上させることに重点が置かれています。

• CMMCレベル1および2：アメリカ合衆国国防総省の請負業者向け
• Essential 8：オーストラリアの全組織向け
• Australian ISM：オーストラリアの政府機関と民間企業向け
• Cyber Essentials：英国の政府機関と民間企業向け
• ENISAフレームワーク：欧州連合の重要インフラ（エネルギー、電気通信、輸送など）向け

JamfのMacエンドポイントテレメトリを利用するメリット

ガバナンスとコンプライアンスのフレームワークにどのような種類があるかがわかったところで、次に紹介するのは「JamfのMacエンドポイントテレメトリ機能はどのように役立つか」という点です。JamfのMacエンドポイントテレメトリには、セキュリティチームが簡単に構成・ログ記録できるテレメトリのカテゴリが用意されています。ここでは、一般的な要件、その重要性、各要件に関連するフレームワーク、要件への準拠に役立つテレメトリカテゴリについて解説します。

テレメトリ構成を作成する際に収集すべき情報のカテゴリの詳細については、テクニカルドキュメントをご覧ください。

Process execution and traceability（プロセスの実行とトレーサビリティ）

［Process execution and traceability］（プロセスの実行とトレーサビリティ）では、実行されたプロセス、その発生源、親子関係、コードの整合性に関する詳細を記録します。プロセス実行ログは、不正なプロセスを検出し、マルウェアを特定して、攻撃者の挙動を再現するために欠かせない記録です。NIST SP 800-53、EO 14028（M-21-31）、PCI DSS、Essential 8への準拠が求められる組織は、各フレームワークのログ記録要件を満たす一環として、このテレメトリのログを記録する必要があります。

Authentication and access（認証とアクセス）

［Authentication and access］（認証とアクセス）では、ログイン、ログアウト、ログイン失敗、リモートアクセス（SSHや画面共有など）といったユーザ認証イベントを記録します。組織がアクセス制御ポリシーを適用し、不正なログイン試行を追跡し、コンプライアンス監査に対応するためには、認証の成功と失敗のイベントをログに記録することが必要になります。NIST SP 800-53、EO 14028（M-21-31）、HIPAA、PCI DSS、Cyber Essentialsへの準拠が求められる組織は、このタイプのテレメトリのログを記録する必要があります。

Privilege elevation and administrative actions（権限昇格と管理アクション）

［Privilege elevation and administrative actions］（権限昇格と管理アクション）では、ユーザが権限を昇格させたイベント（例：sudo）や管理アクションを実行したイベント（例：ユーザの切り替え、重要なシステム変更）を監視します。権限の管理と追跡は、昇格した権限の悪用を検出し、アクションに関するフォレンジックなインサイトを得るうえで欠かせません。NIST SP 800-53、EO 14028（M-21-31）、PCI DSS、DISA STIGへの準拠が求められる組織は、各フレームワークのログ記録要件を満たす一環として、このテレメトリのログを記録する必要があります。

User and Group Management（ユーザとグループの管理）

［User and Group Management］（ユーザとグループの管理）では、アカウントの作成、削除、変更、属性の変更（パスワードなど）を含む、ユーザとグループの構成に対する変更を記録します。組織は、最小権限の原則を維持し、不正アクセスを防止するために、アカウントのライフサイクルイベントの可視化が必要になることが多々あります。NIST SP 800-53、EO 14028（M-21-31）、ISO/IEC 27001、CMMCへの準拠が求められる組織は、各フレームワークのログ記録要件を満たす一環として、このテレメトリのログを記録する必要があります。

Persistence mechanisms（永続化メカニズム）

［Persistence mechanisms］（永続化メカニズム）では、攻撃者が永続化を実現するために使用するテクノロジー（LaunchAgent、LaunchDaemon、その他のシステムレベルのタスクなど）の作成や削除を監視します。これを活用することで、macOSシステムに攻撃者が潜ませた長期的な足がかりを検出しやすくなります。NIST SP 800-53、EO 14028（M-21-31）、DISA STIGへの準拠が求められる組織は、各フレームワークのログ記録要件を満たす一環として、このテレメトリのログを記録する必要があります。

Volume mounts and device connection（ボリュームのマウントとデバイス接続）

［Volume mounts and device connection］（ボリュームのマウントとデバイス接続）では、ボリュームのマウント/マウント解除や、外部デバイス（USBドライブ、ネットワークデバイスなど）の接続に関するイベントをログに記録します。組織はデバイス接続ログを収集し、不正なハードウェア使用を追跡して、データ流出やマルウェアの侵入を防止することができます。NIST SP 800-53、EO 14028（M-21-31）、PCI DSSのフレームワークでは、それぞれのログ記録要件を満たす一環として、このテレメトリのログを記録する必要があります。

