- 印刷する
- PDF
OS Security Checker
- 印刷する
- PDF
最新のコンテンツが反映されていません。早急にアップデート内容をご提供できるよう努めております。最新のコンテンツ内容は韓国語ページをご参照ください。
Classic/VPC環境で利用できます。
OS Security Checker メニューでは、OSのセキュリティ設定点検結果を確認できます。細部点検結果を診断レポートを通じて確認したり、PDFまたエクセルファイルでダウンロードできます。また、適切なセキュリティ設定および対処方法を確認できます。
点検結果を確認するには、まずサーバでセキュリティ設定点検を実行します。点検方法に関する詳細は、OSおよび WAS点検をご参照ください。
OS Security Checker画面
System Security Checkerを利用するための OS Security Checker メニューの基本的な説明は、次の通りです。
領域 | 説明 |
---|---|
① メニュー名 | 現在確認中のメニュー名、照会中の検査結果数 |
② 基本機能 | |
③ 検索領域 | 点検日時を基準にフィルタリングしたり、サーバ名を検索し点検結果を照会 |
④ Excel | ボタンをクリックして点検結果をエクセルファイルでダウンロード |
⑤ 点検結果リスト | 照会中の OSセキュリティ設定の点検結果リスト |
点検結果の確認
サーバの OSセキュリティ設定に関する点検結果を確認する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで Services > Security > System Security Checker メニューを順にクリックします。
- OS Security Checker メニューをクリックします。
- 点検結果を確認します。
- 点検日時を基準にフィルタリングしたり、サーバ名を入力して希望する点検結果を検索できます。
- Region : サーバが存在するリージョン
- server名 : 点検を行ったサーバ名、クリックしてその点検の詳細結果および対処方法を確認(詳細結果および対処方法の確認を参照)
- InstanceNo : サーバの固有番号
- Check list : 点検タイプを表示
- Linux, Windows: Linuxまたは Windowsサーバの OSを点検した場合
- finance: 金融保安院電子金融基盤施設を基準にして Linuxのセキュリティ設定を点検した場合
- メンテナンス日時 : 点検実行の日時
- OS version : 点検したサーバの OSバージョン
- 脆弱/全体項目 : 点検結果が Badの点検項目数/全体点検項目数
- Critical , Major , Minor : 当該危険度の点検項目のうち、点検結果が Badの項目数
- Report view : [レポート] ボタンをクリックして当該検査結果の全体を診断レポートで確認および PDFファイルでダウンロード
詳細結果および対処方法の確認
OSセキュリティ設定点検の詳細結果と点検項目に関する説明、対処法を確認し、診断レポートをダウンロードする方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで Services > Security > System Security Checker メニューを順にクリックします。
- OS Security Checker メニューをクリックします。
- 詳細結果を確認する点検サーバ名をクリックします。
- 詳細結果および対処のポップアップが表示されたら、点検細部項目と結果を確認します。
- 各点検項目をクリックして点検項目に対する説明、勧告および判断基準、対処方法を確認
- 危険度 と 点検結果 を選択し、 [検索] ボタンをクリックして点検項目をフィルタリング
- [レポート] ボタンをクリックして照会中の結果を診断レポートで確認および PDFファイルでダウンロード
- [Excel] ボタンをクリックして照会中の結果をエクセルファイルでダウンロード
OSセキュリティの設定点検項目
サーバごと OSによる OSセキュリティ設定の点検項目を確認します。
点検項目に関する詳しい説明と推奨設定、対処方法は NAVERクラウドプラットフォームコンソールの詳細結果および対処方法のポップアップで確認できます。(詳細結果および対処方法の確認を参照)
Linuxの点検項目(CSAP)
Linuxの CSAPセキュリティ設定点検項目と各項目の説明は、次の通りです。
Check ID | 点検項目 | 点検項目に関する説明 |
---|---|---|
U-01 | rootアカウントのリモートアクセス制限 | rootアカウントのリモートアクセス遮断の設定有無を点検し、外部からの不正アクセスの rootアカウントのアクセスを根本的に遮断しているのかを点検します。 ※ /etc/securetty: Telnetアクセスの際の rootアクセス制限設定ファイル 「/Etc/securetty」ファイル内の pts/x関連設定が存在する場合、PAMモジュール設定と関係なく、rootアカウントのアクセスを許可するため、必ず「securetty」ファイルから pts/x関連設定の削除が必要 Tty(terminal-teletype): サーバと接続しているモニター、キーボードなどを通じてユーザーがコンソールに直接ログイン pts(pseudo-terminal、仮想ターミナル): Telnet、SSH、ターミナルなどを利用してアクセス |
U-02 | パスワードの複雑性設定 | システムポリシーにユーザーアカウント(rootおよび一般アカウントをすべて含む)にパスワード複雑性に係わる設定がされているかを点検します。 |
U-03 | アカウントロックしきい値の設定 | システムポリシーにユーザーロゴイン失敗のしきい値が設定されているかを点検します。無差別代入攻撃などでシステムに試したログインを遮断するためにしきい値の設定をお勧めします。 |
U-04 | パスワードの最大使用期間を設定 | パスワードの最大使用期間を設定しない場合、不正アクセスのあらゆる攻撃(無差別代入攻撃、事前代入攻撃など)を行える期間の制限が存在しません。また乗っ取られたパスワードを使って長い間システムを掌握するリスクがあります。定期的にパスワードを変更するように最大使用期間を適切な範囲で制限します。 |
U-05 | パスワードファイルの保護 | 一部の古いシステムの場合、パスワードポリシーが適用されず、/etc/passwdファイルに平文でパスワードが保存される場合があります。ユーザーアカウントのパスワードが暗号化され、保存されているかを点検します。 |
U-06 | rootホームパスディレクトリの権限およびパスの設定 | PATH環境変数に「.」(現在のディレクトリを指す)が変数の前や途中に含まれている場合は、一般的なコマンド(例: ls、mv、psなど)を実行すると、本来のコマンドではないディレクトリのファイルが優先して実行されます。悪意のあるユーザーによって不正ファイルが実行される場合があるため、rootアカウントの PATH環境変数を点検します。 |
U-07 | ファイルおよびディレクトリ所有者の設定 | 所有者が存在しないファイルおよびディレクトリが存在するのかを点検し、任意のユーザーによる違法行為を事前に遮断するために削除します。削除された所有者の UIDと同じユーザーがそのファイル/ディレクトリにアクセスでき、情報漏洩のリスクがあります。その脅威は退職者関連ファイルが削除されていないか、ハッキングにより悪意のあるファイルが作成された可能性が高いです。 |
U-08 | /etc/passwdファイルの所有者および権限の設定 | 「/etc/passwd」ファイルはユーザーの ID、パスワード(セキュリティ上、「x」と表記)、UID、GID、ホームディレクトリ、シェル情報が盛り込まれている重要ファイルです。管理者(root)以外のユーザーが「/etc/passwd」ファイルの修正が可能な場合、Shell改ざん、ユーザー追加/削除、権限昇格などの悪意のある行為ができるため、ファイルの権限を適切に管理します。 |
U-09 | /etc/shadowファイルの所有者および権限の設定 | 「/etc/shadow」ファイルはシステムに登録された全アカウントのパスワードを暗号化された形で保存および管理している重要ファイルです。そのファイルに対する権限管理が行われない場合、アカウントおよびパスワード情報が外部に漏れるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。 |
U-10 | /etc/hostsファイルの所有者および権限の設定 | 「/etc/hosts」ファイルは IPアドレスとホスト名をマッピングする時に使われるファイルです。そのファイルに対する管理が行われない場合、hostsファイルに悪意のあるシステムを登録して DNSを迂回したファーミング攻撃に悪用されるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。 |
U-11 | /etc/(x)inetd.confファイルの所有者および権限の設定 | インターネットスーパーデーモンはサービス設定ファイル(/etc/(x)inetd.conf)に登録された内部プログラムを外部ネットワークにリクエストする際にデーモンを起動させます。inetd.conf(xinetd.d)のアクセス権限が間違って設定されている場合、不正アクセスによって悪意のあるプログラムが登録され、root権限でサービスを実行して既存サービスに影響を与えるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。 |
