Classic/VPC環境で利用できます。
OS Security Checker メニューでは、OSのセキュリティ設定点検結果を確認できます。点検の詳細な結果を診断レポートから確認するか、PDFまたはエクセルファイルでダウンロードできます。また、適切なセキュリティ設定および対処方法を確認できます。
参考
点検結果を確認するには、まずサーバでセキュリティ設定点検を実行します。点検方法についての詳細は、OSと WAS点検をご参照ください。
OS Security Checker画面
System Security Checkerを利用するための OS Security Checker メニューの基本的な説明は次の通りです。
| 領域 | 説明 |
|---|---|
| ① メニュー名 | 現在確認中のメニュー名、照会中の検査結果数 |
| ② 基本機能 | |
| ③ 検索領域 | 点検日時を基準にフィルタリングしたり、サーバ名を検索し点検結果を照会 |
| ④ Excel | ボタンをクリックして点検結果をエクセルファイルでダウンロード |
| ⑤ 点検結果リスト | 照会中の OSセキュリティ設定の点検結果リスト |
点検結果の確認
サーバの OSセキュリティ設定の点検結果を確認する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 *
> Services > Security > System Security Checker メニューを順にクリックします。 - OS Security Checker メニューをクリックします。
- 点検結果を確認します。
- 点検日時を基準にフィルタリングしたり、サーバ名を入力して希望する点検結果を検索できます。
- Region : サーバが存在するリージョン
- server名 : 点検を行ったサーバ名、クリックして当該点検の詳細結果および対処方法を確認(詳細結果および対処方法の確認を参照)
- InstanceNo : サーバの固有番号
- Check list : 点検タイプを表示
- Linux、Windows: Linuxまたは Windowsサーバの OSを点検した場合
- finance: 金融保安院電子金融基盤施設を基準にして Linuxのセキュリティ設定を点検した場合
- 点検日時 : 点検を実行する日時
- OS version : 点検を行ったサーバの OSバージョン
- 脆弱・全体項目 : 点検結果が Badの点検項目数・全体点検項目数
- Critical 、 Major 、 Minor : 危険度の点検項目のうち、点検結果が Badの項目数
- Report view : [レポート] ボタンをクリックして当該検査結果の全体を診断レポートで確認および PDFファイルでダウンロード
詳細結果および対処方法の確認
OSセキュリティ設定点検の詳細結果と点検項目についての説明、対処方法を確認して診断レポートをダウンロードする方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 > Services > Security > System Security Checker メニューを順にクリックします。
- OS Security Checker メニューをクリックします。
- 詳細結果を確認する点検サーバ名をクリックします。
- 詳細結果および対処のポップアップが表示されたら、点検細部項目と結果を確認します。
- 各点検項目をクリックして点検項目に対する説明、勧告および判断基準、対処方法を確認
- 危険度 と 点検結果 を選択し、 [検索] ボタンをクリックして点検項目をフィルタリング
- [レポート] ボタンをクリックして照会中の結果を診断レポートで確認、および PDFファイルでダウンロード
- [Excel] ボタンをクリックして照会中の結果をエクセルファイルでダウンロード
OSセキュリティ設定の点検項目
サーバの OSに応じた OSセキュリティ設定の点検項目をご確認ください。
参考
点検項目に関する詳しい説明と推奨設定、対処方法は NAVERクラウドプラットフォームコンソールの詳細結果および対処方法のポップアップで確認できます。(詳細結果および対処方法の確認を参照)
Linux点検項目(CSAP)
Linuxの CSAPセキュリティ設定点検項目と各項目の説明は、次の通りです。
| Check ID | 点検リスト | 点検項目に関する説明 |
|---|---|---|
| U-01 | rootアカウントのリモートアクセス制限 | rootアカウントのリモートアクセス遮断の設定有無を点検し、外部からの不正アクセスの rootアカウントのアクセスを根本的に遮断しているかを点検します。 ※ /etc/securetty: Telnetアクセスの際の rootアクセス制限設定ファイル 「/Etc/securetty」ファイル内の pts/x関連設定が存在する場合、PAMモジュール設定と関係なく、rootアカウントのアクセスを許可するため、必ず「securetty」ファイルから pts/x関連設定の削除が必要 Tty(terminal-teletype): サーバと接続しているモニター、キーボードなどを通じてユーザーがコンソールに直接ログイン pts(pseudo-terminal、仮想ターミナル): Telnet、SSH、ターミナルなどを利用してアクセス |
| U-02 | パスワードの複雑性設定 | システムポリシーにユーザーアカウント(rootおよび一般アカウントをすべて含む)にパスワード複雑性に係わる設定がされているかを点検します。 |
| U-03 | アカウントロックしきい値の設定 | システムポリシーにユーザーロゴイン失敗のしきい値が設定されているかを点検します。総当たり攻撃などでシステムに試したログインを遮断するためにしきい値を設定することをお勧めします。 |
| U-04 | パスワードの最大使用期間を設定 | パスワードの最大使用期間を設定しない場合、不正アクセスのあらゆる攻撃(総当たり攻撃、辞書攻撃など)を行える期間の制限が存在しません。また乗っ取られたパスワードを使って長い間システムを掌握するリスクがあります。定期的にパスワードを変更できるように最大使用期間を適切な範囲で制限する必要があります。 |
| U-05 | パスワードファイルの保護 | 一部の古いシステムの場合、パスワードポリシーが適用されず、/etc/passwdファイルに平文でパスワードが保存される場合があります。ユーザーアカウントのパスワードが暗号化され、保存されているかを点検します。 |
| U-06 | rootホームパスディレクトリの権限およびパスの設定 | PATH環境変数に「.」(現在のディレクトリを指す)が変数の前や途中に含まれている場合は、一般的なコマンド(例: ls、mv、psなど)を実行すると、本来のコマンドではない現在のディレクトリのファイルが優先して実行されます。悪意のあるユーザーによって不正ファイルが実行される場合があるため、rootアカウントの PATH環境変数を点検します。 |
| U-07 | ファイルおよびディレクトリ所有者の設定 | 所有者が存在しないファイルおよびディレクトリが存在するのかを点検し、任意のユーザーによる違法行為を事前に遮断するために削除します。削除された所有者の UIDと同じユーザーが当該ファイル/ディレクトリにアクセスでき、情報洩れのリスクがあります。このリスクによって退職者関連ファイルが削除されなかったか、ハッキングによって悪意のあるファイルが作成された可能性が高いです。 |
| U-08 | /etc/passwdファイルの所有者および権限の設定 | 「/etc/passwd」ファイルはユーザーの ID、パスワード(セキュリティ上、「x」と表記)、UID、GID、ホームディレクトリ、シェル情報が盛り込まれている重要ファイルです。管理者(root)以外のユーザーが「/etc/passwd」ファイルの変更が可能な場合、Shell改ざん、ユーザー追加/削除、権限昇格などの悪意のある行為ができるため、ファイルの権限を適切に管理します。 |
| U-09 | /etc/shadowファイルの所有者および権限の設定 | 「/etc/shadow」ファイルはシステムに登録された全アカウントのパスワードを暗号化された形で保存および管理している重要ファイルです。そのファイルに対する権限管理が行われない場合、アカウントおよびパスワード情報が外部に洩れるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。 |
| U-10 | /etc/hostsファイルの所有者および権限の設定 | 「/etc/hosts」ファイルは IPアドレスとホスト名をマッピングする時に使われるファイルです。そのファイルに対する管理が行われない場合、hostsファイルに悪意のあるシステムを登録して DNSを迂回したファーミング攻撃に悪用されるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。 |
| U-11 | /etc/(x)inetd.confファイルの所有者および権限の設定 | インターネットスーパーデーモンはサービス設定ファイル(/etc/(x)inetd.conf)に登録された内部プログラムを外部ネットワークにリクエストする際にデーモンを起動させます。inetd.conf(xinetd.d)のアクセス権限が間違って設定されている場合、不正アクセスによって悪意のあるプログラムが登録され、root権限でサービスを実行して既存サービスに影響を与えるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。 |
| U-12 | /etc/syslog.confファイルの所有者および権限の設定 | 「/etc/syslog.conf」ファイルはシステム運用中に発生する主要ログ記録を設定するファイルです。もしそのファイルのアクセス権限が適切でない場合、攻撃者によるファイル改ざんが行われる場合があります。侵入者の跡またはシステムエラー事項などのシステムログが正確に記録されないリスクがあります。管理者(root)アカウントを除いた全ユーザーの書き込み権限を制限することをお勧めします。 |
| U-13 | /etc/servicesファイルの所有者および権限の設定 | 「/etc/services」ファイルはサービス管理のために使います。一般ユーザーによるアクセスおよび変更が可能になると、正常なサービスを制限するか、許可されていないサービスを悪意を持って実行させて侵害事故を発生させるリスクがあります。管理者(root)アカウントを除いた全ユーザーの書き込み権限を制限することをお勧めします。 |
| U-14 | SUID、SGID、Stick bit設定ファイルを点検 | Set User-ID(SUID)と Set Group-ID(SGID)が設定されたファイルは(特に root所有のファイルの場合)特定コマンドを実行して root権限の取得および正常サービスの障害を発生させる場合があります。root所有の SUIDファイルの場合は必ず必要なファイルを除いては SUID、SGIDのプロパティを削除して、誤って設定してセキュリティに対する脅威になっているかの定期的な診断と管理が求められます。 *Set User-ID(SUID): 設定されたファイルを実行する際に特定タスクを実行するため、一時的にファイル所有者の権限を得る。 *Set Group-ID(SGID): 設定されたファイルを実行する際に特定タスクを実行するため、一時的にファイル所有グループの権限を得る。 |
