OS Security Checker
    • PDF

    OS Security Checker

    • PDF

    Article Summary

    最新のコンテンツが反映されていません。早急にアップデート内容をご提供できるよう努めております。最新のコンテンツ内容は韓国語ページをご参照ください。

    Classic/VPC環境で利用できます。

    OS Security Checker メニューでは、OSのセキュリティ設定点検結果を確認できます。細部点検結果を診断レポートを通じて確認したり、PDFまたエクセルファイルでダウンロードできます。また、適切なセキュリティ設定および対処方法を確認できます。

    参考

    点検結果を確認するには、まずサーバでセキュリティ設定点検を実行します。点検方法に関する詳細は、OSおよび WAS点検をご参照ください。

    OS Security Checker画面

    System Security Checkerを利用するための OS Security Checker メニューの基本的な説明は、次の通りです。
    ssc-ossecuritychecker_screen_ja

    領域説明
    ① メニュー名現在確認中のメニュー名、照会中の検査結果数
    ② 基本機能
  • サービスご利用の申し込みおよび解約(System Security Checker を開始するを参照)
  • 点検方法の確認
  • OS Security Checkerご利用ガイドの確認
  • System Security Checkerの詳細情報の確認
  • ページ更新
  • ③ 検索領域点検日時を基準にフィルタリングしたり、サーバ名を検索し点検結果を照会
    Excelボタンをクリックして点検結果をエクセルファイルでダウンロード
    ⑤ 点検結果リスト照会中の OSセキュリティ設定の点検結果リスト

    点検結果の確認

    サーバの OSセキュリティ設定に関する点検結果を確認する方法は、次の通りです。

    1. NAVERクラウドプラットフォームコンソールで Services > Security > System Security Checker メニューを順にクリックします。
    2. OS Security Checker メニューをクリックします。
    3. 点検結果を確認します。
      • 点検日時を基準にフィルタリングしたり、サーバ名を入力して希望する点検結果を検索できます。
      • Region : サーバが存在するリージョン
      • server名 : 点検を行ったサーバ名、クリックしてその点検の詳細結果および対処方法を確認(詳細結果および対処方法の確認を参照)
      • InstanceNo : サーバの固有番号
      • Check list : 点検タイプを表示
        • Linux, Windows: Linuxまたは Windowsサーバの OSを点検した場合
        • finance: 金融保安院電子金融基盤施設を基準にして Linuxのセキュリティ設定を点検した場合
      • メンテナンス日時 : 点検実行の日時
      • OS version : 点検したサーバの OSバージョン
      • 脆弱/全体項目 : 点検結果が Badの点検項目数/全体点検項目数
      • Critical , Major , Minor : 当該危険度の点検項目のうち、点検結果が Badの項目数
      • Report view : [レポート] ボタンをクリックして当該検査結果の全体を診断レポートで確認および PDFファイルでダウンロード

    詳細結果および対処方法の確認

    OSセキュリティ設定点検の詳細結果と点検項目に関する説明、対処法を確認し、診断レポートをダウンロードする方法は、次の通りです。

    1. NAVERクラウドプラットフォームコンソールで Services > Security > System Security Checker メニューを順にクリックします。
    2. OS Security Checker メニューをクリックします。
    3. 詳細結果を確認する点検サーバ名をクリックします。
    4. 詳細結果および対処のポップアップが表示されたら、点検細部項目と結果を確認します。
      • 各点検項目をクリックして点検項目に対する説明、勧告および判断基準、対処方法を確認
      • 危険度点検結果 を選択し、 [検索] ボタンをクリックして点検項目をフィルタリング
      • [レポート] ボタンをクリックして照会中の結果を診断レポートで確認および PDFファイルでダウンロード
      • [Excel] ボタンをクリックして照会中の結果をエクセルファイルでダウンロード

    OSセキュリティの設定点検項目

    サーバごと OSによる OSセキュリティ設定の点検項目を確認します。

    参考

    点検項目に関する詳しい説明と推奨設定、対処方法は NAVERクラウドプラットフォームコンソールの詳細結果および対処方法のポップアップで確認できます。(詳細結果および対処方法の確認を参照)

    Linuxの点検項目(CSAP)