U-12 | /etc/syslog.confファイルの所有者および権限の設定 | 「/etc/syslog.conf」ファイルはシステム運用中に発生する主要ログ記録を設定するファイルです。もしそのファイルのアクセス権限が適切でない場合、攻撃者によるファイル改ざんが行われる場合があります。侵入者の跡またはシステムエラー事項などのシステムログが正確に記録されないリスクがあります。管理者(root)アカウントを除いた全ユーザーの書き込み権限を制限することをお勧めします。 |
U-13 | /etc/servicesファイルの所有者および権限の設定 | 「/etc/services」ファイルはサービス管理のために使います。一般ユーザーによるアクセスおよび変更が可能になると、正常なサービスを制限するか、許可されていないサービスを悪意を持って実行させて侵害事故を発生させるリスクがあります。管理者(root)アカウントを除いた全ユーザーの書き込み権限を制限することをお勧めします。 |
U-14 | SUID、SGID、Stick bit設定ファイルの点検 | SUID(Set User-ID)と SGID(Set Group-ID)が設定されたファイルは(特に root所有のファイルの場合)特定コマンドを実行して root権限の取得および正常サービスの障害を発生させる場合があります。root所有の SUIDファイルの場合は、必ず必要なファイルを除いては SUID、SGIDのプロパティを削除し、間違って設定してセキュリティへの脅威になっているのかに対する定期的な診断および管理が求められます。 *SUID(Set User-ID): 設定されたファイルを実行する際に特定タスクを実行するため、一時的にファイル所有者の権限を得る。 *SGID(Set Group-ID): 設定されたファイルを実行する際に特定タスクを実行するため、一時的にファイル所有グループの権限を得る。 |
U-15 | ユーザー、システム起動ファイルおよび環境ファイルの所有者および権限の設定 | ホームディレクトリ内のユーザーファイルおよびユーザー別システム起動ファイルなどの環境変数ファイルへのアクセス権限を適切に制限します。不正アクセスによって環境変数ファイルの改ざんが行われ、正常なサービスの障害を発生させるリスクがあります。管理者(root)アカウントとそのユーザーを除いた全ユーザーの書き込み権限を制限することをお勧めします。 環境変数ファイルの種類: 「.profile」、「.kshrc」、「.cshrc」、「.bashrc」、「.bash_profile」、「.login」、「.exrc」、「.netrc」など |
U-16 | world writableファイルの点検 | システムファイルのような重要ファイルに world writableが設定される場合、悪意のあるユーザーがそのファイルの改ざんを行うことができます。システムへの不正アクセスおよび障害を発生させるリスクがあるため、一般ユーザーの書き込み権限を制限します。 |
U-17 | $HOME/.rhosts, hosts.equivの使用禁止 | rlogin、rsh、rexecなどのような「r」commandは認証なしで管理者によるリモートアクセスができるコマンドです。適切なセキュリティ設定がされていない場合、リモート先の攻撃者が管理者権限でシステムに任意のコマンドを実行させるリスクがあります。セキュリティ上非常に脆弱な構造であるため、使用が必要な場合は権限を制限します。/etc/hosts.equivファイルおよび .rhostsファイルのユーザーを rootまたはそのアカウントに設定した後、権限を600に設定してそのファイルの設定に「+」設定(すべてのホストを許可)が含まれないように制限します。 |
U-18 | アクセス IPアドレスおよびポートの制限 | 制限されたホストのみサービスを使用できるように設定して外部からの攻撃を事前に防ぐ必要があります。基本的に全ホストに対して deny設定をして、サービスに必ず必要なホストのみ allow設定に追加します。 関連設定ファイル: hosts.allow、hosts.deny |
U-19 | cronファイルの所有者および権限の設定 | root以外の一般ユーザーが crontabコマンドを使用できる場合、故意または間違って不正予約ファイルが実行されるリスクがあります。Cron関連ファイルに許可されていないユーザーがアクセスできないように管理します。 |
U-20 | fingerサービスの無効化 | Finger(ユーザー情報確認サービス)を通じてネットワークの外部からそのシステムに登録されたユーザー情報を確認できます。不正アクセスでユーザー情報を照会することを防ぐためにサービスの使用禁止をお勧めします。 |
U-21 | Anonymous FTPの無効化 | 実行中の FTPサービスに匿名の FTPアクセスが許可されているのかを確認し、アクセスを遮断することをお勧めします。 |
U-22 | r系サービスの無効化 | rlogin、rsh、rexecなどのような「r」commandは認証なしで管理者によるリモートアクセスができるコマンドです。適切なセキュリティ設定がされていない場合、リモート先の攻撃者が管理者権限でシステムに任意のコマンドを実行させるリスクがあります。サービスに使用しない場合、無効化することをお勧めします。 |
U-23 | Dos攻撃に脆弱なサービスの無効化 | DoS攻撃などに脆弱なサービスを使用しない場合は無効化することをお勧めします。 使用禁止推奨対象サービス : echo、discard、daytime、chargen |
U-24 | NFSサービスの無効化 | NFS(Network File System)はリモートコンピュータのファイルシステムをローカルシステムにマウントして使用できるようにするサービスです。無認可サービスで悪用して NFSマウントへのシステムアクセスおよび改ざんなどのリスクが高いため、使用を禁止します。やむを得ず使用する必要がある場合、25番制御項目に従って管理します。 |
U-25 | NFSアクセス制御 | NFSの使用時に許可されたユーザーのみアクセスできるように制限します。不正アクセスを遮断するために everyone共有は必ず制限します。 |
U-26 | automountdの削除 | automountdはクライアントが自動でサーバにマウントし、一定期間使用しないと unmountする機能を提供します。ローカル攻撃者が automountdを使用して RPC(Remote Procedure Call)を送信できるという脆弱性があるため、使用を禁止します。 |
U-27 | RPCサービスの確認 | RPC(Remote Procedure Call)は別途のリモートコントロールのためのコーディングなしで別のアドレススペースで関数やプロシージャを実行できるようにするプロセス間のプロトコルです。一部の RPCサービスはリモート実行などの脆弱性があるため、使用しないことをお勧めします。 使用禁止推奨 RPCサービス: rpc.cmsd、rpc.ttdbserverd、sadmind、rusersd、walld、sprayd、rstatd、rpc.nisd、rexd、rpc.pcnfsd、rpc.statd、rpc.ypupdated、rpc.rquotad、kcms_server、cachefsd |
U-28 | NIS、NIS+の点検 | NIS(Network Information Service)は ypservと呼ばれる RPCサービスとして portmapおよび別の関連サービスと共に使用され、同じドメインに位置したコンピュータにユーザー名、暗号と他の機密情報をリリースする機能です。ネットワーク上で機密情報を暗号化していない状態で送信するため、セキュリティ上脆弱です。NISサービスはできるだけ使ってはならず、必要な場合は NIS+を使用することをお勧めします。 |
U-29 | tftp、talkサービスの無効化 | tftp、talk、ntalkサービスはセキュリティ上脆弱であるため、使用しないことをお勧めします。 |
U-30 | Sendmailバージョンの点検 | Sendmailサービスの場合、ほとんどのバージョンで多くの脆弱性が報告されています。サービスに不要な場合、使用しないことをお勧めします。使用が必要な場合は、最新バージョンの使用をお勧めします。 |
U-31 | 迷惑メールリレー制限 | SMTP(Simple Mail Transfer Protocol)はインターネット上で電子メールを送信する時に使用する標準通信規約です。SMTPサーバを通じて電子メールを送信するサービスの提供が必要な場合は、適切なセキュリティ設定が必要です。リレー機能を制限しないと悪意のある目的の迷惑メールサーバとして乗っ取られるか、DoS攻撃の対象になる恐れがあります。 |
U-32 | 一般ユーザーの Sendmail実行を防止 | SMTPサービスを使用する際に qオプションを使用すると、sendmail設定を任意で変更するか、メールキューを強制的に dropできます。そのため、一般ユーザーは qオプションを使用できないように制限します。 |
U-33 | DNSセキュリティバージョンパッチ | BIND(Berkeley Internet Name Domain)は BSDベースの UNIXシステムのために設定された DNSサーバと resolverライブラリで構成されています。ほぼすべてのバージョンにおいて様々な脆弱性が報告されているため、できるだけ最新バージョンをインストールして使用することをお勧めします。 |