| U-15 | ユーザー、システム起動ファイルおよび環境ファイルの所有者および権限の設定 | ホームディレクトリ内のユーザーファイルとユーザー別のシステム実行ファイルなどのような環境変数ファイルのアクセス権を適切に制限します。不正アクセスによって環境変数ファイルの改ざんが行われ、正常なサービスの障害を発生させるリスクがあります。管理者(root)アカウントとそのユーザーを除いた全ユーザーの書き込み権限を制限することをお勧めします。 環境変数ファイルの種類: 「.profile」、「.kshrc」、「.cshrc」、「.bashrc」、「.bash_profile」、「.login」、「.exrc」、「.netrc」など |
| U-16 | world writableファイルの点検 | システムファイルのような重要ファイルに world writableが設定される場合、悪意のあるユーザーがそのファイルの改ざんを行うことができます。システムへの不正アクセスおよび障害を発生させるリスクがあるため、一般ユーザーの書き込み権限を制限します。 |
| U-17 | $HOME/.rhosts, hosts.equivの使用禁止 | rlogin、rsh、rexecなどのような「r」commandは認証なしで管理者によるリモートアクセスができるコマンドです。適切なセキュリティ設定がされていない場合、リモート先の攻撃者が管理者権限でシステムに任意のコマンドを実行させるリスクがあります。セキュリティ上非常に脆弱な構造であるため、使用が必要な場合は権限を制限します。/etc/hosts.equivファイルおよび .rhostsファイルのユーザーを rootまたはそのアカウントに設定した後、権限を600に設定してそのファイルの設定に「+」設定(すべてのホストを許可)が含まれないように制限します。 |
| U-18 | アクセス IPアドレスとポートを制限 | 制限されたホストのみサービスを使用できるように設定して外部からの攻撃を事前に防ぐ必要があります。基本的に全ホストに対して deny設定をして、サービスに必ず必要なホストのみ allow設定に追加します。 関連設定ファイル: hosts.allow、hosts.deny |
| U-19 | cronファイルの所有者および権限の設定 | root以外の一般ユーザーが crontabコマンドを使用できる場合、故意または間違って不正予約ファイルが実行されるリスクがあります。Cron関連ファイルに許可されていないユーザーがアクセスできないように管理します。 |
| U-20 | fingerサービスの無効化 | Finger(ユーザー情報確認サービス)を通じてネットワークの外部からそのシステムに登録されたユーザー情報を確認できます。不正アクセスでユーザー情報を照会することを防ぐためにサービスの使用禁止をお勧めします。 |
| U-21 | Anonymous FTPの無効化 | 実行中の FTPサービスの匿名の FTPアクセスが許可されているかを確認し、アクセスを遮断することをお勧めします。 |
| U-22 | r系サービスの無効化 | rlogin、rsh、rexecなどのような「r」commandは認証なしで管理者によるリモートアクセスができるコマンドです。適切なセキュリティ設定がされていない場合、リモート先の攻撃者が管理者権限でシステムに任意のコマンドを実行させるリスクがあります。サービスに使用しない場合、無効化することをお勧めします。 |
| U-23 | Dos攻撃に脆弱なサービスの無効化 | DoS攻撃などに脆弱なサービスを使用しない場合は無効化することをお勧めします。 使用禁止推奨対象サービス: echo、discard、daytime、chargen |
| U-24 | NFSサービス無効化 | Network File System(NFS)はリモートコンピュータのファイルシステムをローカルシステムにマウントして使用できるようにするサービスです。無許可サービスで悪用して NFSマウントでシステムアクセスや改ざんなどのリスクが高いため使用を禁止します。やむを得ず使用する必要がある場合、25番統制項目に従って管理します。 |
| U-25 | NFSアクセス統制 | NFS使用時に許可されたユーザーのみアクセスできるように制限します。不正アクセスを遮断するために everyone共有は必ず制限します。 |
| U-26 | automountdの削除 | automountdはクライアントが自動でサーバにマウントし、一定期間使用しないと unmountする機能を提供します。ローカル攻撃者が automountdを使用して Remote Procedure Call(RPC)を送信できるという脆弱性があるため、使用を禁止します。 |
| U-27 | RPCサービス確認 | Remote Procedure Call(RPC)は別途のリモートコントロールのためのコーディングなしで別のアドレススペースで関数やプロシージャを実行できるようにするプロセス間のプロトコルです。一部の RPCサービスはリモート実行などの脆弱性があるため、使用しないことをお勧めします。 使用禁止推奨 RPCサービス: rpc.cmsd、rpc.ttdbserverd、sadmind、rusersd、walld、sprayd、rstatd、rpc.nisd、rexd、rpc.pcnfsd、rpc.statd、rpc.ypupdated、rpc.rquotad、kcms_server、cachefsd |
| U-28 | NIS、NIS+の点検 | Network Information Service(NIS)は ypservと呼ばれる RPCサービスとして portmapおよび別の関連サービスと共に使用され、同じドメインに位置したコンピュータにユーザー名、暗号と他の機密情報をリリースする機能です。ネットワーク上で機密情報を暗号化していない状態で送信するため、セキュリティ上脆弱です。NISサービスはできるだけ使用してはならず、必要な場合は NIS+を使用することをお勧めします。 |
| U-29 | tftp、talkサービスの無効化 | tftp、talk、ntalkサービスはセキュリティ上脆弱であるため、使用しないことをお勧めします。 |
| U-30 | Sendmailバージョンの点検 | Sendmailサービスの場合、ほとんどのバージョンで多くの脆弱性が報告されています。サービスに不要な場合、使用しないことをお勧めします。使用が必要な場合は、最新バージョンの使用をお勧めします。 |
| U-31 | 迷惑メールリレー制限 | Simple Mail Transfer Protocol(SMTP)はインターネット上で電子メールを送信する時に使用する標準通信規約です。SMTPサーバを通じて電子メールを送信するサービスを提供したい場合は適切なセキュリティ設定が必要です。リレー機能を制限しないと悪意のある目的の迷惑メールサーバとして乗っ取られるか、DoS攻撃の対象になる恐れがあります。 |
| U-32 | 一般ユーザーの Sendmail実行を防止 | SMTPサービスを使用する際に qオプションを使用すると、sendmail設定を任意で変更するか、メールキューを強制的に dropできます。そのため、一般ユーザーは qオプションを使用できないように制限します。 |
| U-33 | DNSセキュリティバージョンアップデート | Berkeley Internet Name Domain(BIND)は BSDベースの UNIXシステムのために設定された DNSサーバと resolverライブラリで構成されています。ほぼすべてのバージョンにおいて様々な脆弱性が報告されているため、できるだけ最新バージョンをインストールして使用することをお勧めします。 |
| U-34 | DNS Zone Transferの設定 | DNS Zone Transferは Primary Name Serverと Secondary Name Serverの間の Zone情報の一貫性を保つために使用する機能です。Zone情報は Secondary Name Serverのみで送信するように制限します。もし許可されていないユーザーに Zone Transferを許可する場合、攻撃者は受け取った Zone情報を利用してホスト情報、システム情報、ネットワークの構成などの多くの情報を把握できるようになります。 |
| U-35 | 最新セキュリティパッチおよびベンダー勧告事項を適用 | 定期的なセキュリティパッチを通じてシステムが安全に管理されているのかを確認します。知られている脆弱性を利用した攻撃を事前に遮断するため、最新バージョンのセキュリティパッチを適用することをお勧めします。 |
| U-36 | ログの定期的なレビューと報告 | 定期的なログ点検を通じて安定的なシステムステータスを維持してしるかを確認します。ログの検討および報告手順がない場合、外部からの侵入に対する識別が漏れる場合があります。そして侵入が疑われるケースを見つけた場合、関連資料を分析してそのデバイスに対するアクセスを遮断するなどの追加対応が困難になる場合があります。 |
Linux点検項目(KISA)
Linux KISAセキュリティ設定の点検項目と各項目の説明は、次の通りです。
| Check ID | 点検リスト | 点検項目に関する説明 |
|---|---|---|
| U-01 | rootアカウントのリモートアクセス制限 | rootアカウントのリモートアクセス遮断設定の有無を点検し、外部の不正アクセスによる rootアカウントへのアクセスを源泉的に遮断しているのかを点検 |
| U-02 | パスワードの複雑性設定 | システムポリシーにユーザーアカウント(rootおよび一般アカウント)にパスワード複雑性に係わる設定がされているかを点検 |
| U-03 | アカウントロックしきい値の設定 | システムポリシーにユーザーログイン失敗のしきい値が設定されているかを点検 |
| U-04 | パスワードファイルの保護 | システムのユーザーアカウント情報が保存された/etc/passwdファイルにユーザーアカウントのパスワードが暗号化され、保存されているかを点検 |
| U-05 | rootホームパスディレクトリの権限およびパスの設定 | rootアカウントの PATH環境パラメータに「.」(現在のディレクトリ)が含まれているかを点検 |
| U-06 | ファイルおよびディレクトリ所有者の設定 | 所有者が存在しないファイルおよびディレクトリが存在するかを点検 |
| U-07 | /etc/passwdファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限の設定 |
| U-08 | /etc/shadowファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限の設定 |
| U-09 | /etc/hostsファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限の設定 |