    Linuxの CSAPセキュリティ設定点検項目と各項目の説明は、次の通りです。

    Check ID点検項目点検項目に関する説明
    U-01rootアカウントのリモートアクセス制限rootアカウントのリモートアクセス遮断の設定有無を点検し、外部からの不正アクセスの rootアカウントのアクセスを根本的に遮断しているのかを点検します。

    ※ /etc/securetty: Telnetアクセスの際の rootアクセス制限設定ファイル
    「/Etc/securetty」ファイル内の pts/x関連設定が存在する場合、PAMモジュール設定と関係なく、rootアカウントのアクセスを許可するため、必ず「securetty」ファイルから pts/x関連設定の削除が必要
    Tty(terminal-teletype): サーバと接続しているモニター、キーボードなどを通じてユーザーがコンソールに直接ログイン
    pts(pseudo-terminal、仮想ターミナル): Telnet、SSH、ターミナルなどを利用してアクセス
    U-02パスワードの複雑性設定システムポリシーにユーザーアカウント(rootおよび一般アカウントをすべて含む)にパスワード複雑性に係わる設定がされているかを点検します。
    U-03アカウントロックしきい値の設定システムポリシーにユーザーロゴイン失敗のしきい値が設定されているかを点検します。無差別代入攻撃などでシステムに試したログインを遮断するためにしきい値の設定をお勧めします。
    U-04パスワードの最大使用期間を設定パスワードの最大使用期間を設定しない場合、不正アクセスのあらゆる攻撃(無差別代入攻撃、事前代入攻撃など)を行える期間の制限が存在しません。また乗っ取られたパスワードを使って長い間システムを掌握するリスクがあります。定期的にパスワードを変更するように最大使用期間を適切な範囲で制限します。
    U-05パスワードファイルの保護一部の古いシステムの場合、パスワードポリシーが適用されず、/etc/passwdファイルに平文でパスワードが保存される場合があります。ユーザーアカウントのパスワードが暗号化され、保存されているかを点検します。
    U-06rootホームパスディレクトリの権限およびパスの設定PATH環境変数に「.」(現在のディレクトリを指す)が変数の前や途中に含まれている場合は、一般的なコマンド(例: ls、mv、psなど)を実行すると、本来のコマンドではないディレクトリのファイルが優先して実行されます。悪意のあるユーザーによって不正ファイルが実行される場合があるため、rootアカウントの PATH環境変数を点検します。
    U-07ファイルおよびディレクトリ所有者の設定所有者が存在しないファイルおよびディレクトリが存在するのかを点検し、任意のユーザーによる違法行為を事前に遮断するために削除します。削除された所有者の UIDと同じユーザーがそのファイル/ディレクトリにアクセスでき、情報漏洩のリスクがあります。その脅威は退職者関連ファイルが削除されていないか、ハッキングにより悪意のあるファイルが作成された可能性が高いです。
    U-08/etc/passwdファイルの所有者および権限の設定「/etc/passwd」ファイルはユーザーの ID、パスワード(セキュリティ上、「x」と表記)、UID、GID、ホームディレクトリ、シェル情報が盛り込まれている重要ファイルです。管理者(root)以外のユーザーが「/etc/passwd」ファイルの修正が可能な場合、Shell改ざん、ユーザー追加/削除、権限昇格などの悪意のある行為ができるため、ファイルの権限を適切に管理します。
    U-09/etc/shadowファイルの所有者および権限の設定「/etc/shadow」ファイルはシステムに登録された全アカウントのパスワードを暗号化された形で保存および管理している重要ファイルです。そのファイルに対する権限管理が行われない場合、アカウントおよびパスワード情報が外部に漏れるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。
    U-10/etc/hostsファイルの所有者および権限の設定「/etc/hosts」ファイルは IPアドレスとホスト名をマッピングする時に使われるファイルです。そのファイルに対する管理が行われない場合、hostsファイルに悪意のあるシステムを登録して DNSを迂回したファーミング攻撃に悪用されるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。
    U-11/etc/(x)inetd.confファイルの所有者および権限の設定インターネットスーパーデーモンはサービス設定ファイル(/etc/(x)inetd.conf)に登録された内部プログラムを外部ネットワークにリクエストする際にデーモンを起動させます。inetd.conf(xinetd.d)のアクセス権限が間違って設定されている場合、不正アクセスによって悪意のあるプログラムが登録され、root権限でサービスを実行して既存サービスに影響を与えるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。
    U-12/etc/syslog.confファイルの所有者および権限の設定「/etc/syslog.conf」ファイルはシステム運用中に発生する主要ログ記録を設定するファイルです。もしそのファイルのアクセス権限が適切でない場合、攻撃者によるファイル改ざんが行われる場合があります。侵入者の跡またはシステムエラー事項などのシステムログが正確に記録されないリスクがあります。管理者(root)アカウントを除いた全ユーザーの書き込み権限を制限することをお勧めします。
    U-13/etc/servicesファイルの所有者および権限の設定「/etc/services」ファイルはサービス管理のために使います。一般ユーザーによるアクセスおよび変更が可能になると、正常なサービスを制限するか、許可されていないサービスを悪意を持って実行させて侵害事故を発生させるリスクがあります。管理者(root)アカウントを除いた全ユーザーの書き込み権限を制限することをお勧めします。
    U-14SUID、SGID、Stick bit設定ファイルの点検SUID(Set User-ID)と SGID(Set Group-ID)が設定されたファイルは(特に root所有のファイルの場合)特定コマンドを実行して root権限の取得および正常サービスの障害を発生させる場合があります。root所有の SUIDファイルの場合は、必ず必要なファイルを除いては SUID、SGIDのプロパティを削除し、間違って設定してセキュリティへの脅威になっているのかに対する定期的な診断および管理が求められます。