U-34 | DNS Zone Transferの設定 | DNS Zone Transferは Primary Name Serverと Secondary Name Serverの間の Zone情報の一貫性を保つために使用する機能です。Zone情報は Secondary Name Serverのみで送信するように制限します。もし許可されていないユーザーに Zone Transferを許可する場合、攻撃者は受け取った Zone情報を利用してホスト情報、システム情報、ネットワークの構成などの多くの情報を把握できるようになります。 |
U-35 | 最新セキュリティパッチおよびベンダー勧告事項を適用 | 定期的なセキュリティパッチを通じてシステムが安全に管理されているのかを確認します。知られている脆弱性を利用した攻撃を事前に遮断するため、最新バージョンのセキュリティパッチを適用することをお勧めします。 |
U-36 | ログの定期的な検討および報告 | 定期的なログ点検を通じて安定的なシステム状態を維持してしるかを確認します。ログの検討および報告手順がない場合、外部からの侵入に対する識別が漏れる場合があります。そして侵入が疑われるケースを見つけた場合、関連資料を分析してそのデバイスに対するアクセスを遮断するなどの追加対応が困難になる場合があります。 |
Linuxの点検項目(KISA)
Linuxの KISAセキュリティ設定点検項目と各項目の説明は、次の通りです。
Check ID | 点検項目 | 点検項目に関する説明 |
---|---|---|
U-01 | rootアカウントのリモートアクセス制限 | rootアカウントのリモートアクセス遮断設定の有無を点検し、外部の不正アクセスによる rootアカウントへのアクセスを源泉的に遮断しているのかを点検 |
U-02 | パスワードの複雑性設定 | システムポリシーにユーザーアカウント(rootおよび一般アカウント)にパスワード複雑性に係わる設定がされているかを点検 |
U-03 | アカウントロックしきい値の設定 | システムポリシーにユーザーログイン失敗のしきい値が設定されているかを点検 |
U-04 | パスワードファイルの保護 | システムのユーザーアカウント情報が保存された/etc/passwdファイルにユーザーアカウントのパスワードが暗号化され、保存されているかを点検 |
U-05 | rootホームパスディレクトリの権限およびパスの設定 | rootアカウントの PATH環境パラメータに「.」(現在のディレクトリ)が含まれているかを点検 |
U-06 | ファイルおよびディレクトリ所有者の設定 | 所有者が存在しないファイルおよびディレクトリが存在するかを点検 |
U-07 | /etc/passwdファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限設定 |
U-08 | /etc/shadowファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限設定 |
U-09 | /etc/hostsファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限設定 |
U-10 | /etc/(x)inetd.confファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限設定 |
U-11 | /etc/syslog.confファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限設定 |
U-12 | /etc/servicesファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限設定 |
U-13 | SUID、SGID、Stick bit設定ファイルの点検 | ファイルに不要な SUID、SGIDプロパティを削除 |
U-14 | ユーザー、システム起動ファイルおよび環境ファイルの所有者および権限の設定 | ホームディレクトリ内のユーザーファイルおよびユーザー別システム起動ファイルなどのような環境変数ファイルのアクセス権限を制限 |
U-15 | world writableファイルの点検 | 不要な world writableファイルの存在有無を点検 |
U-16 | /devに存在しない deviceファイルの点検 | 実際存在しないデバイスファイルの存在有無を点検 |
U-17 | $HOME/.rhosts、hosts.equivの使用禁止 | rlogin、rsh、rexecなどのような r command権限を制限 |
U-18 | アクセス IPアドレスおよびポートの制限 | 制限されたホストのみがサービスを使用できるように設定し、外部からの攻撃を事前に防止 |
U-19 | fingerサービスの無効化 | 不正アクセスによりユーザー情報が照会されることを防止するため、fingerサービスを無効化 |
U-20 | Anonymous FTPの無効化 | Anonymous FTPアクセスを遮断して、権限のないユーザーの FTP使用を制限 |
U-21 | r系サービスの無効化 | rlogin、rsh、rexecなどのような r commandを無効化 |
U-22 | cronファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限設定 |
U-23 | Dos攻撃に脆弱なサービスの無効化 | 使用していない DoS攻撃などに脆弱なサービスの無効化 |
U-24 | NFSサービスの無効化 | NFSサービスの無効化 |
U-25 | NFSアクセス制御 | NFSを使用する際、許可されたユーザーのみアクセスできるように制限 |
U-26 | automountdの削除 | ローカル攻撃者が automountdを使用して RPC(Remote Procedure Call)を送信できるという脆弱性があるため、サービスを停止 |
U-27 | RPCサービスの確認 | 一部の RPCサービスはリモート実行などの脆弱性を持っているため、サービスを無効化 |
U-28 | NIS、NIS+の点検 | NISサービスはできるだけ使用しないようにし、必要な場合は NIS+を使用 |
U-29 | tftp、talkサービスの無効化 | tftp、talk、ntalkサービスはセキュリティ上脆弱であるため、無効化 |
U-30 | Sendmailバージョンの点検 | ほとんどのバージョンで多くの脆弱性が報告されているため、不要な場合は使用停止 |
U-31 | 迷惑メールリレー制限 | SMTPサーバのリレー機能を制限 |
U-32 | 一般ユーザーの Sendmail実行を防止 | SMTPサービスを提供する際、一般ユーザーは qオプションを使用できないように制限 |
U-33 | DNSセキュリティバージョンパッチ | BINDを使用する場合は最新バージョンを使用 |
U-34 | DNS Zone Transferの設定 | Zone情報を Secondary Name Serverのみで送信するように制限 |
U-35 | Apacheディレクトリリスティングの削除 | ディレクトリ検索機能の無効化 |
U-36 | Apacheウェブプロセス権限の制限 | Apacheは root権限でない別途の権限で実行 |
U-37 | Apache上位ディレクトリへのアクセス禁止 | AllowOverrideオプションで上位ディレクトリに移動することを制限 |
U-38 | Apacheに不要なファイルの削除 | Apacheをインストールする際に、基本的に作成される不要なファイルを削除したのかを点検 |
U-39 | Apacheリンク使用禁止 | シンボリックリンク(Symbolic link)の使用制限 |
U-40 | Apacheファイルアップロードおよびダウンロードの制限 | 原則的に、ファイルのアップロードおよびダウンロードを禁止し、必要に応じて容量のサイズを制限 |
U-41 | Apacheウェブサービス領域の分離 | DocumentRootを基本設定(htdocsディレクトリ)でない別途のパスに変更 |
U-42 | 最新セキュリティパッチおよびベンダー勧告事項を適用 | 定期的なセキュリティパッチを通じてシステムが安全に管理されているかを確認 |
U-43 | ログの定期的な検討および報告 | 定期的なログ点検を通じて安定的なシステム状態を維持してしるかを確認 |
U-44 | root以外の UIDで「0」禁止 | rootアカウントの他に UID値が0のアカウント(rootと権限が同様)が存在するかを点検 |
U-45 | rootアカウントにおける suの制限 | |
U-46 | パスワードの長さの最小値設定 | 最小パスワードの長さを8文字以上に設定 |
U-47 | パスワードの最大使用期間を設定 | 定期的にパスワードを変更できるように最大試用期間を適切に制限 |
U-48 | パスワードの最小使用期間の設定 | パスワードを変更できるようになるまで、経過しなければならない最小の日付を設定 |
U-49 | 不要なアカウントの削除 | |
U-50 | 管理者グループに最低限のアカウントを含める | システムの管理者グループに最低限のアカウントのみ存在するかを点検 |
U-51 | アカウントが存在しない GIDの禁止 | グループ設定ファイルに不要なグループ(アカウントが存在せず、システム管理や運用に使用されないグループ、アカウントが存在するが、管理や運用に使用されないグループ)が存在するかを点検 |
U-52 | 同じ UIDを禁止 | UIDが同じユーザーアカウントの存在有無を点検 |
U-53 | ユーザー shellの点検 | ログインを必要としないアカウントに /bin/falseシェルを付与し、ログインを制限 |
U-54 | Session Timeoutの設定 | 一定時間の間、イベントが全く発生しない場合、アクセスを強制終了する Session Timeoutを設定 |
