今回から、CIS Bechmark macOS Catalinaシリーズをやっていきます。このシリーズはCIS Benchmark macOS 10.15の各項目の説明をし、実際に実行を考えていきます。
CIS Benchmark 1.1とは
[su_box title=”” box_color=”#7fc04c”]
1.1 Verify all Apple provided software is current
[/su_box]
この項目はアップルが提供するすべてのソフトウェア最新であることを求めています。
アップルが提供するすべてのソフトウェアとは、macOSおよびmacOSアプリケーションのことを指しています。
How to update the software on your Mac – Apple Support
macOS updates improve the stability, performance, and security of your Mac, and they include updates for Safari, iTunes, and other apps that are part of macOS.
support.apple.com準拠の確認方法
確認方法は、
# softwareupdate -l
Software Update Tool
Finding available software
No new software available.を実行します。
ここで上記のように表示されれば、更新がない=最新であることを意味しています。
なぜやるのか
この項目は攻撃者が脆弱性を利用することを防ぎます。脆弱性を利用されると、様々なことが可能になりますが、例えば権限昇格され、管理者権限を取られたりすることが想定されます。
そのために、アップデートを行い、脆弱性を減らして、攻撃の機会を減らすわけです。
仕組みづくり
仕組み化することを考えていきます。一般的には脆弱性対応の仕組みづくりが必要です。
macOSおよびソフトウェアのパッチ更新を確認し、自動でアップデートしていきます。
実現方法としては
- automoxを使った方法
- スクリプトを使った方法(macOSのみ)
- macOSのアップデート設定
がパッと思い浮かびます。
automoxを使う
automoxの検証記事はこちらを参考にしてください
スクリプトを使った方法
この方法はmacOSのみが対象となります。スクリプトを作成し、定期的に上記コマンドを実行して、更新があればユーザに通知するといったものです。
こちらは近いうちに記事にします。
macOSのアップデート設定
個人的にはこのmacOS標準の方法はオススメしません。
理由は2つあります。
- アップデートするかはユーザに委ねられている
- アップデートする時間を制御できない
細かく検証はできていないのですが、実際に上記設定を行っても、常に最新という状態にはなっていません。よって、この運用ですと、実際にはアップデートされてないということが起こりそうです。
実運用
現実としてアップデートの重要性は多くの人に理解されていますが、ユーザ(社員)の理解が得られず、実際にはアップデートされない / できないということが多々あります。
アップデートは再起動を伴うことがあるため、業務>セキュリティの意識が働くことから、上記につながっています。
よって、テクノロジーだけの解決だけではなく、ユーザに対する啓蒙活動なども必要となってきます。
アップデートそのものは強制しつつも、アップデートの時間帯はユーザサイドで変更可能な形がよいと思います。