| U-10 | /etc/(x)inetd.confファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限の設定 |
| U-11 | /etc/syslog.confファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限の設定 |
| U-12 | /etc/servicesファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限の設定 |
| U-13 | SUID、SGID、Stick bit設定ファイルを点検 | ファイルに不要な SUID、SGIDプロパティを削除 |
| U-14 | ユーザー、システム起動ファイルおよび環境ファイルの所有者および権限の設定 | ホームディレクトリ内のユーザーファイルおよびユーザー別システム起動ファイルなどのような環境変数ファイルのアクセス権限を制限 |
| U-15 | world writableファイルの点検 | 不要な world writableファイルの存在有無を点検 |
| U-16 | /devに存在しない deviceファイルの点検 | 実際存在しないデバイスファイルの存在有無を点検 |
| U-17 | $HOME/.rhosts、hosts.equivの使用禁止 | rlogin、rsh、rexecなどのような r commandの権限制限 |
| U-18 | アクセス IPアドレスとポートを制限 | 制限されたホストのみがサービスを使用できるように設定し、外部からの攻撃を事前に防止 |
| U-19 | fingerサービスの無効化 | 不正アクセスによりユーザー情報が照会されることを防止するため、fingerサービスを無効化 |
| U-20 | Anonymous FTPの無効化 | Anonymous FTPアクセスを遮断して、権限のないユーザーの FTP使用を制限 |
| U-21 | r系サービスの無効化 | rlogin、rsh、rexecなどのような r commandの無効化 |
| U-22 | cronファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限の設定 |
| U-23 | Dos攻撃に脆弱なサービスの無効化 | 使用していない DoS攻撃などに脆弱なサービスの無効化 |
| U-24 | NFSサービス無効化 | NFSサービスの無効化 |
| U-25 | NFSアクセス統制 | NFSを使用する際、許可されたユーザーのみアクセスできるように制限 |
| U-26 | automountdの削除 | ローカル攻撃者が automountdを用いて Remote Procedure Call(RPC)を送る脆弱性が存在するため、サービス中止 |
| U-27 | RPCサービス確認 | 一部の RPCサービスはリモート実行などの脆弱性が存在するためサービスを無効化 |
| U-28 | NIS、NIS+の点検 | NISサービスはできるだけ使用しないようにし、必要な場合は NIS+を使用 |
| U-29 | tftp、talkサービスの無効化 | tftp、talk、ntalkサービスはセキュリティ上脆弱であるため、無効化 |
| U-30 | Sendmailバージョンの点検 | ほとんどのバージョンで多くの脆弱性が報告されているため、不要な場合は使用停止 |
| U-31 | 迷惑メールリレー制限 | SMTPサーバのリレー機能を制限 |
| U-32 | 一般ユーザーの Sendmail実行を防止 | SMTPサービスを提供する際、一般ユーザーは qオプションを使用できないように制限 |
| U-33 | DNSセキュリティバージョンアップデート | BIND使用時は最新バージョンを使用 |
| U-34 | DNS Zone Transferの設定 | Zone情報を Secondary Name Serverのみで転送できるように制限 |
| U-35 | Apacheディレクトリリスティングの削除 | ディレクトリ検索機能の無効化 |
| U-36 | Apacheウェブプロセス権限の制限 | Apacheは root権限でない別途の権限で実行 |
| U-37 | Apache上位ディレクトリへのアクセス禁止 | AllowOverrideオプションで上位ディレクトリに移動することを制限 |
| U-38 | Apacheに不要なファイルの削除 | Apacheのインストールの際、基本的に作成される不要なファイルを削除しているかを点検 |
| U-39 | Apacheリンク使用禁止 | シンボリックリンク(Symbolic link)の使用制限 |
| U-40 | Apacheファイルアップロードおよびダウンロードの制限 | 原則的に、ファイルのアップロードおよびダウンロードを禁止し、必要に応じて容量のサイズを制限 |
| U-41 | Apacheウェブサービス領域の分離 | DocumentRootを基本設定(htdocsディレクトリ)でない別途のパスに変更 |
| U-42 | 最新セキュリティパッチおよびベンダー勧告事項を適用 | 定期的なセキュリティパッチを通じてシステムが安全に管理されているかを確認 |
| U-43 | ログの定期的なレビューと報告 | 定期的なログ点検を通じて安定的なシステムステータスを維持してしるかを確認 |
| U-44 | root以外の UIDが「0」の場合は禁止 | rootアカウントの他に UID値が0のアカウント(rootと権限が同様)が存在するかを点検 |
| U-45 | rootアカウントにおける suの制限 | |
| U-46 | パスワードの長さの最小値設定 | 最小パスワードの長さを8文字以上に設定 |
| U-47 | パスワードの最大使用期間を設定 | 定期的にパスワードを変更できるように最大試用期間を適切に制限 |
| U-48 | パスワードの最小使用期間の設定 | パスワードを変更できるようになるまで、経過しなければならない最小の日付を設定 |
| U-49 | 不要なアカウントの削除 | |
| U-50 | 管理者グループに最低限のアカウントを含める | システムの管理者グループに最低限のアカウントのみ存在するかを点検 |
| U-51 | アカウントが存在しない GIDは禁止 | グループ設定ファイルに不要なグループ(アカウントが存在せず、システム管理や運用に使用されないグループ、アカウントが存在するが、管理や運用に使用されないグループ)が存在するかを点検 |
| U-52 | 同じ UIDは禁止 | UIDが同じユーザーアカウントの有無を点検 |
| U-53 | ユーザー shellの点検 | ログインを必要としないアカウントに /bin/falseシェルを付与し、ログインを制限 |
| U-54 | Session Timeoutの設定 | 一定時間の間、イベントが全く発生しない場合、アクセスを強制終了する Session Timeoutを設定 |
| U-55 | hosts.lpdファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限の設定 |
| U-56 | UMASK設定管理 | UMASK値が適切かを点検 |
| U-57 | ホームディレクトリの所有者および権限の設定 | ユーザーホームディレクトリの所有者以外の一般ユーザーがそのホームディレクトリを変更できないように制限 |
| U-58 | ホームディレクトリに指定したディレクトリの存在を管理 | ユーザーアカウントとホームディレクトリの一致有無を点検 |
| U-59 | 隠されたファイルおよびディレクトリ検索と削除 | 隠しファイルおよびディレクトリ内の疑わしいファイルの存在有無を点検 |
| U-60 | sshリモートアクセスの許可 | リモートアクセスの際、ユーザーとシステムのすべての通信を暗号化する SSH(Secure Shell)サービスを使用 |
| U-61 | ftpサービスの確認 | FTPサービスの有効化有無を点検 |
| U-62 | ftpアカウント shell制限 | FTPサービスのインストールの際、作成される ftpアカウントに /bin/falseシェルを付与し、当該アカウントでもシステムアクセス遮断 |
| U-63 | Ftpusersファイルの所有者および権限の設定 | 重要ファイルの所有者と権限の設定 |
| U-64 | Ftpusersファイルの設定 | |
| U-65 | atファイルの所有者および権限の設定 | 重要システムファイルの所有者および権限の設定 |
| U-66 | SNMPサービス駆動の点検 | 不要な SNMPサービスの使用中止 |
| U-67 | SNMPサービスコミュニティ文字列の複雑性を設定 | コミュニティ文字列を推測できる値に変更 |
| U-68 | ログイン時に警告メッセージを提供 | サーバおよびサービスにログインする際、不要な情報遮断設定および不正使用に対する警告メッセージを出力 |
| U-69 | NFS設定ファイルへのアクセス権限 | NFSアクセス制限設定ファイルを一般ユーザーが変更できないように制限しているかを点検 |
| U-70 | expn、vrfyコマンドの制限 | やむを得ず SMTPを使用する場合、Sendmail Abuseを防ぐために Sendmailの基本サービスである VRFY、EXPNを使用できないように制限 |
| U-71 | Apacheウェブサービス情報の隠し | ウェブページのえらー発生時、過剰にメッセージが表示されないように設定 |
| U-72 | ポリシーに応じたシステムロギングの設定 | 内部ポリシーに応じたシステムロギングの設定適用有無を点検 |
Linuxの点検項目(金融保安院の電子金融基盤施設基準)
金融保安院の電子金融基盤施設基準による Linuxセキュリティ設定点検項目と各項目の説明は、次の通りです。
| Check ID | 点検項目 | 点検項目に関する説明 |
|---|---|---|
| SRV-001 | SNMPサービスコミュニティ文字列の複雑性を設定 | Simple Network Management Protocol(SNMP)サービスは TCP/IPアドレスベースネットワーク上の各ホストから定期的に様々な情報を自動で収集し、ネットワークを管理するためのプロトコルです。SNMPは MIBという情報をやり取りするために認証過程でパスワードの一種である「Community String」を使います。Community Stringは Defaultとして public、privateで設定されている場合が多く、これを変更しないとこの Stringを悪用してシステムの主要情報および設定を把握できるという脆弱性が存在します。Community Stringを推測できない値に変更します。 |
| SRV-004 | 不要な SMTPサービスを実行 | SMTPサービスはインターネットでメールを送信する SMTPプロトコルをベースにしたサービスです。悪意のある攻撃者は SMTPサービスを利用して SMTPサービスを実行しているコンピュータの情報を獲得するか様々な攻撃が可能であるため、不要な SMTPサービスが稼働するかを点検します。 |
