導入環境のセキュリティを強化するためのチェックリスト
このチェックリストの目的は、環境のセキュリティ・レベルを検証するためのガイドラインを提示すること、および環境のセキュリティを強化するためのヒントを提示することです。これらのヒントは、組織のセキュリティ侵害を回避および防止するのに役立ちます。このチェックリストは “ハウツー・リスト” として使用されるべきものではなく、全網羅的なものでもありません。以下に示す項目は考慮すべき事項であり、適用すべきルールの絶対的なリストではありません。
インフラストラクチャのセキュリティについて全責任を負っている担当者として、セキュリティ強化と保護のための手法について不安がある場合、セキュリティ専門家にご相談ください。
ネットワークとファイアウォール
|
ID |
トピック |
説明 |
|
1. |
ネットワーク、ハードウェア、ソフトウェア、およびポリシー |
セキュリティ・ポリシー、ファイアウォール・ログ、ファイアウォールの構成とパッチ・レベル、公開されている IP アドレス、ネットワーク図、およびファイアウォール・トポロジの情報を取得してレビューします。 |
|
2. |
物理的環境の監査 |
ファイアウォールと管理サーバが、許可された人物のみがアクセスできる物理的に安全な場所にあることを確認します。また、それらに最新のパッチが適用されていることを確認します。 |
|
3. |
変更管理プロセス、ルール・ベース変更のレビュー |
変更の手順と承認プロセスをレビューします。このための自動化ツールが提供されています。 |
|
4. |
脆弱性のテスト |
自動化されたツールを実行して、安全性の低いサービス、プロトコル、およびポートを分析して特定します。 |
|
5. |
総当たり攻撃検知システムの使用 |
パスワードが不特定の人々に推測されることを阻止して、サーバ・ファイアウォールで不特定の人々の現在の IP アドレスをブロックすることで、サーバに接続することを防止します。 |
|
6. |
継続的な監査およびリアルタイムの監視とアラート発行 |
ファイアウォールを継続的に監査するためのプロセスを実行します。ファイアウォールに変更が加えられたときにアラートを発行するためのリアルタイム監視を実行します。これらに関するログを定期的にレビューします。 |
オペレーティング・システム
|
ID |
トピック |
説明 |
|
1. |
インストール計画 |
サーバ・ロールを理解して、インストール手順を文書化します。詳細は、オペレーティング・システムの適切なセキュリティ強化ガイドをダウンロードして参照してください。 |
|
2. |
パッチ・レベル |
オペレーティング・システムに最新のパッチが適用されていることを確認します (特にセキュリティ・パッチ)。自動更新を無効にします。 |
|
3. |
エンドポイント保護ソフトウェア |
このソフトウェアをインストールし、適切に構成します (これまでは、ウイルス対策ソフトウェアとしていました)。 |
|
4. |
不要なソフトウェア、サービス、およびポートの無効化 |
不要なネットワーク・サービスを無効にします (IPv6、telnet、FTP など)。
使用されていない不要なデーモンを無効にします (DHCP、スケジューリングとキューイングのサービス、ラップトップ・サービスなど)。
使用されているサービスのセキュリティを可能な限り高めます。例えば、SSH プロトコルをバージョン 2 に限定することで SSH のセキュリティを向上させます (バージョン 1 はセキュリティが不十分です)。 |
|
5. |
ログ |
サーバ・ログを保持して、それらのログを別個のログ・サーバにミラーリングします。 |
|
6. |
監視とアラート発行 |
監視とアラート発行の設定を通じて、システムに対する変更や未承認アクセスなどのイベントが通知されるようにします。 |
|
7. |
物理的なセキュリティ |
BIOS の構成を通じて、CD/DVD、フロッピー、および外部デバイスから起動できないようにして、これらの設定を保護するためのパスワードを設定します。 |
Web サーバ
|
ID |
トピック |
説明 |
|
1. |
インストール計画 |
Web サーバのロールとコンテンツを理解して、ページが静的かどうか、および提供される Web サービスの内容を確認します。インストール手順を文書化します。適切なセキュリティ強化ガイドをダウンロードして参照します。 |
|
2. |
パッチ・レベル |