    *SUID(Set User-ID): 設定されたファイルを実行する際に特定タスクを実行するため、一時的にファイル所有者の権限を得る。
    *SGID(Set Group-ID): 設定されたファイルを実行する際に特定タスクを実行するため、一時的にファイル所有グループの権限を得る。
    U-15ユーザー、システム起動ファイルおよび環境ファイルの所有者および権限の設定ホームディレクトリ内のユーザーファイルおよびユーザー別システム起動ファイルなどの環境変数ファイルへのアクセス権限を適切に制限します。不正アクセスによって環境変数ファイルの改ざんが行われ、正常なサービスの障害を発生させるリスクがあります。管理者(root)アカウントとそのユーザーを除いた全ユーザーの書き込み権限を制限することをお勧めします。
    環境変数ファイルの種類: 「.profile」、「.kshrc」、「.cshrc」、「.bashrc」、「.bash_profile」、「.login」、「.exrc」、「.netrc」など
    U-16world writableファイルの点検システムファイルのような重要ファイルに world writableが設定される場合、悪意のあるユーザーがそのファイルの改ざんを行うことができます。システムへの不正アクセスおよび障害を発生させるリスクがあるため、一般ユーザーの書き込み権限を制限します。
    U-17$HOME/.rhosts, hosts.equivの使用禁止rlogin、rsh、rexecなどのような「r」commandは認証なしで管理者によるリモートアクセスができるコマンドです。適切なセキュリティ設定がされていない場合、リモート先の攻撃者が管理者権限でシステムに任意のコマンドを実行させるリスクがあります。セキュリティ上非常に脆弱な構造であるため、使用が必要な場合は権限を制限します。/etc/hosts.equivファイルおよび .rhostsファイルのユーザーを rootまたはそのアカウントに設定した後、権限を600に設定してそのファイルの設定に「+」設定(すべてのホストを許可)が含まれないように制限します。
    U-18アクセス IPアドレスおよびポートの制限制限されたホストのみサービスを使用できるように設定して外部からの攻撃を事前に防ぐ必要があります。基本的に全ホストに対して deny設定をして、サービスに必ず必要なホストのみ allow設定に追加します。
    関連設定ファイル: hosts.allow、hosts.deny
    U-19cronファイルの所有者および権限の設定root以外の一般ユーザーが crontabコマンドを使用できる場合、故意または間違って不正予約ファイルが実行されるリスクがあります。Cron関連ファイルに許可されていないユーザーがアクセスできないように管理します。
    U-20fingerサービスの無効化Finger(ユーザー情報確認サービス)を通じてネットワークの外部からそのシステムに登録されたユーザー情報を確認できます。不正アクセスでユーザー情報を照会することを防ぐためにサービスの使用禁止をお勧めします。
    U-21Anonymous FTPの無効化実行中の FTPサービスに匿名の FTPアクセスが許可されているのかを確認し、アクセスを遮断することをお勧めします。
    U-22r系サービスの無効化rlogin、rsh、rexecなどのような「r」commandは認証なしで管理者によるリモートアクセスができるコマンドです。適切なセキュリティ設定がされていない場合、リモート先の攻撃者が管理者権限でシステムに任意のコマンドを実行させるリスクがあります。サービスに使用しない場合、無効化することをお勧めします。
    U-23Dos攻撃に脆弱なサービスの無効化DoS攻撃などに脆弱なサービスを使用しない場合は無効化することをお勧めします。
    使用禁止推奨対象サービス : echo、discard、daytime、chargen
    U-24NFSサービスの無効化NFS(Network File System)はリモートコンピュータのファイルシステムをローカルシステムにマウントして使用できるようにするサービスです。無認可サービスで悪用して NFSマウントへのシステムアクセスおよび改ざんなどのリスクが高いため、使用を禁止します。やむを得ず使用する必要がある場合、25番制御項目に従って管理します。
    U-25NFSアクセス制御NFSの使用時に許可されたユーザーのみアクセスできるように制限します。不正アクセスを遮断するために everyone共有は必ず制限します。