| SRV-005 | expn、vrfyコマンドの制限 | Simple Mail Transfer Protocol(SMTP)はインターネット上で電子メール(E-mail)を送信する時に利用する標準通信規約です。しかし脆弱性が高いため、サービスのために必ず必要な場合を除いて使用しないことをお勧めします。必ず必要な場合は Sendmail Abuseを防ぐために Sendmailの基本的なサービスである VRFY、EXPNを使用できないように制限することをお勧めします。 *VRFY: SMTPクライアントが SMTPサーバに特定の IDに対するメールがあるかを検証するために送るコマンドを指す。 *EXPN(メーリングリストの拡大): メール送信時にフォワードするためのコマンドを指す。 |
| SRV-006 | SMTPサービスログレベル設定が不十分 | Sendmailは広く使用されている MTA(Mail Transfer Agent)として、UNIXに基本的に搭載されているサービスです。サービス可用性の確保および継続的なセキュリティ脆弱性に対するモニタリングが必要です。Sendmailの loglevelはサービス運用上のイベントに対するログを残す区分のために loglevel設定の適合性を点検します。 |
| SRV-007 | Sendmailバージョンの点検 | Sendmailサービスの場合、ほとんどのバージョンで多くの脆弱性が報告されています。サービスに不要な場合、使用しないことをお勧めします。使用が必要な場合は、最新バージョンの使用をお勧めします。 |
| SRV-008 | SMTPサービスの DoS防止機能の未設定 | ネットワーク回線の容量およびサーバの処理容量超過によるメールサービス拒否およびシステムダウンを防止するため、セキュリティ設定の適合性を点検します。 |
| SRV-009 | 迷惑メールリレー制限 | Simple Mail Transfer Protocol(SMTP)はインターネット上で電子メールを送信する時に使用する標準通信規約です。SMTPサーバを通じて電子メールを送信するサービスを提供したい場合は適切なセキュリティ設定が必要です。リレー機能を制限しないと悪意のある目的の迷惑メールサーバとして乗っ取られるか、DoS攻撃の対象になる恐れがあります。 |
| SRV-010 | 一般ユーザーの Sendmail実行を防止 | SMTPサービスを使用する際に qオプションを使用すると、sendmail設定を任意で変更するか、メールキューを強制的に dropできます。そのため、一般ユーザーは qオプションを使用できないように制限します。 |
| SRV-011 | Ftpusersファイルの設定 | FTPサービスは IDとパスワードが暗号化されていないままで送信されて、簡単な Snifferによっても IDやパスワードが洩れることがあります。必ず必要な場合を除いては FTPサービスを使用しないことをお勧めします。やむを得ず FTPサービスを使用する場合、rootアカウントの直接アクセスを制限して rootアカウントのパスワード情報が洩れないように対処する必要があります。 |
| SRV-012 | .netrcファイル内のホスト情報晒し | .netrcファイルは ftpで自動でファイルの送信/受信のために使われます。.netrcファイルは FTPアクセス IPアドレスとパスワードを平文で保存するようになっているため、セキュリティに脆弱性があります。適切な権限設定がされているのか、点検が必要です。 |
| SRV-013 | Anonymous FTPの無効化 | 実行中の FTPサービスの匿名の FTPアクセスが許可されているかを確認し、アクセスを遮断することをお勧めします。 |
| SRV-014_1 | NFSアクセス統制 | NFS使用時に許可されたユーザーのみアクセスできるように制限します。不正アクセスを遮断するために everyone共有は必ず制限します。 |
| SRV-014_2 | NFS設定ファイルへのアクセス権限 | Network File System(NFS)はリモートコンピュータのファイルシステムをローカルシステムにマウントし、まるでローカルファイルシステムのように使用できるサービスです。 NFSアクセス制限設定ファイルを管理者ではなく一般ユーザーでもアクセスや変更できれば、これによって許可されていないユーザーを登録してファイルシステムをマウントして違法な改ざんを行うことがあります。従って NFSアクセス制限設定ファイルを一般ユーザーが変更できないように制限しているかを点検します。 |
| SRV-015 | NFSサービス無効化 | Network File System(NFS)はリモートコンピュータのファイルシステムをローカルシステムにマウントして使用できるようにするサービスです。無許可サービスで悪用して NFSマウントでシステムアクセスや改ざんなどのリスクが高いため使用を禁止します。やむを得ず使用する必要がある場合、25番統制項目に従って管理します。 |
| SRV-016 | RPCサービス確認 | Remote Procedure Call(RPC)は別途のリモートコントロールのためのコーディングなしで別のアドレススペースで関数やプロシージャを実行できるようにするプロセス間のプロトコルです。一部の RPCサービスはリモート実行などの脆弱性があるため、使用しないことをお勧めします。 使用禁止推奨 RPCサービス: rpc.cmsd、rpc.ttdbserverd、sadmind、rusersd、walld、sprayd、rstatd、rpc.nisd、rexd、rpc.pcnfsd、rpc.statd、rpc.ypupdated、rpc.rquotad、kcms_server、cachefsd |
| SRV-022 | アカウントのパスワード未設定、空のパスワード使用管理の不十分 | 各アカウントのパスワードが設定されていない場合、攻撃者によってアカウントが乗っ取られるリスクがあるため、適切なパスワードが設定されているのかを点検します。ログインが必要な全アカウントに対して必ず適切なレベルのパスワードを設定することをお勧めします。 |
| SRV-025 | $HOME/.rhosts, hosts.equivの使用禁止 | rlogin、rsh、rexecなどのような「r」commandは認証なしで管理者によるリモートアクセスができるコマンドです。適切なセキュリティ設定がされていない場合、リモート先の攻撃者が管理者権限でシステムに任意のコマンドを実行させるリスクがあります。セキュリティ上非常に脆弱な構造であるため、使用が必要な場合は権限を制限します。/etc/hosts.equivファイルおよび .rhostsファイルのユーザーを rootまたはそのアカウントに設定した後、権限を600に設定してそのファイルの設定に「+」設定(すべてのホストを許可)が含まれないように制限します。 |
| SRV-026 | rootアカウントのリモートアクセス制限 | rootアカウントのリモートアクセス遮断の設定有無を点検し、外部からの不正アクセスの rootアカウントのアクセスを源泉的に遮断しているのかを点検します。 ※ /etc/securetty: Telnetアクセスの際の rootアクセス制限設定ファイル 「/etc/securetty」ファイル内の*pts/x関連設定が存在する場合、PAMモジュール設定と関係なく、rootアカウントのアクセスを許可するため、必ず「securetty」ファイルから pts/x関連設定の削除が必要 Tty(terminal-teletype): サーバと接続しているモニター、キーボードなどを通じてユーザーがコンソールに直接ログイン pseudo-terminal(pts、仮想ターミナル): Telnet、SSH、ターミナルなどを利用してアクセス |
| SRV-027 | アクセス IPアドレスとポートを制限 | 制限されたホストのみサービスを使用できるように設定して外部からの攻撃を事前に防ぐ必要があります。基本的に全ホストに対して deny設定をして、サービスに必ず必要なホストのみ allow設定に追加します。 関連設定ファイル: hosts.allow、hosts.deny |
| SRV-028 | Session Timeoutの設定 | Session timeout値が設定されていない場合、遊休時間内に不正アクセスのシステムアクセスによるセキュリティ上の脅威が存在します。ユーザーシェルに関する環境設定ファイルで Session timeoutを設定します。 |
| SRV-034 | automountdの削除 | automountdはクライアントが自動でサーバにマウントし、一定期間使用しないと unmountする機能を提供します。ローカル攻撃者が automountdを使用して Remote Procedure Call(RPC)を送信できるという脆弱性があるため、使用を禁止します。 |
| SRV-035_1 | tftp、talkサービスの無効化 | tftp、talk、ntalkサービスはセキュリティ上脆弱であるため、使用しないことをお勧めします。 |
| SRV-035_2 | fingerサービスの無効化 | Finger(ユーザー情報確認サービス)を通じてネットワークの外部からそのシステムに登録されたユーザー情報を確認できます。不正アクセスでユーザー情報を照会することを防ぐためにサービスの使用禁止をお勧めします。 |
| SRV-035_3 | r系サービスの無効化 | rlogin、rsh、rexecなどのような「r」commandは認証なしで管理者によるリモートアクセスができるコマンドです。適切なセキュリティ設定がされていない場合、リモート先の攻撃者が管理者権限でシステムに任意のコマンドを実行させるリスクがあります。サービスに使用しない場合、無効化することをお勧めします。 |
| SRV-035_4 | Dos攻撃に脆弱なサービスの無効化 | DoS攻撃などに脆弱なサービスを使用しない場合は無効化することをお勧めします。 使用禁止推奨対象サービス: echo、discard、daytime、chargen |
| SRV-035_5 | NIS、NIS+の点検 | Network Information Service(NIS)は ypservと呼ばれる RPCサービスとして portmapおよび別の関連サービスと共に使用され、同じドメインに位置したコンピュータにユーザー名、暗号と他の機密情報をリリースする機能です。ネットワーク上で機密情報を暗号化していない状態で送信するため、セキュリティ上脆弱です。NISサービスはできるだけ使用してはならず、必要な場合は NIS+を使用することをお勧めします。 |
| SRV-037 | ftpサービスの確認 | FTPサービスは IDとパスワードを暗号化せずに送信するのでスニッフィングの恐れがあります。なるべく FTPを使用しないことをお勧めします。 |
| SRV-040 | ウェブサービスディレクトリリスティングの削除 | ディレクトリ検索(Directory Listing)機能はディレクトリに基本ドキュメントが存在しない場合、ディレクトリ内のすべてのファイルのリストを表示する機能です。ディレクトリ検索機能が有効になっていると外部からディレクトリ内のすべてのファイルへのアクセスが可能であり、WEBサーバ構造の洩れだけではなく、バックアップファイルやソースファイルなどの公開してはいけない重要ファイルが洩れるリスクがあります。 |