U-55 | hosts.lpdファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限設定 |
U-56 | UMASK設定の管理 | UMASK値が適切なのかを点検 |
U-57 | ホームディレクトリの所有者および権限の設定 | ユーザーホームディレクトリの所有者以外の一般ユーザーがそのホームディレクトリを修正できないように制限 |
U-58 | ホームディレクトリに指定したディレクトリの存在を管理 | ユーザーアカウントとホームディレクトリの一致有無を点検 |
U-59 | 隠されたファイルおよびディレクトリ検索と削除 | 隠しファイルおよびディレクトリ内の疑わしいファイルの存在有無を点検 |
U-60 | sshリモートアクセスの許可 | リモートアクセスの際、ユーザーとシステムのすべての通信を暗号化する SSH(Secure Shell)サービスを使用 |
U-61 | ftpサービスの確認 | FTPサービスの有効化有無を点検 |
U-62 | ftpアカウント shell制限 | FTPサービスのインストールの際、作成される ftpアカウントに /bin/falseシェルを付与し、当該アカウントでもシステムアクセス遮断 |
U-63 | Ftpusersファイルの所有者および権限の設定 | 重要ファイルの所有者および権限設定 |
U-64 | Ftpusersファイルの設定 | |
U-65 | atファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限設定 |
U-66 | SNMPサービスの起動点検 | 不要な SNMPサービスの使用中止 |
U-67 | SNMPサービスコミュニティ文字列の複雑性を設定 | コミュニティ文字列を推測できない値に変更 |
U-68 | ログオン時に警告メッセージを提供 | サーバおよびサービスにログオンする際、不要な情報遮断設定および不正使用に対する警告メッセージを出力 |
U-69 | NFS設定ファイルアクセス権限 | NFSアクセス制御設定ファイルを一般ユーザーが修正できないよう制限しているかを点検 |
U-70 | expn、vrfyコマンドの制限 | やむを得ず SMTPを使用する場合、Sendmail Abuseを防ぐために Sendmailの基本サービスである VRFY、EXPNを使用できないように制限 |
U-71 | Apacheウェブサービス情報の隠し | ウェブページのえらー発生時、過剰にメッセージが表示されないように設定 |
U-72 | ポリシーに応じたシステムロギングの設定 | 内部ポリシーに応じたシステムロギングの設定適用有無を点検 |
Linuxの点検項目(金融保安院の電子金融基盤施設を基準)
金融保安院の電子金融基盤施設基準による Linuxセキュリティ設定点検項目と各項目の説明は、次の通りです。
Check ID | 点検項目 | 点検項目に関する説明 |
---|---|---|
SRV-001 | SNMPサービスコミュニティ文字列の複雑性を設定 | SNMP(Simple Network Management Protocol)サービスは TCP/IPアドレスベースネットワーク上の各ホストから定期的に様々な情報を自動で収集し、ネットワークを管理するためのプロトコルです。SNMPは MIBという情報やり取りのための認証過程で一種のパスワードである「Community String」を使います。Community Stringは Defaultとして public、privateで設定されている場合が多く、これを変更しないとこの Stringを悪用してシステムの主要情報および設定を把握できるという脆弱性が存在します。Community Stringを推測できない値に変更します。 |
SRV-004 | 不要な SMTPサービスの実行 | SMTPサービスはインターネットでメールを送信する SMTPプロトコルをベースにするサービスです。悪意のある攻撃者は SMTPサービスを利用して SMTPサービスを実行中のコンピュータの情報を取得するか様々な攻撃ができるため、不要な SMTPサービスが動作するのかを点検します。 |
SRV-005 | expn、vrfyコマンドの制限 | SMTP(Simple Mail Transfer Protocol)はインターネット上で電子メール(E-mail)を送信する時に利用する標準通信規約です。しかし脆弱性が高いため、サービスのために必ず必要な場合を除いて使用しないことをお勧めします。必ず必要な場合は、Sendmail Abuseを防ぐために Sendmailの基本的なサービスである VRFY、EXPNを使用できないように制限することをお勧めします。 *VRFY: SMTPクライアントが SMTPサーバに特定 IDに対するメール有無を検証するために送信するコメントのこと。 *EXPN(メーリングリストの拡大): メール送信時にフォワードするためのコマンドのこと。 |
SRV-006 | SMTPサービスのログレベル設定が不十分 | Sendmailは広く使用されている MTA(Mail Transfer Agent)として、UNIXに基本的に搭載されているサービスです。サービス可用性の確保および継続的なセキュリティ脆弱性に対するモニタリングが必要です。Sendmailの loglevelはサービス運用上のイベントに対するログを残す区分のために loglevel設定の適合性を点検します。 |
SRV-007 | Sendmailバージョンの点検 | Sendmailサービスの場合、ほとんどのバージョンで多くの脆弱性が報告されています。サービスに不要な場合、使用しないことをお勧めします。使用が必要な場合は、最新バージョンの使用をお勧めします。 |
SRV-008 | SMTPサービスの DoS防止機能の未設定 | ネットワーク回線の容量およびサーバの処理容量超過によるメールサービス拒否およびシステムダウンを防止するため、セキュリティ設定の適合性を点検します。 |
SRV-009 | 迷惑メールリレー制限 | SMTP(Simple Mail Transfer Protocol)はインターネット上で電子メールを送信する時に使用する標準通信規約です。SMTPサーバを通じて電子メールを送信するサービスの提供が必要な場合は、適切なセキュリティ設定が必要です。リレー機能を制限しないと悪意のある目的の迷惑メールサーバとして乗っ取られるか、DoS攻撃の対象になる恐れがあります。 |
SRV-010 | 一般ユーザーの Sendmail実行を防止 | SMTPサービスを使用する際に qオプションを使用すると、sendmail設定を任意で変更するか、メールキューを強制的に dropできます。そのため、一般ユーザーは qオプションを使用できないように制限します。 |
SRV-011 | Ftpusersファイルの設定 | FTPサービスは IDおよびパスワードが暗号化されていないままで送信され、簡単なスニファーによっても IDやパスワードが漏洩する恐れがあります。必ず必要な場合を除いては FTPサービスを使用しないことをお勧めします。やむを得ず FTPサービスを使用する場合、rootアカウントの直接アクセスを制限して rootアカウントのパスワード情報が漏れないように対処します。 |
SRV-012 | .netrcファイル内のホスト情報晒し | .netrcファイルは ftpで自動でファイルの送信/受信のために使われます。.netrcファイルには FTPアクセス IPとパスワードを平文で保管するようになっており、セキュリティ上の脆弱性があります。適切な権限設定がされているのか、点検が必要です。 |
SRV-013 | Anonymous FTPの無効化 | 実行中の FTPサービスに匿名の FTPアクセスが許可されているのかを確認し、アクセスを遮断することをお勧めします。 |
SRV-014_1 | NFSアクセス制御 | NFSの使用時に許可されたユーザーのみアクセスできるように制限します。不正アクセスを遮断するために everyone共有は必ず制限します。 |
SRV-014_2 | NFS設定ファイルアクセス権限 | NFS(Network File System)はリモートコンピュータのファイルシステムをローカルシステムにマウントし、まるでローカルファイルシステムのように使用できるサービスです。 NFSアクセス制御設定ファイルを管理者ではない一般ユーザーもアクセスおよび変更ができると、これを通じて許可されていないユーザーを登録してファイルシステムをマウントし、違法改ざんを試す恐れがあります。従って NFSアクセス制御設定ファイルを一般ユーザーが修正できないように制限されているのかを点検します。 |
SRV-015 | NFSサービスの無効化 | NFS(Network File System)はリモートコンピュータのファイルシステムをローカルシステムにマウントして使用できるようにするサービスです。無認可サービスで悪用して NFSマウントへのシステムアクセスおよび改ざんなどのリスクが高いため、使用を禁止します。やむを得ず使用する必要がある場合、25番制御項目に従って管理します。 |
SRV-016 | RPCサービスの確認 | RPC(Remote Procedure Call)は別途のリモートコントロールのためのコーディングなしで別のアドレススペースで関数やプロシージャを実行できるようにするプロセス間のプロトコルです。一部の RPCサービスはリモート実行などの脆弱性があるため、使用しないことをお勧めします。 使用禁止推奨 RPCサービス: rpc.cmsd、rpc.ttdbserverd、sadmind、rusersd、walld、sprayd、rstatd、rpc.nisd、rexd、rpc.pcnfsd、rpc.statd、rpc.ypupdated、rpc.rquotad、kcms_server、cachefsd |