    U-26automountdの削除automountdはクライアントが自動でサーバにマウントし、一定期間使用しないと unmountする機能を提供します。ローカル攻撃者が automountdを使用して RPC(Remote Procedure Call)を送信できるという脆弱性があるため、使用を禁止します。
    U-27RPCサービスの確認RPC(Remote Procedure Call)は別途のリモートコントロールのためのコーディングなしで別のアドレススペースで関数やプロシージャを実行できるようにするプロセス間のプロトコルです。一部の RPCサービスはリモート実行などの脆弱性があるため、使用しないことをお勧めします。
    使用禁止推奨 RPCサービス: rpc.cmsd、rpc.ttdbserverd、sadmind、rusersd、walld、sprayd、rstatd、rpc.nisd、rexd、rpc.pcnfsd、rpc.statd、rpc.ypupdated、rpc.rquotad、kcms_server、cachefsd
    U-28NIS、NIS+の点検NIS(Network Information Service)は ypservと呼ばれる RPCサービスとして portmapおよび別の関連サービスと共に使用され、同じドメインに位置したコンピュータにユーザー名、暗号と他の機密情報をリリースする機能です。ネットワーク上で機密情報を暗号化していない状態で送信するため、セキュリティ上脆弱です。NISサービスはできるだけ使ってはならず、必要な場合は NIS+を使用することをお勧めします。
    U-29tftp、talkサービスの無効化tftp、talk、ntalkサービスはセキュリティ上脆弱であるため、使用しないことをお勧めします。
    U-30Sendmailバージョンの点検Sendmailサービスの場合、ほとんどのバージョンで多くの脆弱性が報告されています。サービスに不要な場合、使用しないことをお勧めします。使用が必要な場合は、最新バージョンの使用をお勧めします。
    U-31迷惑メールリレー制限SMTP(Simple Mail Transfer Protocol)はインターネット上で電子メールを送信する時に使用する標準通信規約です。SMTPサーバを通じて電子メールを送信するサービスの提供が必要な場合は、適切なセキュリティ設定が必要です。リレー機能を制限しないと悪意のある目的の迷惑メールサーバとして乗っ取られるか、DoS攻撃の対象になる恐れがあります。
    U-32一般ユーザーの Sendmail実行を防止SMTPサービスを使用する際に qオプションを使用すると、sendmail設定を任意で変更するか、メールキューを強制的に dropできます。そのため、一般ユーザーは qオプションを使用できないように制限します。
    U-33DNSセキュリティバージョンパッチBIND(Berkeley Internet Name Domain)は BSDベースの UNIXシステムのために設定された DNSサーバと resolverライブラリで構成されています。ほぼすべてのバージョンにおいて様々な脆弱性が報告されているため、できるだけ最新バージョンをインストールして使用することをお勧めします。
    U-34DNS Zone Transferの設定DNS Zone Transferは Primary Name Serverと Secondary Name Serverの間の Zone情報の一貫性を保つために使用する機能です。Zone情報は Secondary Name Serverのみで送信するように制限します。もし許可されていないユーザーに Zone Transferを許可する場合、攻撃者は受け取った Zone情報を利用してホスト情報、システム情報、ネットワークの構成などの多くの情報を把握できるようになります。
    U-35最新セキュリティパッチおよびベンダー勧告事項を適用定期的なセキュリティパッチを通じてシステムが安全に管理されているのかを確認します。知られている脆弱性を利用した攻撃を事前に遮断するため、最新バージョンのセキュリティパッチを適用することをお勧めします。
    U-36ログの定期的な検討および報告定期的なログ点検を通じて安定的なシステム状態を維持してしるかを確認します。ログの検討および報告手順がない場合、外部からの侵入に対する識別が漏れる場合があります。そして侵入が疑われるケースを見つけた場合、関連資料を分析してそのデバイスに対するアクセスを遮断するなどの追加対応が困難になる場合があります。