| SRV-042 | ウェブサービス上位ディレクトリへのアクセス禁止 | AllowOverrideオプションで上位ディレクトリに移動することを制限しているのかを点検します。「..」のような文字を利用して上位ディレクトリに移動できると、アクセスしてはいけないパスまで攻撃者に洩れる恐れがあります。 |
| SRV-043 | ウェブサービスに不要なファイルの削除 | Apacheをインストールする際に作成される不要なファイルを削除したかを点検します。 基本作成ファイル: (/[Apache_home]/htdocs/manual, /[Apache_home]/manual) |
| SRV-044 | ウェブサービスファイルアップロードおよびダウンロードの制限 | 基板施設の特徴により原則としてファイルのアップロード/ダウンロードを禁止していますが、やむを得ず必要な場合は容量を制限します。サーバの過負荷防止およびリソースを有効に使うために、アップロードとダウンロードファイルが5MBを越えないように設定することをお勧めします。 |
| SRV-045 | ウェブサービスのウェブプロセス権限の制限 | Apacheデーモンが root権限で運用される場合、Web Applicationが脆弱性などによって権限が乗っ取られた時に攻撃者が root権限を取得できるようになります。そのため Apacheは root権限ではない別途の権限で実行します。 |
| SRV-046 | ウェブサービスエリアの分離 | Apacheをインストールする時にデフォルト設定として htdocsディレクトリを DocumentRootとして使用します。Htdocsディレクトリは公開されてはいけない(または公開される必要がない) Apacheドキュメントだけではなく、攻撃に利用できるシステム関連情報も盛り込んでいるため、別途のパスで変更することをお勧めします。 |
| SRV-047 | ウェブサービスリンク使用禁止 | システムの rootディレクトリ(/)にシンボリックリンク(Symbolic link)を設定すると、ウェブサーバ動作のユーザー権限(nobody)ですべてのファイルシステムのファイルにアクセスできるため危険です。間違ったシンボリックリンクでサーバの重要情報が洩れる恐れがあるため、シンボリックリンクの使用を制限します。 |
| SRV-048 | 不要なウェブサービスの実行 | システム動作時に不要なサービスがデフォルトでインストールされて起動すると、潜在的なセキュリティ上の脆弱性が発生する恐れがあります。実際に不要なサービスはシステムの性能低下を招くか、攻撃に悪用される恐れがあるので定期的に点検します。 (評価例) - Tmax WebtoBのウェブサーバに対する様々な脆弱性(OpenSSLなど)が報告されているため、そのサービスの使用有無を点検 |
| SRV-060 | ウェブサービスのデフォルトアカウント(IDまたはパスワード)の未変更 | Tomcatは Apacheウェブサーバに JSPと Javaサーブレットを実行できる機能を提供する Javaアプリケーションサーバです。Tomcatがインストールされる時に基本的に設定されるアカウント変更しない場合、システムへの不正アクセスのリスクがあります。デフォルトアカウントに対して適切なセキュリティ設定がされているのかを点検します。 |
| SRV-062 | DNSサービス情報の洩れ | DNSサーバの種類やバージョンなどの情報が洩れる場合、攻撃者が他の攻撃に活用する可能性があるため、適切なセキュリティ設定が行われているかを点検します。 |
| SRV-063 | DNS Inverse Query設定の不備 | 攻撃者が Spoofed IP(Victim)アドレスで多量の DNSリクエストを送る攻撃脅威(DNS Cache Poisoning-DNSキャッシュに偽情報が入力される攻撃)を試すことができます。これに対応できるセキュリティ設定の適合性を点検します。 |
| SRV-064 | DNSセキュリティバージョンアップデート | Berkeley Internet Name Domain(BIND)は BSDベースの UNIXシステムのために設定された DNSサーバと resolverライブラリで構成されています。ほぼすべてのバージョンにおいて様々な脆弱性が報告されているため、できるだけ最新バージョンをインストールして使用することをお勧めします。 |
| SRV-066 | DNS Zone Transferの設定 | DNS Zone Transferは Primary Name Serverと Secondary Name Serverの間の Zone情報の一貫性を保つために使用する機能です。Zone情報は Secondary Name Serverのみで送信するように制限します。もし許可されていないユーザーに Zone Transferを許可する場合、攻撃者は受け取った Zone情報を利用してホスト情報、システム情報、ネットワークの構成などの多くの情報を把握できるようになります。 |
| SRV-069_1 | パスワードの複雑性設定 | システムポリシーにユーザーアカウント(rootおよび一般アカウントをすべて含む)にパスワード複雑性に係わる設定がされているかを点検します。 |
| SRV-069_2 | パスワードの長さの最小値設定 | パスワードが短いと総当たり攻撃(Brute Force Attack)やパスワード推測攻撃(Password Guessing)によって簡単にパスワードが漏れる恐れがあります。パスワードの最小長をポリシーとして設定し、攻撃によってパスワードが漏れるリスクを減らせます。 |
| SRV-069_3 | パスワードの最大使用期間を設定 | パスワードの最大使用期間を設定しない場合、不正アクセスのあらゆる攻撃(総当たり攻撃、辞書攻撃など)を行える期間の制限が存在しません。また乗っ取られたパスワードを使って長い間システムを掌握するリスクがあります。定期的にパスワードを変更できるように最大使用期間を適切な範囲で制限する必要があります。 |
| SRV-069_4 | パスワードの最小使用期間の設定 | パスワードの最小使用期間を設定しない場合、ユーザーに慣れているパスワードに変更できます。パスワードを定期的に変更するポリシーの効果を大きく阻害する恐れがあります。以前のパスワードをそのまま再利用することを防ぐために、直近のパスワード記憶設定を共に適用してパスワードを保護することをお勧めします。 |
| SRV-070 | パスワードファイルの保護 | 一部の古いシステムの場合、パスワードポリシーが適用されず、/etc/passwdファイルに平文でパスワードが保存される場合があります。ユーザーアカウントのパスワードが暗号化され、保存されているかを点検します。 |
| SRV-073 | 管理者グループに最低限のアカウントを含める | システムの管理者グループに最低限(rootアカウントとシステム管理に許可されたアカウント)のアカウントのみ存在するかを点検します。 |
| SRV-074 | 不要なアカウントの削除 | 不要なアカウントが存在するかを点検し、管理されないアカウントへの侵入を防止します。システムアカウントで不要なアカウント(退職、転職、休職など)があるのか点検します。 adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher、nfsnobody(除外)、squid |
| SRV-075 | 推測できるアカウントパスワードの存在 | パスワードを設定する際、英数字/記号をすべて含む強力なパスワードを設定できるように、パスワードの複雑性を設定します。英数字だけで構成されているパスワードは、現在公開されたクラックユーティリティーおよび総当たり攻撃によって簡単に推測できるため、会社で定めたパスワード管理ポリシーの遵守しているのかを点検します。 |
| SRV-081_1 | cronファイルの所有者および権限の設定 | root以外の一般ユーザーが crontabコマンドを使用できる場合、故意または間違って不正予約ファイルが実行されるリスクがあります。Cron関連ファイルに許可されていないユーザーがアクセスできないように管理します。 |
| SRV-081_2 | atファイルの所有者および権限の設定 | atデーモン(ワンタイムタスクの予約)は指定した時間にあるタスクが実行されるようにタスクスケジュールを管理します。/etc/at.allowファイルに登録されたユーザーのみが atコマンドを使用できるため、そのファイルに適切な権限を設定します。もし atアクセス制限ファイルの権限が間違っている場合、権限を取得したユーザーアカウントを登録して不正予約ファイルを実行するなどのシステム被害が発生する恐れがあります。 |
| SRV-081_3 | Crontab設定ファイルの権限設定が不十分 | Crontabは定期的なタスクが必要な場合に使用するファイルです。Crontabのタスク設定ファイルの others権限に書き込み/読み取り権限がある場合は、ファイルの内容を変更するか、内容を読むことができるようになります。重要な情報が漏れる可能性があるため、関連ファイルに適切な権限が付与されているかの点検が必要です。 |
| SRV-082 | システム主要ディレクトリ権限設定が不十分 | システム主要ディレクトリに対する権限設定を正しく行わないと、トロイの木馬のような悪性プログラムのインストールおよび重要ファイルに対する改ざんが可能になります。システム侵入に悪用またはサービス拒否攻撃が可能になるため、システムディレクトリ権限の適合性を点検します。 |
| SRV-083 | システムスタートアップスクリプト権限制限が不十分 | システムスタートアップスクリプトの所有権および権限設定エラーによって任意の攻撃者がスクリプトの内容変更などを通じてシステム侵入に悪用する可能性があるため、これに対する権限設定の適合性を点検します。 |
| SRV-084_1 | /etc/passwdファイルの所有者および権限の設定 | 「/etc/passwd」ファイルはユーザーの ID、パスワード(セキュリティ上、「x」と表記)、UID、GID、ホームディレクトリ、シェル情報が盛り込まれている重要ファイルです。管理者(root)以外のユーザーが「/etc/passwd」ファイルの変更が可能な場合、Shell改ざん、ユーザー追加/削除、権限昇格などの悪意のある行為ができるため、ファイルの権限を適切に管理します。 |
| SRV-084_2 | /etc/shadowファイルの所有者および権限の設定 | 「/etc/shadow」ファイルはシステムに登録された全アカウントのパスワードを暗号化された形で保存および管理している重要ファイルです。そのファイルに対する権限管理が行われない場合、アカウントおよびパスワード情報が外部に洩れるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。 |