SRV-022 | アカウントのパスワード未設定、空のパスワード使用管理の不十分 | 各アカウントのパスワードが設定されていない場合、攻撃者によってアカウントが乗っ取られるリスクがあるため、適切なパスワードが設定されているのかを点検します。ログインが必要な全アカウントに対して必ず適切なレベルのパスワードを設定することをお勧めします。 |
SRV-025 | $HOME/.rhosts, hosts.equivの使用禁止 | rlogin、rsh、rexecなどのような「r」commandは認証なしで管理者によるリモートアクセスができるコマンドです。適切なセキュリティ設定がされていない場合、リモート先の攻撃者が管理者権限でシステムに任意のコマンドを実行させるリスクがあります。セキュリティ上非常に脆弱な構造であるため、使用が必要な場合は権限を制限します。/etc/hosts.equivファイルおよび .rhostsファイルのユーザーを rootまたはそのアカウントに設定した後、権限を600に設定してそのファイルの設定に「+」設定(すべてのホストを許可)が含まれないように制限します。 |
SRV-026 | rootアカウントのリモートアクセス制限 | rootアカウントのリモートアクセス遮断の設定有無を点検し、外部からの不正アクセスの rootアカウントのアクセスを源泉的に遮断しているのかを点検します。 ※ /etc/securetty: Telnetアクセスの際の rootアクセス制限設定ファイル 「/etc/securetty」ファイル内の*pts/x関連設定が存在する場合、PAMモジュール設定と関係なく、rootアカウントのアクセスを許可するため、必ず「securetty」ファイルから pts/x関連設定の削除が必要 Tty(terminal-teletype): サーバと接続しているモニター、キーボードなどを通じてユーザーがコンソールに直接ログイン pts(pseudo-terminal、仮想ターミナル): Telnet、SSH、ターミナルなどを利用してアクセス |
SRV-027 | アクセス IPアドレスおよびポートの制限 | 制限されたホストのみサービスを使用できるように設定して外部からの攻撃を事前に防ぐ必要があります。基本的に全ホストに対して deny設定をして、サービスに必ず必要なホストのみ allow設定に追加します。 関連設定ファイル: hosts.allow、hosts.deny |
SRV-028 | Session Timeoutの設定 | Session timeout値が設定されていない場合、遊休時間内に不正アクセスのシステムアクセスによるセキュリティ上の脅威が存在します。ユーザーシェルに関する環境設定ファイルで Session timeoutを設定します。 |
SRV-034 | automountdの削除 | automountdはクライアントが自動でサーバにマウントし、一定期間使用しないと unmountする機能を提供します。ローカル攻撃者が automountdを使用して RPC(Remote Procedure Call)を送信できるという脆弱性があるため、使用を禁止します。 |
SRV-035_1 | tftp、talkサービスの無効化 | tftp、talk、ntalkサービスはセキュリティ上脆弱であるため、使用しないことをお勧めします。 |
SRV-035_2 | fingerサービスの無効化 | Finger(ユーザー情報確認サービス)を通じてネットワークの外部からそのシステムに登録されたユーザー情報を確認できます。不正アクセスでユーザー情報を照会することを防ぐためにサービスの使用禁止をお勧めします。 |
SRV-035_3 | r系サービスの無効化 | rlogin、rsh、rexecなどのような「r」commandは認証なしで管理者によるリモートアクセスができるコマンドです。適切なセキュリティ設定がされていない場合、リモート先の攻撃者が管理者権限でシステムに任意のコマンドを実行させるリスクがあります。サービスに使用しない場合、無効化することをお勧めします。 |
SRV-035_4 | Dos攻撃に脆弱なサービスの無効化 | DoS攻撃などに脆弱なサービスを使用しない場合は無効化することをお勧めします。 使用禁止推奨対象サービス: echo、discard、daytime、chargen |
SRV-035_5 | NIS、NIS+の点検 | NIS(Network Information Service)は ypservと呼ばれる RPCサービスとして portmapおよび別の関連サービスと共に使用され、同じドメインに位置したコンピュータにユーザー名、暗号と他の機密情報をリリースする機能です。ネットワーク上で機密情報を暗号化していない状態で送信するため、セキュリティ上脆弱です。NISサービスはできるだけ使ってはならず、必要な場合は NIS+を使用することをお勧めします。 |
SRV-037 | ftpサービスの確認 | FTPサービスは IDおよびパスワードが暗号化されていないままで送信され、スニッフィングが可能です。できるだけ FTPを使用しないことをお勧めします。 |
SRV-040 | ウェブサービスディレクトリリスティングの削除 | ディレクトリ検索(Directory Listing)機能はディレクトリに基本文書が存在しない場合、ディレクトリ内の全てのファイルのリストを表示する機能です。ディレクトリ検索機能が有効化されていると外部からディレクトリ内のすべてのファイルへのアクセスが可能になり、WEBサーバ構造の漏洩だけではなく、バックアップファイルやソースファイルなどの公開されてはいない重要ファイルが漏洩する恐れがあります。 |
SRV-042 | ウェブサービス上位ディレクトリへのアクセス禁止 | AllowOverrideオプションで上位ディレクトリに移動することを制限しているのかを点検します。「..」のような文字を利用して上位ディレクトリに移動できると、アクセスしてはいけないパスまで攻撃者に漏れる恐れがあります。 |
SRV-043 | ウェブサービスに不要なファイルの削除 | Apacheをインストールする際に作成される不要なファイルを削除したかを点検します。 基本作成ファイル: (/[Apache_home]/htdocs/manual, /[Apache_home]/manual) |
SRV-044 | ウェブサービスファイルアップロードおよびダウンロードの制限 | 基板施設の特徴により原則としてファイルのアップロード/ダウンロードを禁止していますが、やむを得ず必要な場合は容量を制限します。サーバの過負荷予防および資源を効率的に使用するために、アップロード/ダウンロードファイルが5Mを越えないように設定することをお勧めします。 |
SRV-045 | ウェブサービスのウェブプロセス権限の制限 | Apacheデーモンが root権限で運用される場合、Web Applicationが脆弱性などによって権限が乗っ取られた時に攻撃者が root権限を取得できるようになります。そのため Apacheは root権限ではない別途の権限で実行します。 |
SRV-046 | ウェブサービスエリアの分離 | Apacheをインストールする時にデフォルト設定として htdocsディレクトリを DocumentRootとして使用します。Htdocsディレクトリは公開されてはいけない(または公開される必要がない) Apache文書だけではなく、攻撃に利用できるシステム関連情報も盛り込んでいるため、別途のパスで変更することをお勧めします。 |
SRV-047 | ウェブサービスリンク使用禁止 | システムの rootディレクトリ(/)にシンボリックリンク(Symbolic link)を設定すると、ウェブサーバ動作のユーザー権限(nobody)ですべてのファイルシステムのファイルにアクセスできるため危険です。間違ったシンボリックリンクでサーバの重要情報が洩れる恐れがあるため、シンボリックリンクの使用を制限します。 |
SRV-048 | 不要なウェブサービスの実行 | システム動作時に不要なサービスがデフォルトでインストールされて起動すると、潜在的なセキュリティ上の脆弱性が発生する恐れがあります。実際に不要なサービスはシステムの性能低下を招くか、攻撃に悪用される恐れがあるので定期的に点検します。 (評価例) - Tmax WebtoBのウェブサーバに対する様々な脆弱性(OpenSSLなど)が報告されているため、そのサービスの使用有無を点検 |
SRV-060 | ウェブサービスのデフォルトアカウント(IDまたはパスワード)の未変更 | Tomcatは Apacheのウェブサーバに JSPと Java Servletを実行できる機能を提供する Javaアプリケーションサーバです。Tomcatがインストールされる時に基本的に設定されるアカウント変更しない場合、システムへの不正アクセスのリスクがあります。デフォルトアカウントに対して適切なセキュリティ設定がされているのかを点検します。 |
SRV-062 | DNSサービス情報の漏洩 | DNSサーバの種類およびバージョンなどの情報が洩れる場合、攻撃者が他の攻撃に活用する可能性があるため、適切なセキュリティ設定がされているのかを点検します。 |
SRV-063 | DNS Inverse Query設定の不備 | 攻撃者が Spoofed IP(Victim)アドレスで多量の DNSリクエストを送る攻撃脅威(DNS Cache Poisoning-DNSキャッシュに偽情報が入力される攻撃)を試すことができます。これに対応できるセキュリティ設定の適合性を点検します。 |