    Linuxの点検項目(KISA)

    Linuxの KISAセキュリティ設定点検項目と各項目の説明は、次の通りです。

    Check ID点検項目点検項目に関する説明
    U-01rootアカウントのリモートアクセス制限rootアカウントのリモートアクセス遮断設定の有無を点検し、外部の不正アクセスによる rootアカウントへのアクセスを源泉的に遮断しているのかを点検
  • ユーザーは別途のアカウントでログインした後、suコマンドを利用して root権限に変更してからの操作を推奨
  • U-02パスワードの複雑性設定システムポリシーにユーザーアカウント(rootおよび一般アカウント)にパスワード複雑性に係わる設定がされているかを点検
    U-03アカウントロックしきい値の設定システムポリシーにユーザーログイン失敗のしきい値が設定されているかを点検
    U-04パスワードファイルの保護システムのユーザーアカウント情報が保存された/etc/passwdファイルにユーザーアカウントのパスワードが暗号化され、保存されているかを点検
    U-05rootホームパスディレクトリの権限およびパスの設定rootアカウントの PATH環境パラメータに「.」(現在のディレクトリ)が含まれているかを点検
    U-06ファイルおよびディレクトリ所有者の設定所有者が存在しないファイルおよびディレクトリが存在するかを点検
    U-07/etc/passwdファイルの所有者および権限の設定重要システムファイルの所有者および権限設定
  • /etc/passwd: ユーザー ID、パスワード(セキュリティ上、「x」と表記)、UID、GID、ホームディレクトリ、シェル情報が盛り込まれているファイル
  • U-08/etc/shadowファイルの所有者および権限の設定重要システムファイルの所有者および権限設定
  • /etc/shadow: システムに登録された全アカウントのパスワードを暗号化された形で保存/管理するファイル
  • U-09/etc/hostsファイルの所有者および権限の設定重要システムファイルの所有者および権限設定
  • /etc/hosts: IPアドレスとホスト名をマッピングするために使われるファイル
  • U-10/etc/(x)inetd.confファイルの所有者および権限の設定重要システムファイルの所有者および権限設定
  • /etc/(x)inetd.conf: インターネットスーパーデーモンのサービス設定ファイル
  • U-11/etc/syslog.confファイルの所有者および権限の設定重要システムファイルの所有者および権限設定
  • /etc/syslog.conf: システム運用中に発生する主要ログ記録を設定するファイル
  • U-12/etc/servicesファイルの所有者および権限の設定重要システムファイルの所有者および権限設定
  • /etc/services: サービス管理のために使用するファイル
  • U-13SUID、SGID、Stick bit設定ファイルの点検ファイルに不要な SUID、SGIDプロパティを削除
  • SUID(Set User-ID): 設定されたファイルを実行すると、特定タスクを実行できるように一時的にファイル所有者の権限を得る
  • SGID(Set Group-ID): 設定されたファイルを設定すると、特定タスクを実行できるように一時的にファイル所有グループの権限を得る
  • U-14ユーザー、システム起動ファイルおよび環境ファイルの所有者および権限の設定ホームディレクトリ内のユーザーファイルおよびユーザー別システム起動ファイルなどのような環境変数ファイルのアクセス権限を制限
  • 環境変数ファイル: 「.profile」、「.kshrc」、「.cshrc」、「.bashrc」、「.bash_profile」、「.login」、「.exrc」、「.netrc」など
  • U-15world writableファイルの点検不要な world writableファイルの存在有無を点検
  • world writable: 全ユーザーに対してファイル内容の書き込みを許可
  • U-16/devに存在しない deviceファイルの点検実際存在しないデバイスファイルの存在有無を点検
    U-17$HOME/.rhosts、hosts.equivの使用禁止rlogin、rsh、rexecなどのような r command権限を制限
  • r command: 認証なしで管理者のリモートアクセスができるコマンド