| SRV-084_3 | /etc/hostsファイルの所有者および権限の設定 | 「/etc/hosts」ファイルは IPアドレスとホスト名をマッピングする時に使われるファイルです。そのファイルに対する管理が行われない場合、hostsファイルに悪意のあるシステムを登録して DNSを迂回したファーミング攻撃に悪用されるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。 |
| SRV-084_4 | /etc/(x)inetd.confファイルの所有者および権限の設定 | インターネットスーパーデーモンはサービス設定ファイル(/etc/(x)inetd.conf)に登録された内部プログラムを外部ネットワークにリクエストする際にデーモンを起動させます。inetd.conf(xinetd.d)のアクセス権限が間違って設定されている場合、不正アクセスによって悪意のあるプログラムが登録され、root権限でサービスを実行して既存サービスに影響を与えるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。 |
| SRV-084_5 | /etc/syslog.confファイルの所有者および権限の設定 | 「/etc/syslog.conf」ファイルはシステム運用中に発生する主要ログ記録を設定するファイルです。もしそのファイルのアクセス権限が適切でない場合、攻撃者によるファイル改ざんが行われる場合があります。侵入者の跡またはシステムエラー事項などのシステムログが正確に記録されないリスクがあります。管理者(root)アカウントを除いた全ユーザーの書き込み権限を制限することをお勧めします。 |
| SRV-084_6 | /etc/servicesファイルの所有者および権限の設定 | 「/etc/services」ファイルはサービス管理のために使います。一般ユーザーによるアクセスおよび変更が可能になると、正常なサービスを制限するか、許可されていないサービスを悪意を持って実行させて侵害事故を発生させるリスクがあります。管理者(root)アカウントを除いた全ユーザーの書き込み権限を制限することをお勧めします。 |
| SRV-084_7 | hosts.lpdファイルの所有者および権限の設定 | 不正アクセスによる任意の hosts.lpd改ざんを防ぐために hosts.lpdファイルを削除するか、所有者/権限を管理します。 |
| SRV-087 | Cコンパイラの存在および権限設定が不十分 | 攻撃者がシステムに侵入した後に攻撃コードが入力されているソースファイルをコンパイルして実行ファイルを作成すると、システム攻撃(管理者権限の取得、サービス拒否の誘発など)に悪用できます。システムに Cコンパイラの存在および利用の適合性を点検します。 |
| SRV-091 | SUID、SGID、Stick bit設定ファイルを点検 | Set User-ID(SUID)と Set Group-ID(SGID)が設定されたファイルは(特に root所有のファイルの場合)特定コマンドを実行して root権限の取得および正常サービスの障害を発生させる場合があります。root所有の SUIDファイルの場合は必ず必要なファイルを除いては SUID、SGIDのプロパティを削除して、誤って設定してセキュリティに対する脅威になっているかの定期的な診断と管理が求められます。 *Set User-ID(SUID): 設定されたファイルを実行する際に特定タスクを実行するため、一時的にファイル所有者の権限を得る。 *Set Group-ID(SGID): 設定されたファイルを実行する際に特定タスクを実行するため、一時的にファイル所有グループの権限を得る。 |
| SRV-092_1 | ホームディレクトリの所有者および権限の設定 | ユーザーホームディレクトリ内の設定ファイルが不正アクセスによって改ざんされると、正常なユーザーへのサービスが制限される恐れがあります。該当するホームディレクトリの所有者以外の一般ユーザーがそのホームディレクトリを変更できないように制限しているのか点検します。 |
| SRV-092_2 | ホームディレクトリに指定したディレクトリの存在を管理 | ユーザーホームディレクトリはユーザーが shellにログインした後にタスクを行うディレクトリです。ログインしたユーザーホームディレクトリに存在するユーザー環境設定ファイルによってユーザー環境が構成され、ホームディレクトリが正しくない場合に以下のようなセキュリティ上の問題が発生する場合があります。 1) ホームディレクトリが存在しない場合 - rootアカウントではない一般ユーザーのホームディレクトリが/になっている場合、ログインする時にユーザーの現在のディレクトリが/にログインされるため管理セキュリティ上の問題が発生 2) ホームディレクトリ内に隠されたディレクトリが存在する場合 - 正当ではないユーザーがファイルを隠す目的で作成した可能性がある。 3) ホームディレクトリ内にシステムコマンドの名前を持つ不正実行ファイルが存在する場合 - 対象パスとシステムコマンドを入力して不正ファイルが実行されるようにする。 |
| SRV-093 | world writableファイルの点検 | システムファイルのような重要ファイルに world writableが設定される場合、悪意のあるユーザーがそのファイルの改ざんを行うことができます。システムへの不正アクセスおよび障害を発生させるリスクがあるため、一般ユーザーの書き込み権限を制限します。 |
| SRV-094 | Crontab参照ファイルの権限設定エラー | Crontabのタスク設定ファイルの others権限に書き込み権限がある場合、ファイル内容を変更して悪意のあるタスクが実行できます。Crontab関連ファイルのセキュリティ設定が適切なのか点検します。 |
| SRV-095 | ファイルおよびディレクトリ所有者の設定 | 所有者が存在しないファイルおよびディレクトリが存在するのかを点検し、任意のユーザーによる違法行為を事前に遮断するために削除します。削除された所有者の UIDと同じユーザーが当該ファイル/ディレクトリにアクセスでき、情報洩れのリスクがあります。このリスクによって退職者関連ファイルが削除されなかったか、ハッキングによって悪意のあるファイルが作成された可能性が高いです。 |
| SRV-096 | ユーザー、システム起動ファイルおよび環境ファイルの所有者および権限の設定 | ホームディレクトリ内のユーザーファイルとユーザー別のシステム実行ファイルなどのような環境変数ファイルのアクセス権を適切に制限します。不正アクセスによって環境変数ファイルの改ざんが行われ、正常なサービスの障害を発生させるリスクがあります。管理者(root)アカウントとそのユーザーを除いた全ユーザーの書き込み権限を制限することをお勧めします。 環境変数ファイルの種類: 「.profile」、「.kshrc」、「.cshrc」、「.bashrc」、「.bash_profile」、「.login」、「.exrc」、「.netrc」など」 |
| SRV-108 | ログに対するアクセス制限および管理が不十分 | システムログファイルの権限設定を正しく行わないと、任意のユーザーがログ記録(侵入および侵入した跡などの記録を改ざんできる)の改ざんを行えます。ログファイル権限設定が適切なのか点検します。 |
| SRV-109 | ポリシーに応じたシステムロギングの設定 | セキュリティ事故が発生した場合、原因確認およびあらゆる侵害事実に対する確認のために、内部のポリシーに従ってシステムをロギングします。ロギングできない場合、事故に対する原因究明が難しく、法的措置のための十分な証拠を提供できません。 |
| SRV-115 | ログの定期的なレビューと報告 | 定期的なログ点検を通じて安定的なシステムステータスを維持してしるかを確認します。ログの検討および報告手順がない場合、外部からの侵入に対する識別が漏れる場合があります。そして侵入が疑われるケースを見つけた場合、関連資料を分析してそのデバイスに対するアクセスを遮断するなどの追加対応が困難になる場合があります。 |
| SRV-118 | 最新セキュリティパッチおよびベンダー勧告事項を適用 | 定期的なセキュリティパッチを通じてシステムが安全に管理されているのかを確認します。知られている脆弱性を利用した攻撃を事前に遮断するため、最新バージョンのセキュリティパッチを適用することをお勧めします。 |
| SRV-121 | rootホームパスディレクトリの権限およびパスの設定 | PATH環境変数に「.」(現在のディレクトリを指す)が変数の前や途中に含まれている場合は、一般的なコマンド(例: ls、mv、psなど)を実行すると、本来のコマンドではない現在のディレクトリのファイルが優先して実行されます。悪意のあるユーザーによって不正ファイルが実行される場合があるため、rootアカウントの PATH環境変数を点検します。 |
| SRV-122 | UMASK設定管理 | UMASKはファイルとディレクトリ作成時にデフォルトパーミッションを指定するコマンドです。UMASK値を適切に設定して新しく作成されるファイルに過剰な権限が付与されないようにします。 |
| SRV-127 | アカウントロックしきい値の設定 | システムポリシーにユーザーロゴイン失敗のしきい値が設定されているかを点検します。総当たり攻撃などでシステムに試したログインを遮断するためにしきい値を設定することをお勧めします。 |
| SRV-131 | rootアカウントにおける suの制限 | su関連グループにのみ suコマンドの使用権原を付与します。suグループに含まれていない一般ユーザーの suコマンドの使用を根本的に遮断します。システムユーザーアカウントグループ設定ファイル(/etc/group)に su関連グループが存在するかを点検し、そのグループのみ suコマンドを使用できるように設定されているかを点検します。 |
| SRV-133 | Cronサービス使用アカウント制限が不十分 | cronは特定の時間に合わせて決まったコマンドを実行するデーモンとして、cronサービスに対するアクセス制限が必要です。定期的なコマンドの実行で侵入に悪用されるか、情報が漏れる恐れがあるため、cronファイル内に適切なアカウント設定がされているのかを点検します。 |
| SRV-142_1 | root以外の UIDが「0」の場合は禁止 | ユーザーのアカウント情報が保存されたファイル(/etc/passwd)に root(UID=0)アカウントと同じ UID(User Identification)を持つアカウントがあるのか点検します。 rootアカウントと同じ UIDのアカウントは rootと同じ権限を持つことになり、システムに対する重大な脅威になる可能性があります。 |
| SRV-142_2 | 同じ UIDは禁止 | UNIXシステムはすべてユーザーアカウントに UIDを付与して、当該 UIDでユーザー名、パスワード、ホームディレクトリなどのようなユーザー情報を管理します。もし重複する UIDが存在する場合、システムで同じユーザーとして認識して問題が発生することがあります。攻撃者による個人情報と関連データの漏れが発生した場合も監査証跡が難しくなるため、同じ UIDがないように管理する必要があります。 |