Built-in security events（内蔵されたセキュリティイベント）

［Built-in security events］（内蔵されたセキュリティイベント）では、macOSセキュリティツール（XProtectなど）からイベントを収集し、マルウェア検出と対策アクションに関するレポートを作成します。組織は脅威に対してアクティブな防御と修復を行っている証拠を得ることができ、マルウェア対策要件を満たせます。NIST SP 800-53、EO 14028（M-21-31）、Cyber Essentialsへの準拠が求められる組織は、各フレームワークのログ記録要件を満たす一環として、このテレメトリのログを記録する必要があります。

System configuration changes（システム構成の変更）

［System configuration changes］（システム構成の変更）では、プロファイルのインストール、VPN構成、カーネル拡張機能など、システム構成への変更を監視します。これは、システム堅牢化ポリシーを適用し、不正な逸脱を特定するのに役立ちます。NIST SP 800-53、EO 14028（M-21-31）、DISA STIGへの準拠が求められる組織は、各フレームワークのログ記録要件を満たす一環として、このテレメトリのログを記録する必要があります。

Diagnostic crash reports（診断・クラッシュレポート）

［Diagnostic crash reports］（診断・クラッシュレポート）では、内蔵アプリケーションとサードパーティアプリケーションから診断ログとクラッシュログを収集します。これらのログは、安定性の問題、失敗した攻撃試行、アプリケーション構成の誤りを特定するのに役立ちます。NIST SP 800-55、EO 14028（M-21-31）、ISO/IEC 27001への準拠が求められる組織は、各フレームワークのログ記録要件を満たす一環として、このテレメトリのログを記録する必要があります。

Application performance and resource utilization（アプリケーションのパフォーマンスとリソースの使用状況）

［Application performance and resource utilization］（アプリケーションのパフォーマンスとリソースの使用状況）では、CPU使用率、エネルギー効率、プロセスやアプリによるリソース消費量などのパフォーマンスメトリクスを記録します。アプリケーションパフォーマンスの監視は、リソースハイジャック（例：クリプトジャッキング）などの異常を検出し、システムの運用効率を最適化するのに役立ちます。NIST SP 800-53、ISO/IEC 27001、Essential 8への準拠が求められる組織は、各フレームワークのログ記録要件を満たす一環として、このテレメトリのログを記録する必要があります。

Custom log file collection（カスタムログファイルの収集）

［Custom log file collection］（カスタムログファイルの収集）では、個々の用途に合わせて、システムやサードパーティのログファイルを監視してレポートします。組織はデフォルトのテレメトリの範囲を超えて、特定のワークフローやコンプライアンス上重要なプロセスを監視できます。NIST SP 800-53、ISO/IEC 27001、Essential 8への準拠が求められる組織は、各フレームワークのログ記録要件を満たす一環として、このテレメトリのログを記録する必要があります。

Macエンドポイントテレメトリカテゴリのまとめ

Jamfのソリューションなら、ITチーム・セキュリティチームはテレメトリの特定のカテゴリを簡単に構成できます。管理者は必要なテレメトリをカテゴリ別に収集できます。扱えるカテゴリは次のとおりです。

• アプリケーションとプロセス：プロセスの実行履歴を親子関係（実行元・実行先）とともにログとして記録し、検証用のコード署名詳細をトラッキングします。
• アクセスと認証：トレーサビリティを確保するために、ユーザIDや関連プロセスに紐づく権限昇格の試行や管理アクションの詳細なログを記録します。
• ユーザとグループ：ユーザとグループの構成に対するすべての変更（作成、グループ変更など）をログに記録し、他のテレメトリ（権限昇格など）と関連付けます。
• 永続化： 新規または変更された永続化メカニズムを検出し、macOS特有の攻撃ベクトルを可視化します。
• ハードウェアとボリューム：外部ボリュームのマウント、マウントの解除、デバイス接続を追跡し、不正なハードウェア使用を検出します。
• Apple セキュリティ：Macに内蔵されたセキュリティツールからイベントを収集します。
• システム：機密性の高い構成変更（構成プロファイルのインストールやカーネル拡張機能のロードなど）を記録します。組織はセキュアな設定を検証し、逸脱を特定できます。
• 診断・クラッシュレポート：診断レポートとクラッシュイベントを記録し、フォレンジック分析ができるようにプロセスやユーザに関連付けます。
• パフォーマンスメトリクス：アプリケーションの効率を追跡します。組織が運用パフォーマンスと回復力を維持するのに役立ちます。

ぜひJamfのMacエンドポイントテレメトリをお試しください

Macエンドポイントテレメトリは、Mac環境の可視性を高めたい組織の幅広い活用シーンに対応します。組織はJamfのMacエンドポイントテレメトリを活用することで、可視性を最大限に高め、精度・信頼性・実用性に優れたインサイトを活用して、コンプライアンス、セキュリティ、IT上のニーズを満たすことができます。