  • U-18アクセス IPアドレスおよびポートの制限制限されたホストのみがサービスを使用できるように設定し、外部からの攻撃を事前に防止
  • 関連設定ファイル: hosts.allow、hosts.deny
  • U-19fingerサービスの無効化不正アクセスによりユーザー情報が照会されることを防止するため、fingerサービスを無効化
  • Finger(ユーザー情報確認サービス): ネットワークの外部で当該システムに登録されたユーザー情報を確認
  • U-20Anonymous FTPの無効化Anonymous FTPアクセスを遮断して、権限のないユーザーの FTP使用を制限
  • Anonymous FTP(匿名 FTP): 誰でも anonymousまたは ftpというログイン名と任意のパスワードを使って FTPを実行できる
  • U-21r系サービスの無効化rlogin、rsh、rexecなどのような r commandを無効化
  • r command: 認証なしで管理者のリモートアクセスができるコマンド
  • U-22cronファイルの所有者および権限の設定重要システムファイルの所有者および権限設定
  • /etc/cron.allow、/etc/cron.deny: 登録されたユーザーの crontabコマンド使用を許可または遮断するファイル
  • U-23Dos攻撃に脆弱なサービスの無効化使用していない DoS攻撃などに脆弱なサービスの無効化
  • 使用禁止推奨対象サービス: echo, discard, daytime, chargen
  • U-24NFSサービスの無効化NFSサービスの無効化
  • NFS(Network File System): リモートコンピュータのファイルシステムをローカルシステムにマウントして使用できるようにするサービス
  • やむを得ず使用しなければならない場合、U-25項目に応じて管理
  • U-25NFSアクセス制御NFSを使用する際、許可されたユーザーのみアクセスできるように制限
  • NFS(Network File System): リモートコンピュータのファイルシステムをローカルシステムにマウントして使用できるようにするサービス
  • U-26automountdの削除ローカル攻撃者が automountdを使用して RPC(Remote Procedure Call)を送信できるという脆弱性があるため、サービスを停止
  • automountd: クライアントが自動でサーバにマウントし、一定期間使用しないとアンマウントする機能を提供
  • U-27RPCサービスの確認一部の RPCサービスはリモート実行などの脆弱性を持っているため、サービスを無効化
  • RPC(Remote Procedure Call): 別途のリモートコントロールのためのコーディングなしで別のアドレススペースで関数やプロシージャを実行できるようにするプロセス間のプロトコル
  • 使用禁止推奨 RPCサービス: rpc.cmsd, rpc.ttdbserverd, sadmind, rusersd, walld, sprayd, rstatd, rpc.nisd, rexd, rpc.pcnfsd, rpc.statd, rpc.ypupdated, rpc.rquotad, kcms_server, cachefsd
  • U-28NIS、NIS+の点検NISサービスはできるだけ使用しないようにし、必要な場合は NIS+を使用
  • NIS(Network Information Service): 同じドメインに位置するコンピュータにユーザー名、パスワードと他の機密情報をリリース
  • U-29tftp、talkサービスの無効化tftp、talk、ntalkサービスはセキュリティ上脆弱であるため、無効化
    U-30Sendmailバージョンの点検ほとんどのバージョンで多くの脆弱性が報告されているため、不要な場合は使用停止
  • 使う必要がある場合は最新バージョンを使用
  • U-31迷惑メールリレー制限SMTPサーバのリレー機能を制限
    U-32一般ユーザーの Sendmail実行を防止SMTPサービスを提供する際、一般ユーザーは qオプションを使用できないように制限
  • qオプションを使用すると、sendmailの設定を任意に変更したり、メールキューを強制的に dropできる
  • U-33DNSセキュリティバージョンパッチBINDを使用する場合は最新バージョンを使用