SRV-064 | DNSセキュリティバージョンパッチ | BIND(Berkeley Internet Name Domain)は BSDベースの UNIXシステムのために設定された DNSサーバと resolverライブラリで構成されています。ほぼすべてのバージョンにおいて様々な脆弱性が報告されているため、できるだけ最新バージョンをインストールして使用することをお勧めします。 |
SRV-066 | DNS Zone Transferの設定 | DNS Zone Transferは Primary Name Serverと Secondary Name Serverの間の Zone情報の一貫性を保つために使用する機能です。Zone情報は Secondary Name Serverのみで送信するように制限します。もし許可されていないユーザーに Zone Transferを許可する場合、攻撃者は受け取った Zone情報を利用してホスト情報、システム情報、ネットワークの構成などの多くの情報を把握できるようになります。 |
SRV-069_1 | パスワードの複雑性設定 | システムポリシーにユーザーアカウント(rootおよび一般アカウントをすべて含む)にパスワード複雑性に係わる設定がされているかを点検します。 |
SRV-069_2 | パスワードの長さの最小値設定 | パスワードが短いと無差別代入攻撃(Brute Force Attack)やパスワード推測攻撃(Password Guessing)によって簡単にパスワードが漏れる恐れがあります。パスワードの最小長をポリシーとして設定し、攻撃によってパスワードが漏れるリスクを減らせます。 |
SRV-069_3 | パスワードの最大使用期間を設定 | パスワードの最大使用期間を設定しない場合、不正アクセスのあらゆる攻撃(無差別代入攻撃、事前代入攻撃など)を行える期間の制限が存在しません。また乗っ取られたパスワードを使って長い間システムを掌握するリスクがあります。定期的にパスワードを変更するように最大使用期間を適切な範囲で制限します。 |
SRV-069_4 | パスワードの最小使用期間の設定 | パスワードの最小使用期間を設定しない場合、ユーザーに慣れているパスワードに変更できます。パスワードを定期的に変更するポリシーの効果を大きく阻害する恐れがあります。以前のパスワードをそのまま再利用することを防ぐために、直近のパスワード記憶設定を共に適用してパスワードを保護することをお勧めします。 |
SRV-070 | パスワードファイルの保護 | 一部の古いシステムの場合、パスワードポリシーが適用されず、/etc/passwdファイルに平文でパスワードが保存される場合があります。ユーザーアカウントのパスワードが暗号化され、保存されているかを点検します。 |
SRV-073 | 管理者グループに最低限のアカウントを含める | システムの管理者グループに最低限(rootアカウントとシステム管理に許可されたアカウント)のアカウントのみ存在するかを点検します。 |
SRV-074 | 不要なアカウントの削除 | 不要なアカウントが存在するかを点検し、管理されないアカウントへの侵入を防止します。システムアカウントで不要なアカウント(退職、転職、休職など)があるのか点検します。 adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher、nfsnobody(除外)、squid |
SRV-075 | 推測できるアカウントパスワードの存在 | パスワードを設定する際、英数字/記号をすべて含む強力なパスワードを設定できるように、パスワードの複雑性を設定します。英数字だけで構成されているパスワードは、現在公開されたクラックユーティリティーおよび無差別攻撃によって簡単に推測できるため、会社で定めたパスワード管理ポリシーの遵守しているのかを点検します。 |
SRV-081_1 | cronファイルの所有者および権限の設定 | root以外の一般ユーザーが crontabコマンドを使用できる場合、故意または間違って不正予約ファイルが実行されるリスクがあります。Cron関連ファイルに許可されていないユーザーがアクセスできないように管理します。 |
SRV-081_2 | atファイルの所有者および権限の設定 | atデーモン(ワンタイムタスクの予約)は指定した時間にあるタスクが実行されるようにタスクスケジュールを管理します。/etc/at.allowファイルに登録されたユーザーのみが atコマンドを使用できるため、そのファイルに適切な権限を設定します。もし atアクセス制限ファイルの権限が間違っている場合、権限を取得したユーザーアカウントを登録して不正予約ファイルを実行するなどのシステム被害が発生する恐れがあります。 |
SRV-081_3 | Crontab設定ファイルの権限設定が不十分 | Crontabは定期的なタスクが必要な場合に使用するファイルです。Crontabのタスク設定ファイルの others権限に書き込み/読み取り権限がある場合は、ファイルの内容を修正するか、内容を読むことができるようになります。重要な情報が漏れる可能性があるため、関連ファイルに適切な権限が付与されているかの点検が必要です。 |
SRV-082 | システム主要ディレクトリ権限設定が不十分 | システム主要ディレクトリに対する権限設定を正しく行わないと、トロイの木馬のような悪性プログラムのインストールおよび重要ファイルに対する改ざんが可能になります。システム侵入に悪用またはサービス拒否攻撃が可能になるため、システムディレクトリ権限の適合性を点検します。 |
SRV-083 | システムスタートアップスクリプト権限制限が不十分 | システムスタートアップスクリプトの所有権および権限設定エラーによって任意の攻撃者がスクリプトの内容変更などを通じてシステム侵入に悪用する可能性があるため、これに対する権限設定の適合性を点検します。 |
SRV-084 | hosts.lpdファイルの所有者および権限の設定 | 不正アクセスによる任意の hosts.lpd改ざんを防ぐために hosts.lpdファイルを削除するか、所有者/権限を管理します。 |
SRV-084_1 | /etc/passwdファイルの所有者および権限の設定 | 「/etc/passwd」ファイルはユーザーの ID、パスワード(セキュリティ上、「x」と表記)、UID、GID、ホームディレクトリ、シェル情報が盛り込まれている重要ファイルです。管理者(root)以外のユーザーが「/etc/passwd」ファイルの修正が可能な場合、Shell改ざん、ユーザー追加/削除、権限昇格などの悪意のある行為ができるため、ファイルの権限を適切に管理します。 |
SRV-084_2 | /etc/shadowファイルの所有者および権限の設定 | 「/etc/shadow」ファイルはシステムに登録された全アカウントのパスワードを暗号化された形で保存および管理している重要ファイルです。そのファイルに対する権限管理が行われない場合、アカウントおよびパスワード情報が外部に漏れるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。 |
SRV-084_3 | /etc/hostsファイルの所有者および権限の設定 | 「/etc/hosts」ファイルは IPアドレスとホスト名をマッピングする時に使われるファイルです。そのファイルに対する管理が行われない場合、hostsファイルに悪意のあるシステムを登録して DNSを迂回したファーミング攻撃に悪用されるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。 |
SRV-084_4 | /etc/(x)inetd.confファイルの所有者および権限の設定 | インターネットスーパーデーモンはサービス設定ファイル(/etc/(x)inetd.conf)に登録された内部プログラムを外部ネットワークにリクエストする際にデーモンを起動させます。inetd.conf(xinetd.d)のアクセス権限が間違って設定されている場合、不正アクセスによって悪意のあるプログラムが登録され、root権限でサービスを実行して既存サービスに影響を与えるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。 |
SRV-084_5 | /etc/syslog.confファイルの所有者および権限の設定 | 「/etc/syslog.conf」ファイルはシステム運用中に発生する主要ログ記録を設定するファイルです。もしそのファイルのアクセス権限が適切でない場合、攻撃者によるファイル改ざんが行われる場合があります。侵入者の跡またはシステムエラー事項などのシステムログが正確に記録されないリスクがあります。管理者(root)アカウントを除いた全ユーザーの書き込み権限を制限することをお勧めします。 |
SRV-084_6 | /etc/servicesファイルの所有者および権限の設定 | 「/etc/services」ファイルはサービス管理のために使います。一般ユーザーによるアクセスおよび変更が可能になると、正常なサービスを制限するか、許可されていないサービスを悪意を持って実行させて侵害事故を発生させるリスクがあります。管理者(root)アカウントを除いた全ユーザーの書き込み権限を制限することをお勧めします。 |
SRV-087 | Cコンパイラの存在および権限設定が不十分 | 攻撃者がシステムに侵入した後に攻撃コードが入力されているソースファイルをコンパイルして実行ファイルを作成すると、システム攻撃(管理者権限の取得、サービス拒否の誘発など)に悪用できます。システムに Cコンパイラの存在および利用の適合性を点検します。 |