| SRV-144 | /devに存在しない deviceファイルの点検 | デバイスが存在しないか、名前を間違って入力した場合、システムは/devディレクトリに継続してシンボリックリンクファイルを作成してエラーを発生させることがあります。例えば rmt0を rmtoに間違えて入力した場合、rmtoファイルが新しく作成されることと同様にデバイス名の入力を間違えると rootファイルシステムによるエラーが発生するまで「/dev」ディレクトリにファイルを作成し続けるリスクがあります。実際に存在しないデバイスを予め見つけて削除します。 |
| SRV-147 | SNMPサービス駆動の点検 | Simple Network Management Protocol(SNMP)サービスは TCP/IPアドレスベースネットワーク上の各ホストから定期的に様々な情報を自動で収集し、ネットワークを管理するためのプロトコルです。システムのステータスをリアルタイムで確認するか、設定するために使用します。SNMPサービスによってシステムの重要情報の漏れや情報の違法な変更が発生することがあるため、SNMPサービスを使用しない場合は中断することをお勧めします。 |
| SRV-148 | Apacheウェブサービス情報を非表示 | ウェブページのエラー発生時に、過剰に詳細なメッセージが表示されないように設定します。エラーページ、ウェブサーバの種類、OS情報、ユーザーアカウント名などのウェブサーバ関連の不要な情報が洩れないようにする必要があります。不要な情報が洩れる場合、その情報を利用してシステムの脆弱な部分を収集して攻撃に活用する可能性が高くなります。 |
| SRV-158 | sshリモートアクセスの許可 | Telnet、FTPなどは暗号化されていない状態でデータを送信するため、ID/パスワードおよび重要情報が外部に漏れるリスクが高くなります。従ってリモートアクセスの際にユーザーとシステムとのすべての通信を暗号化する Secure Shell(SSH)サービスを使用することをお勧めします。SSH使用時は TCP/22番ポートを基本ポートとして使用するため、攻撃者が基本ポートに攻撃を試すことがあり、ポートを変更して使うことをお勧めします。 |
| SRV-158_1 | 不要な Telnetサービスの実行 | Telnetサービスは Password認証方法を使用すると、データを平文で送信/受信するため、認証 ID/パスワードが外部に漏れることがあります。Telnetサービスは使用しないことが望ましく、使用有無を点検します。 |
| SRV-161 | Ftpusersファイルの所有者および権限の設定 | ftpusersファイルは FTPアクセス制御設定ファイルとして、そのファイルに登録されたアカウントは ftpにアクセスできません。ファイルに適切な権限を設定して許可されていない者が ftpusersファイルを変更できないように制限します。 |
| SRV-163 | ログイン時に警告メッセージを提供 | 許可されていない者にサーバに対する不要な情報を提供せず、サーバアクセスの際に関係者のみがアクセスする必要があるという警戒心を持たせるために警告メッセージの設定が必要です。 |
| SRV-164 | アカウントが存在しない GIDは禁止 | グループ設定ファイルに不要なグループ(アカウントが存在せず、システム管理や運用に使用されないグループ、アカウントが存在するが、管理や運用に使用されないグループ)が存在するかを点検 |
| SRV-165_1 | ユーザー shellの点検 | OSインストール時に基本的に作成される不要なアカウントのログインシェルを制限します。一般的にログインが不要なアカウント(adm、sys、daemonなど)には/sbin/nologinなどでシェル設定を変更します。 |
| SRV-165_2 | ftpアカウント shell制限 | FTPサービスをインストールする際に基本的に作成される ftpアカウントはログインが不要なデフォルトアカウントにシェルを制限し、そのアカウントへのシステムアクセスを遮断します。ログインが不要なデフォルトアカウントにシェル(Shell)を付与する場合、攻撃者にそのアカウントが漏れてシステムへの不正侵入が発生する恐れがあります。 |
| SRV-166 | 隠されたファイルおよびディレクトリ検索と削除 | 隠されたファイルおよびディレクトリの中で疑わしい内容は、正常ユーザーではない攻撃者によって作成されている可能性があります。隠されたファイル/ディレクトリに対して定期的に確認します。 |
| SRV-174 | 不要な DNSサービスの実行 | Domain Name Service(DNS)はドメイン名と IPアドレス間の変換のためのサービスであり、不要に運用する場合は潜在的なセキュリティ脆弱性による攻撃のルートになることがあります。そのサービスが常務に関係なく有効化されているのかを点検します。 |
Windowsの点検項目
Windowsのセキュリティ設定点検項目と各項目の説明は、次の通りです。
| Check ID | 点検項目 | 点検項目の説明 |
|---|---|---|
| W-01 | Administratorアカウント名を変更する | 一般的に管理者アカウントを Administratorに設定した場合、ログイン試行の失敗回数に制限がない点を利用して悪意のあるユーザーがパスワード推測攻撃を何度も試すことができる。攻撃者が管理者パスワードだけではなく、アカウント名を簡単に類推できないように Administratorアカウント名を変更します。 |
| W-02 | Guestアカウントのステータス | Guestアカウントはシステムへの一時的なアクセスを許可する脆弱なアカウントとして、使用を制限する必要がある。不特定多数によるアクセスが必要な場合、Guestアカウントではない一般ユーザーアカウントを作成して使用します。 |
| W-03 | 不要なアカウントを削除 | 使用しないアカウント、不要なアカウント、疑わしいアカウントが存在するかを点検します。管理されていない不要なアカウントはパスワードを長期間変更していないため、総当たり攻撃(Brute Force Attack)やパスワード類推攻撃(Password Guessing)によってアカウント情報が漏洩する恐れがあります。 総当たり攻撃(Brute Force Attack): コンピュータで暗号を解読するために可能な組み合わせをすべて試すこと 「不要なアカウント」についての定義は各顧客/サービス別に異なるため、Active Userに対して顧客自らの確認が必要 明確に把握されていないアカウントを削除する場合、そのアカウント関連の業務に不具合が発生する可能性あり。 |
| W-04 | アカウントロックしきい値の設定 | 自動化された方法を利用して攻撃者はすべてのユーザーアカウントに対して総当たり攻撃を試すことがあるため、アカウントロックしきい値の設定を適用してユーザーアカウントがロックされるログイン失敗回数を指定します。 |
| W-05 | パスワード最大使用期間設定 | 長期間変更していないパスワードを引き続き使用する場合、総当たり攻撃によって洩れることがあるため、ユーザーが暗号を頻繁に変更するようにすれば有効な暗号が攻撃されるリスクを減らせます。暗号が有効な最大の期間を設定して、その期間を過ぎたユーザーは暗号を変更するように促して暗号クラッキングの可能性を下げて、違法で獲得した暗号の無断使用を防止します。 |
| W-06 | 暗号使用期間の制限なしを削除 | 「暗号使用期間の制限なし」に設定すると変更されない暗号によってパスワードクラック攻撃を受けることがあります。基本的にローカルユーザーのパスワードを定期的に変更するようにします。 |
| W-07 | 解読できる暗号化を使用してパスワードを保存 | 認証のためにユーザーパスワードが必要なアプリケーションプログラムのプロトコルがサポートされる場合、解読できる方法で暗号を保存するために暗号攻撃を利用した攻撃者が洩れたアカウントを使ってネットワークリソースにログインできます。「解読できる暗号化を使用してパスワードを保存」ポリシーを設定してユーザーアカウントのパスワードが解読できるテキスト形式で保存されることを遮断します。 |
| W-08 | 管理者グループに最小限のユーザーを含む | 一般ユーザー権限によって起こり得るシステム被害を減らすために管理業務のためのアカウントと一般業務のためのアカウントを区分して使用することをお勧めします。システムを管理するためにはそれぞれ2つのアカウントが必要であり、管理者グループにはできるだけ最低限のユーザーのみを含めます。 * 「不要なアカウント」についての定義は各顧客/サービス別に異なるため、顧客による確認が必要 * Administratorグループにあるアカウントを削除する場合、その業務に不具合が発生する可能性あり。 |
| W-09 | 共有権限とユーザーグループの設定 | Everyoneがシェアアカウントに含まれている場合、匿名のユーザーのアクセスが可能なため、デフォルト共有である C$、D$、Admin$、IPC$などを除いた共有フォルダに everyoneグループで共有禁止有無を点検する。 |
| W-10 | ハードディスク基本共有を削除 | システムの基本共有項目を削除しないと、すべてのシステムリソースにアクセスできる危険な状況が発生し得る。以前発生した Nimdaウィルスも様々な方法の中からこのような共有機能を進入パスの1つとして使用しており、基本共有を削除する必要がある。 |
| W-11 | 不要なサービスを削除 | システムに基本的にインストールされる不要な脆弱サービスが削除されない場合、そのサービスの脆弱性による攻撃が可能であり、ネットワークサービスの場合は解放されたポートによる外部侵入の可能性が存在します。ユーザー環境に不要なサービスおよび実行ファイルを削除するか無効化することで、これによる悪意のある攻撃を遮断します。 [不要なサービスリスト] Alerter(サーバからクライアントに警告メッセージを送信) Clipbook(サーバ内の Clipbookを他のクライアントと共有) Messenger(net sendコマンドを使ってクライアントにメッセージを送信) Simple TCP/IP Services(Echo、Discard、Character Generator、Daytime、Quote of the Day) |
| W-12 | NetBIOSバインディングサービスの駆動点検 | インターネットに直接接続している Windowsシステムで NetBIOS TCP/IPバインディングが有効になっている場合、攻撃者がネットワーク共有リソースを使用する恐れがあります。NetBIOSと TCP/IPバインディングを削除して TCP/IPを通るファイル共有サービスを提供できないようにし、インターネットからの共有リソースへのアクセス試行を防止する必要があります。 |
| W-13 | FTPサービス駆動の点検 | 基本的な FTPサービスはアカウントとパスワードが暗号化されないままで転送されるため、簡単な Snifferによってもスニッフィングできるためセキュリティが脆弱な FTPサービスの使用を避ける。 |
| W-14 | FTPディレクトリへのアクセス権の設定 | FTPホームディレクトリに過剰な権限(例)Everyone Full Control)が付与された場合、任意のユーザーによる書き込み、変更ができて情報漏洩、ファイルの改ざんなどの危険性があるため、FTPサービスディレクトリのアクセス権限を適切に設定することで意図しない情報漏洩を防ぎます。 |