Web サーバが最新状態であることを確認します (特にセキュリティ・パッチのバージョン)。 |
|
3. |
Web サーバのヘッダ情報 |
実行されている Web サーバ・ソフトウェアや、システムのタイプとバージョンに関する情報が HTTP ヘッダに含まれないようにサーバを構成します。 |
|
4. |
HTTP TRACE の無効化 |
HTTP TRACE が有効化されているときは、HTTP TRACE 要求を使用してすべての受信情報がエコー・バックされます。 |
|
5. |
エラー処理 |
汎用のエラー・ページとエラー処理ロジックを使用して、アプリケーションで既定のエラー・ページを強制的に回避させることで、適切なエラー処理を実現します。既定のエラー・ページは多くの場合、システムとアプリケーションに関する機密情報を漏洩させます。 |
|
6. |
モジュールの無効化 |
使用されていないモジュールをすべて無効化することで、Web サーバの外部にさらされる領域を減らします。これらのモジュールによって多くの場合は必要以上の情報が提供されます。
Apache: autoindex、cgi、imap、info、status、userdir、actions、negotiation…
IIS: ASP、ASP.NET、WebDAV、CGI、ディレクトリ参照… |
|
7. |
ユーザとグループ |
Apache: Apache を別個のユーザおよびグループとして実行することで、Apache プロセスを他のシステム・プロセスによって使用できないようにします。
IIS: 使用されていないアカウントを削除して、Guest アカウントを無効にします。 |
ユーザ、パスワード、グループ、所有権、および権限
|
ID |
トピック |
説明 |
|
1. |
ユーザ管理 |
root ログインを無効にします。すべての管理者は名前を持つユーザである必要があります。使用されていないユーザ・アカウントがないこと、および既定のユーザ・アカウントとパスワードが使用されていないことを定期的に確認します。 |
|
2. |
パスワード・ポリシー |
大文字と小文字、数字、および特殊文字を組み合わせた非常に強力なパスワードを使用することを義務付けます。
パスワードを定期的に変更します。
ログインの失敗が一定回数を超えた場合は、そのアカウントをロックします。 |
|
3. |
UNIX® |
インストール前にグループとユーザを作成します。
InterSystems IRIS を root としてインストールします。InterSystems IRIS データベースのグループ、所有権、および権限が指定されたとおりに保持されていることを確認します。 |
|
4. |
Windows |
Windows Administrator を使用して InterSystems IRIS をインストールしてから、既定の Windows Administrator アカウントを無効にします。Guest アカウントと Help Assistant アカウントも無効にします。 |
暗号化 (保管中のデータと伝送中のデータ)
|
ID |
トピック |
説明 |
|
1. |
保管中のデータ |
ディスク上に保管されているすべての実運用データが暗号化されていることを確認します。 |
|
2. |
キー管理 |
キー管理のポリシーと手順をレビューします。 |
|
3. |
伝送中のデータ |
すべての HTTP データ通信が暗号化されていることを確認します (TLS などを使用)。
すべての TLS 構成で最新バージョンが使用されていることを確認します。 |
インターシステムズのセキュリティ
|
ID |
トピック |
説明 |
|
1. |
インストール |
常に、ロック・ダウン初期セキュリティ設定タイプを指定してインストールします。 |
|
2. |
認証 |
ユーザとパスワードを定期的にレビューします。 |
|
3. |
承認 |
アプリケーションの要件をレビューします。ロール、リソース、およびサービスを定義します。 |
|
4. |
監査 |
監査が有効になっていることを確認します。ログを定期的にレビューします。 |
|
5. |
サービスの無効化 |
ECP やミラーリングなどのサービスが使用されていない場合は、それらのサービスを有効にしないでください。 |
|
6. |
使用されていないデータベースとアプリケーションの削除 |
USER などの使用されていないデータベースを削除します。 |