SRV-091 | SUID、SGID、Stick bit設定ファイルの点検 | SUID(Set User-ID)と SGID(Set Group-ID)が設定されたファイルは(特に root所有のファイルの場合)特定コマンドを実行して root権限の取得および正常サービスの障害を発生させる場合があります。root所有の SUIDファイルの場合は、必ず必要なファイルを除いては SUID、SGIDのプロパティを削除し、間違って設定してセキュリティへの脅威になっているのかに対する定期的な診断および管理が求められます。 *SUID(Set User-ID): 設定されたファイルを実行する際に特定タスクを実行するため、一時的にファイル所有者の権限を得る。 *SGID(Set Group-ID): 設定されたファイルを実行する際に特定タスクを実行するため、一時的にファイル所有グループの権限を得る。 |
SRV-092_1 | ホームディレクトリの所有者および権限の設定 | ユーザーホームディレクトリ内の設定ファイルが不正アクセスによって改ざんされると、正常なユーザーへのサービスが制限される恐れがあります。該当するホームディレクトリの所有者以外の一般ユーザーがそのホームディレクトリを修正できないように制限しているのか点検します。 |
SRV-092_2 | ホームディレクトリに指定したディレクトリの存在を管理 | ユーザーホームディレクトリはユーザーが shellにログインした後にタスクを行うディレクトリです。ログインしたユーザーホームディレクトリに存在するユーザー環境設定ファイルによってユーザー環境が構成され、ホームディレクトリが正しくない場合に以下のようなセキュリティ上の問題が発生する場合があります。 1) ホームディレクトリが存在しない場合 - rootアカウントではない一般ユーザーのホームディレクトリが/になっている場合、ログインする時にユーザーの現在のディレクトリが/にログインされるため管理セキュリティ上の問題が発生 2) ホームディレクトリ内に隠されたディレクトリが存在する場合 - 正当ではないユーザーがファイルを隠す目的で作成した可能性がある。 3) ホームディレクトリ内にシステムコマンドの名前を持つ不正実行ファイルが存在する場合 - 対象パスとシステムコマンドを入力して不正ファイルが実行されるようにする。 |
SRV-093 | world writableファイルの点検 | システムファイルのような重要ファイルに world writableが設定される場合、悪意のあるユーザーがそのファイルの改ざんを行うことができます。システムへの不正アクセスおよび障害を発生させるリスクがあるため、一般ユーザーの書き込み権限を制限します。 |
SRV-094 | Crontab参照ファイルの権限設定エラー | Crontabのタスク設定ファイルの others権限に書き込み権限がある場合、ファイル内容を修正して悪意のあるタスクが実行できます。Crontab関連ファイルのセキュリティ設定が適切なのか点検します。 |
SRV-095 | ファイルおよびディレクトリ所有者の設定 | 所有者が存在しないファイルおよびディレクトリが存在するのかを点検し、任意のユーザーによる違法行為を事前に遮断するために削除します。削除された所有者の UIDと同じユーザーがそのファイル/ディレクトリにアクセスでき、情報漏洩のリスクがあります。その脅威は退職者関連ファイルが削除されていないか、ハッキングにより悪意のあるファイルが作成された可能性が高いです。 |
SRV-096 | ユーザー、システム起動ファイルおよび環境ファイルの所有者および権限の設定 | ホームディレクトリ内のユーザーファイルおよびユーザー別システム起動ファイルなどの環境変数ファイルへのアクセス権限を適切に制限します。不正アクセスによって環境変数ファイルの改ざんが行われ、正常なサービスの障害を発生させるリスクがあります。管理者(root)アカウントとそのユーザーを除いた全ユーザーの書き込み権限を制限することをお勧めします。 環境変数ファイルの種類: 「.profile」、「.kshrc」、「.cshrc」、「.bashrc」、「.bash_profile」、「.login」、「.exrc」、「.netrc」など」 |
SRV-108 | ログに対するアクセス制限および管理が不十分 | システムログファイルの権限設定を正しく行わないと、任意のユーザーがログ記録(侵入および侵入した跡などの記録を改ざんできる)の改ざんを行えます。ログファイル権限設定が適切なのか点検します。 |
SRV-109 | ポリシーに応じたシステムロギングの設定 | セキュリティ事故が発生した場合、原因確認およびあらゆる侵害事実に対する確認のために、内部のポリシーに従ってシステムをロギングします。ロギングできない場合、事故に対する原因究明が難しく、法的措置のための十分な証拠を提供できません。 |
SRV-115 | ログの定期的な検討および報告 | 定期的なログ点検を通じて安定的なシステム状態を維持してしるかを確認します。ログの検討および報告手順がない場合、外部からの侵入に対する識別が漏れる場合があります。そして侵入が疑われるケースを見つけた場合、関連資料を分析してそのデバイスに対するアクセスを遮断するなどの追加対応が困難になる場合があります。 |
SRV-118 | 最新セキュリティパッチおよびベンダー勧告事項を適用 | 定期的なセキュリティパッチを通じてシステムが安全に管理されているのかを確認します。知られている脆弱性を利用した攻撃を事前に遮断するため、最新バージョンのセキュリティパッチを適用することをお勧めします。 |
SRV-121 | rootホームパスディレクトリの権限およびパスの設定 | PATH環境変数に「.」(現在のディレクトリを指す)が変数の前や途中に含まれている場合は、一般的なコマンド(例: ls、mv、psなど)を実行すると、本来のコマンドではないディレクトリのファイルが優先して実行されます。悪意のあるユーザーによって不正ファイルが実行される場合があるため、rootアカウントの PATH環境変数を点検します。 |
SRV-122 | UMASK設定の管理 | UMASKはファイルおよびディレクトリ作成時に基本パーミッションを指定するコマンドです。UMASK値を適切に設定し、新規作成するファイルに過剰な権限が付与されないようにします。 |
SRV-127 | アカウントロックしきい値の設定 | システムポリシーにユーザーロゴイン失敗のしきい値が設定されているかを点検します。無差別代入攻撃などでシステムに試したログインを遮断するためにしきい値の設定をお勧めします。 |
SRV-131 | rootアカウントにおける suの制限 | su関連グループにのみ suコマンドの使用権原を付与します。suグループに含まれていない一般ユーザーの suコマンドの使用を根本的に遮断します。システムユーザーアカウントグループ設定ファイル(/etc/group)に su関連グループが存在するかを点検し、そのグループのみ suコマンドを使用できるように設定されているかを点検します。 |
SRV-133 | Cronサービス使用アカウント制限が不十分 | cronは特定の時間に合わせて決まったコマンドを実行するデーモンとして、cronサービスに対するアクセス制限が必要です。定期的なコマンドの実行で侵入に悪用されるか、情報が漏れる恐れがあるため、cronファイル内に適切なアカウント設定がされているのかを点検します。 |
SRV-142_1 | root以外の UIDで「0」禁止 | ユーザーのアカウント情報が保存されたファイル(/etc/passwd)に root(UID=0)アカウントと同じ UID(User Identification)を持つアカウントがあるのか点検します。 rootアカウントと同じ UIDを持つアカウントは rootと同じ権限を持つようになり、システムに重大なリスクを招く場合があります。 |
SRV-142_2 | 同じ UIDを禁止 | Unixシステムは、すべてのユーザーアカウントに UIDを付与し、その UIDでユーザー名、パスワード、ホームディレクトリなどのようなユーザー情報を管理します。もし重複する UIDが存在する場合、システムで同じユーザーとして認識してしまうため、問題が生じることがあります。攻撃者による個人情報および関連データの漏洩が発生した場合も監査追跡が困難なため、同じ UIDがないように管理します。 |
SRV-144 | /devに存在しない deviceファイルの点検 | デバイスが存在しないか、名前を間違って入力した場合、システムは/devディレクトリに継続してシンボリックリンクファイルを作成してエラーを発生させることがあります。例えば、rmt0を rmtoと間違って入力した場合、rmtoファイルが新たに作成されるように、デバイス名を間違って入力すると rootファイルシステムがエラーを発生させるまで/devディレクトリで継続してファイルを作成する恐れがあります。実際に存在しないデバイスを予め見つけて削除します。 |
SRV-147 | SNMPサービスの起動点検 | SNMP(Simple Network Management Protocol)サービスは TCP/IPアドレスベースネットワーク上の各ホストから定期的に様々な情報を自動で収集し、ネットワークを管理するためのプロトコルです。システムの状態をリアルタイムで確認するか、設定するために使用します。SNMPサービスによってシステムの重要情報の漏洩および情報の不正修正が発生することがあるため、SNMPサービスを使用しない場合は停止することをお勧めします。 |
SRV-148 | Apacheウェブサービス情報を非表示 | ウェブページのエラー発生時に、過剰に詳細なメッセージが表示されないように設定します。エラーページ、ウェブサーバの種類、OS情報、ユーザーアカウント名など、ウェブサーバ関連の不要な情報が漏れないようにします。不要な情報が漏れる場合、その情報を利用してシステムの脆弱な部分を収集して攻撃に活用する可能性が高くなります。 |