| W-15 | Anonymous FTP禁止 | FTPの匿名アクセスが許可された場合、重要な機密情報や内部情報が違法的に洩れる可能性があるため、FTPの匿名アクセスを制限して重要な情報の違法な漏れを遮断します。 |
| W-16 | FTPアクセス制限設定 | FTPプロトコルはログインに指定された認証情報やデータ自体が暗号化されずにすべての認証情報をプレーンテキストでネットワークを通じて転送される特性上、サーバクライアント間のトラフィックスニッフィングによって認証情報が簡単に洩れるため、アクセスが許可されたユーザー IPアドレスを指定してアクセスできる人を制限する必要があります。 ※ 基盤施設システムは FTPサービスを使用しないのが原則だが、組織内で当該サービスをやむを得ずに使用しなければならない場合は関連する保護対策を樹立・適用して活用する必要がある ※ 関連点検項目: W-26(上)、W-27(上) |
| W-17 | DNS Zone Transfer設定 | DNS Zone Transferブロック設定が適用されていない場合、DNSサーバに保存されているドメイン情報を承認された DNSサーバではない外部へ洩れるリスクが存在するため、DNS Zone Transferブロック設定を適用してドメイン情報の違法な外部への洩れを防ぐ必要があります。 ※ zone-transfer: zone(領域)転送といい、masterと slave間または primaryと secondary DNS間で zoneファイルを同期化するために使われる技術。 |
| W-18 | Remote Data Services(RDS)の削除 | 脆弱なプラットフォームの RDSが使われる場合、サービス拒否攻撃やリモートで管理者権限で任意のコマンドを実行できるリスクが存在するため、脆弱な RDSサービスを削除して違法なリモート攻撃を遮断する必要があります。 ※ MDAC 2.7未満のバージョンでウェブサーバとウェブクライアントはすべてこの脆弱性によって危険になる可能性があるため、RDSが不要な場合は削除した方が安全 ※ Remote Data Services(RDS): Microsoft Data Access Components(MDAC)のあるコンポーネントでクライアントの方にあるデータを扱えるようにするサービス |
| W-19 | 最新のサービスパックを適用 | セキュリティアップデートを適用しない場合、システムやアプリケーションの脆弱性による権限昇格、リモートコード実行、セキュリティ機能バイパスなどの問題が起こり得ます。システムを最新のバージョンに保ち、新しい脅威や進行中の脅威から重要な情報とシステムを保護します。 ※ サービスパック: Windowsの安定性を高めるためにアプリケーション、サービス、実行ファイルなどの色々な修正ファイルを集めたアップデートプログラム |
| W-20 | 最新の Hot Fixを適用 | 最新 Hot Fixが適用されていない場合、知られた脆弱性によるシステム攻撃の可能性が存在します。システムやアプリケーションプログラムの脆弱性を排除するために、最新の Hot Fixを直近1か月以内に適用します。 ※ 重要情報通信基盤施設ガイドを基準に最近3か月 / CSAPを基準に最近1か月 ※ Hot Fixより脆弱性を利用した攻撃ツールが先に出現する可能性があるため、Hot Fixは発表後できるだけ早くインストールすることを推奨する ※ Hot Fix: 直ちに修正する必要がある主な脆弱性(主にセキュリティ関連)をパッチするためにリリースされるプログラム。サービスパックが発表された後にアップデートが追加で必要な場合は別途発表 |
| W-21 | ウィルス対策ソフトのアップデート | ウィルス対策ソフトが継続的かつ定期的にアップデートされない場合、続く新種ウィルスの出現によるシステム攻撃の懸念が存在します。ウィルス対策ソフトを最新の状態に保ちます。 |
| W-22 | ログの定期的な検討と報告 | ログの検討と報告手順がない場合は外部からの侵入試行に対する識別が漏れることがあり、侵入試行が疑われるケースが見つかると関連資料を分析して当該デバイスへのアクセスを遮断するなどの追加の対処が難しくなります。定期的なログ点検により、安定したシステムステータスを保ち、外部攻撃の有無を把握します。 |
| W-23 | リモートでアクセスできるレジストリパス | リモートレジストリサービスはアクセスに対する認証が脆弱で管理者アカウント以外の別のアカウントにもリモートレジストリアクセスを許可する恐れがあり、レジストリに対する権限設定が間違っている場合はレジストリを通じて任意のファイルを実行する恐れがあります。リモートレジストリサービスを無効にして、レジストリへのリモートアクセスを遮断します。 |
| W-24 | ウィルス対策ソフトのインストール | ウィルス対策ソフトがインストールされていない場合、ワームやトロイの木馬などの悪性ウィルスによってシステムが被害を受ける恐れがあります。ウィルス対策ソフトをインストールして、ウィルス感染有無の診断、駆除、およびファイル保護などの予防対策が必要です。 ※ ネットワークが隔離された基盤保護施設の場合、システムにインストールされたウィルス対策ソフトを最新の状態に保つために適切な更新手順と適用方法の確立が必要 ※ ワーム: 悪意を持って自分自身をレプリケーションして広がり、主にネットワーク共有フォルダやメールにて広がる ※ トロイの木馬: 故意に悪意のあるファイル、主に別のマルウェアや偽装されたプログラムを装って広がるか、インターネットからダウンロードされる |
| W-25 | SAMファイルへのアクセス統制設定 | Security Account Manager(SAM)ファイルはユーザーとグループアカウントのパスワードを管理して、Local Security Authority(LSA)による認証を提供します。そのため、SAMファイルへのパスワード攻撃試行によってパスワードデータベース情報がさらされる恐れがあるため、Administratorおよび Systemグループ以外には SAMファイルへのアクセスを制限します。 |
| W-26 | スクリーンセーバーの設定 (2024年ガイド改訂時に削除) |
スクリーンセーバー設定をしていない場合、ユーザーが席を外した隙に任意のユーザーが当該システムにアクセスして重要な情報を洩らすか、悪意のある行為を通じてシステム運用に悪影響を与えることがあります。ユーザーが一定時間何もしない場合は、自動的にログオフするか、ワークステーションをロックするように設定して、アイドルセッション時間に不正なシステムアクセスを遮断します。 |
| W-27 | ログインせずにシステム終了を許可 | ログイン画面に「システム終了」ボタンが有効になっているとログインせずに違法なシステム終了が可能であり、正常なサービスの運用に影響を与えます。システムログイン画面のシャットダウンボタンを無効にすることで、許可されていないユーザーによる不正なシャットダウンを防ぎます。 |
| W-28 | リモートシステムでシステムの強制終了 | リモートシステムの強制終了設定が不適切である場合はサービス拒否攻撃などに悪用されることがあります。リモートでネットワーク経由で OSを終了できるユーザーまたはグループを設定して、特定のユーザーにだけシャットダウンを許可します。 |
| W-29 | セキュリティ監査をログできない場合はシステム終了 | 「セキュリティ監査をログできない場合は直ちにシステム終了」ポリシーが有効になっている場合、悪意のあるシステム終了によるサービス拒否攻撃に悪用されることがあり、正常でないシステム終了によってシステムやデータの破損が発生することがあります。このポリシーを無効にすることで、ログ容量の超過などの理由でイベントを記録できない場合は、このポリシーによってシステムが異常終了するのを防ぎます。 ※ 通常、セキュリティ監査ログがいっぱいになった時にセキュリティログの保存方法が「イベントを上書きしない」または「毎日イベントを上書き」の場合、イベントログは記録されない。セキュリティログがいっぱいになって既存項目を上書きできなくなった時に当該ポリシーを使うと以下のような中断エラーが発生する |
| W-30_1 | SAMアカウントと共有の匿名列挙を許可しない(RestrictAnonymousSAM) | Windowsでは匿名のユーザーがドメインアカウント(ユーザー、コンピュータおよびグループ)とネットワーク共有名の列挙タスクが行えるため、SAM(セキュリティアカウント管理者)アカウントと共有の匿名列挙が許可されると悪意のあるユーザーがアカウント名リストを確認して、その情報を使ってパスワードを推測するかソーシャルエンジニアリング攻撃を行う恐れがあります。匿名ユーザーによる悪意のあるアカウント情報盗難を防ぐために設定が必要です。 ※ ファイアウォールとルーターで135 ~ 139(TCP、UDP)ポートを遮断して外部からの脅威を遮断する ※ ネットワークと電話の接続> ローカルエリア> 登録情報> 詳細> 高度な設定 > Microsoftネットワーク用ファイルとプリンタ共有を無効にする |
| W-30_2 | SAMアカウントと共有の匿名列挙を許可しない(RestrictAnonymous) | Windowsでは匿名のユーザーがドメインアカウント(ユーザー、コンピュータおよびグループ)とネットワーク共有名の列挙タスクが行えるため、SAM(セキュリティアカウント管理者)アカウントと共有の匿名列挙が許可されると悪意のあるユーザーがアカウント名リストを確認して、その情報を使ってパスワードを推測するかソーシャルエンジニアリング攻撃を行う恐れがあります。匿名ユーザーによる悪意のあるアカウント情報盗難を防ぐために設定が必要です。 ※ ファイアウォールとルーターで135 ~ 139(TCP、UDP)ポートを遮断して外部からの脅威を遮断する ※ ネットワークと電話の接続> ローカルエリア> 登録情報> 詳細> 高度な設定 > Microsoftネットワーク用ファイルとプリンタ共有を無効にする |
| W-31 | Autologon機能制限 | Autologon機能を使うと侵入者がハッキングツールを利用してレジストリでログインアカウントとパスワードが確認できるため、Autologon機能を使わないように設定する必要があります。 *Autologon: レジストリに暗号化して保存された代替証明を使用して自動的にログインする機能 |
| W-32 | リムーバブルメディアのフォーマットおよび取り出し許可 | リムーバブルメディアの NTFSフォーマットおよび取り出しが許可されるユーザーを制限することで、ユーザーが管理権限を持っている任意のコンピュータにのみリムーバブルディスクのデータを移動して、ファイルの所有権を獲得してファイルを見たり変更することができるようにします。 ※ このセキュリティ設定はリムーバブル NTFSメディアをフォーマットするか取り出せるユーザーを決めるオプションとして Administrators、Administratorsおよび Power Users、Administratorsおよび Interactive Usersグループにこの機能を許可できる" |