SRV-158 | sshリモートアクセスの許可 | Telnet、FTPなどは暗号化されていない状態でデータを送信するため、ID/パスワードおよび重要情報が外部に漏れるリスクが高くなります。従ってリモートアクセスの際にユーザーとシステムとのすべての通信を暗号化する SSH(Secure Shell)サービスを使用することをお勧めします。SSHの使用時には TCP/22番ポートを基本ポートとして使用するため、攻撃者が基本ポートを使って攻撃する可能性があるのでポートを変更して使用することをお勧めします。 |
SRV-158_1 | 不要な Telnetサービスの実行 | Telnetサービスは Password認証方法を使用すると、データを平文で送信/受信するため、認証 ID/パスワードが外部に漏れることがあります。Telnetサービスは使用しないことが望ましく、使用有無を点検します。 |
SRV-161 | Ftpusersファイルの所有者および権限の設定 | ftpusersファイルは FTPアクセス制御設定ファイルとして、そのファイルに登録されたアカウントは ftpにアクセスできません。ファイルに適切な権限を設定して許可されていない者が ftpusersファイルを修正できないように制限します。 |
SRV-163 | ログオン時に警告メッセージを提供 | 許可されていない者にサーバに対する不要な情報を提供せず、サーバアクセスの際に関係者のみがアクセスする必要があるという警戒心を持たせるために警告メッセージの設定が必要です。 |
SRV-164 | アカウントが存在しない GIDの禁止 | グループ設定ファイルに不要なグループ(アカウントが存在せず、システム管理や運用に使用されないグループ、アカウントが存在するが、管理や運用に使用されないグループ)が存在するかを点検 |
SRV-165_1 | ユーザー shellの点検 | OSインストールの際に基本的に作成される不要なアカウントのログインシェルを制限します。一般的にログインが不要なアカウント(adm、sys、daemonなど)には/sbin/nologinなどでシェル設定を変更します。 |
SRV-165_2 | ftpアカウント shell制限 | FTPサービスをインストールする際に基本的に作成される ftpアカウントはログインが不要なデフォルトアカウントにシェルを制限し、そのアカウントへのシステムアクセスを遮断します。ログインが不要なデフォルトアカウントにシェル(Shell)を付与する場合、攻撃者にそのアカウントが漏れてシステムへの不正侵入が発生する恐れがあります。 |
SRV-166 | 隠されたファイルおよびディレクトリ検索と削除 | 隠されたファイルおよびディレクトリの中で疑わしい内容は、正常ユーザーではない攻撃者によって作成されている可能性があります。隠されたファイル/ディレクトリに対して定期的に確認します。 |
SRV-174 | 不要な DNSサービスの実行 | DNS(Domain Name Service)はドメイン名と IP間の変換のためのサービスとして、不要に運用する場合は潜在的なセキュリティ上の脆弱性による攻撃のパスになることがあります。そのサービスが常務に関係なく有効化されているのかを点検します。 |
Windowsの点検項目
Windowsのセキュリティ設定点検項目と各項目の説明は、次の通りです。
Check ID | 点検項目 | 点検項目に関する説明 |
---|---|---|
WKS-01 | Administratorアカウント名を変更する | 管理者アカウントの名前を変更することで、攻撃者がアカウント名を簡単に類推できないように設定 |
WKS-02 | Guestアカウントの使用制限 | Guestアカウントは、誰でもシステムにアクセスできる脆弱性を持っているため、使用を制限 |
WKS-03 | アカウントロックしきい値の設定 | ユーザーアカウントロックをログイン試行の失敗回数を決定 |
WKS-04 | 「解読可能な暗号化を使用してパスワードを保存」を使用しない | アプリケーションの要求事項がパスワード情報を保護する必要性より重要ではない限り、ドメインのすべてのユーザーに対して当該ポリシーを使用しない |
WKS-05 | 「Everyoneの使用権限を匿名ユーザーに適用」を使用しない | 当該ポリシーを使用解除し、匿名ユーザーが Everyoneグループで、使用権限を付与したリソースにアクセスすることを遮断 |
WKS-06 | アカウントロック期間の設定 | ログイン失敗しきい値を超過する場合、アカウントロックを維持する時間を設定 |
WKS-07 | パスワードの複雑性設定 | 暗号設定の際は、文字、数字、特殊文字を全部含め強力な暗号になるよう複雑性を設定 |
WKS-08 | パスワードの最小の長さ | パスワードの最小長さを8文字以上に設定 |
WKS-09 | パスワードの最大有効期間 | パスワードの最大有効期間を設定し、ユーザーが暗号をよく変えるよう誘導 |
WKS-10 | パスワードの最小有効期間 | パスワードを変更できるようになるまで、経過しなければならない最小の日付を設定 |
WKS-11 | 最後のユーザー名の非表示 | デバイスにログオンした最後のユーザー名をデスクトップに表示しないよう設定 |
WKS-12 | 直近のパスワード記憶 | 以前のパスワードを再使用するまでユーザーアカウントと連携して使用する新しい固有のパスワード数を決定 |
WKS-13 | コンソールログイン時にローカルアカウントで空パスワードの使用を制限 | 空パスワードの使用を制限し、空パスワードを持つアカウントのコンソールおよびネットワークサービスのアクセスを遮断 |
WKS-14 | 不要なサービスの削除 - Alerter | 不要なサービスを使用しないか削除 |
WKS-15 | 不要なサービスの削除 - Clipbook | 不要なサービスを使用しないか削除 |
WKS-16 | 不要なサービスの削除 - messenger | 不要なサービスを使用しないか削除 |
WKS-17 | IISサービスの起動点検 | 不要な IISサービスの中止 |
WKS-18 | FTPサービスの起動点検 | 不要な FTPサービスの中止 |
WKS-19 | DNS Zone Transferの設定 | DNS Zone Transfer遮断設定を適用し、承認された DNSサーバ以外、外部にドメイン情報が漏洩することを防止 |
WKS-20 | ターミナルサービスの暗号化レベル設定 | ターミナルサービスの暗号化設定により、クライアントとサーバ間の通信において、転送されるデータを保護し、不要な場合はターミナルサービスを中止 |
WKS-21 | SNMPサービスの起動点検 | SNMPサービスを使用しない場合は使用を中止し、システムの情報漏えいおよび不正修正を防止 |
WKS-22 | Telnetセキュリティの設定 | Telnetを利用する際、ネットワーク上で暗号を転送しない NTLM認証のみ使用するよう設定 |
WKS-23 | ポリシーに応じたシステムロギングの設定 - AuditLogonEvents | 法的要求事項と組織のポリシーの従って必要なログを残すように適切な監査レベルを設定 |
WKS-24 | ポリシーに応じたシステムロギングの設定 - AuditAccountLogon | 法的要求事項と組織のポリシーの従って必要なログを残すように適切な監査レベルを設定 |
WKS-25 | ポリシーに応じたシステムロギングの設定 - AuditPolicyChange | 法的要求事項と組織のポリシーの従って必要なログを残すように適切な監査レベルを設定 |
WKS-26 | ポリシーに応じたシステムロギングの設定 - AuditAccountManage | 法的要求事項と組織のポリシーの従って必要なログを残すように適切な監査レベルを設定 |
WKS-27 | ポリシーに応じたシステムロギングの設定 - AuditPrivilegeUse | 法的要求事項と組織のポリシーの従って必要なログを残すように適切な監査レベルを設定 |
WKS-28 | ポリシーに応じたシステムロギングの設定 - AuditDSAccess | 法的要求事項と組織のポリシーの従って必要なログを残すように適切な監査レベルを設定 |
WKS-29 | リモートでアクセスできるレジストリパス | やむを得ない場合を除いては、リモートレジストリサービスの使用を中止 |
WKS-30 | イベントログ管理の設定 | |
WKS-31 | ログインせずにシステム終了を許可 | ログインダイアログのシステム終了ボタンを無効化し、許可されていないユーザーがシステムを終了する脅威を防止 |
WKS-32 | SAMアカウントと共有の匿名列挙を許可しない | SAM(セキュリティアカウント管理者)アカウントと共有の匿名列挙を許可しないことで、匿名ユーザーによる悪意あるアカウント情報の盗難を防止 |
WKS-33 | Autologon機能の制御 | Autologon機能の無効化 |
WKS-34 | リムーバブルメディアのフォーマットと取り出しの許可 | リムーバブルメディアの NTFSフォーマットと取り出しが許可されるユーザーを制限 |
WKS-35 | ユーザーがプリンタドライバをインストールできなくする | ユーザーのプリンタドライバインストールを遮断し、悪意あるユーザーによるシステム損傷を防止 |
WKS-36 | 警告メッセージの設定 | ログオン時にシステムの不正使用に対する警告メッセージを出力するように設定 |
WKS-37 | LAN Manager認証レベル | Lan Manager認証レベルの設定を通じてネットワークログオンに使用する Challenge/Responseの認証プロトコルを決定し、安全な認証のために NTLMv2を使用することを推奨 |