  • BIND(Berkeley Internet Name Domain): BSDベースのUNIXシステムのために設計された DNSで、サーバと resolverライブラリで構成
  • U-34DNS Zone Transferの設定Zone情報を Secondary Name Serverのみで送信するように制限
  • DNS Zone Transfer: Primary Name Serverと Secondary Name Serverの間の Zone情報の一貫性を保つために使用する機能
  • U-35Apacheディレクトリリスティングの削除ディレクトリ検索機能の無効化
  • ディレクトリ検索(Directory Listing): ディレクトリに基本文書が存在しない場合、ディレクトリ内の全てのファイルのリストを表示する機能
  • U-36Apacheウェブプロセス権限の制限Apacheは root権限でない別途の権限で実行
    U-37Apache上位ディレクトリへのアクセス禁止AllowOverrideオプションで上位ディレクトリに移動することを制限
    U-38Apacheに不要なファイルの削除Apacheをインストールする際に、基本的に作成される不要なファイルを削除したのかを点検
  • 基本作成ファイル: /[Apache_home]/htdocs/manual, /[Apache_home]/manual
  • U-39Apacheリンク使用禁止シンボリックリンク(Symbolic link)の使用制限
    U-40Apacheファイルアップロードおよびダウンロードの制限原則的に、ファイルのアップロードおよびダウンロードを禁止し、必要に応じて容量のサイズを制限
    U-41Apacheウェブサービス領域の分離DocumentRootを基本設定(htdocsディレクトリ)でない別途のパスに変更
    U-42最新セキュリティパッチおよびベンダー勧告事項を適用定期的なセキュリティパッチを通じてシステムが安全に管理されているかを確認
    U-43ログの定期的な検討および報告定期的なログ点検を通じて安定的なシステム状態を維持してしるかを確認
    U-44root以外の UIDで「0」禁止rootアカウントの他に UID値が0のアカウント(rootと権限が同様)が存在するかを点検
    U-45rootアカウントにおける suの制限
  • システムユーザーアカウントグループ制限ファイル(/etc/group)に su関連グループが存在するかを点検
  • suコマンドが su関連グループのみ許可するように設定されているかを点検
  • U-46パスワードの長さの最小値設定最小パスワードの長さを8文字以上に設定
    U-47パスワードの最大使用期間を設定定期的にパスワードを変更できるように最大試用期間を適切に制限
    U-48パスワードの最小使用期間の設定パスワードを変更できるようになるまで、経過しなければならない最小の日付を設定
    U-49不要なアカウントの削除
  • システムアカウントに不要にアカウントがあるのかを点検
  • 以下のデフォルトアカウントを削除: adm, lp, sync, shutdown, halt, news, uucp, operator, games, gopher, nfsnobody, squid
  • U-50管理者グループに最低限のアカウントを含めるシステムの管理者グループに最低限のアカウントのみ存在するかを点検
    U-51アカウントが存在しない GIDの禁止グループ設定ファイルに不要なグループ(アカウントが存在せず、システム管理や運用に使用されないグループ、アカウントが存在するが、管理や運用に使用されないグループ)が存在するかを点検
    U-52同じ UIDを禁止UIDが同じユーザーアカウントの存在有無を点検
    U-53ユーザー shellの点検ログインを必要としないアカウントに /bin/falseシェルを付与し、ログインを制限
    U-54Session Timeoutの設定一定時間の間、イベントが全く発生しない場合、アクセスを強制終了する Session Timeoutを設定
    U-55hosts.lpdファイルの所有者および権限の設定重要システムファイルの所有者および権限設定
  • /etc/hosts.lpd: ローカルプリントサービスを使用できるように許可されたホスト(ユーザー)情報が盛り込まれたファイル
  • U-56UMASK設定の管理UMASK値が適切なのかを点検
  • UMASK値: システム内でユーザーが新たに作成するファイルのアクセス権限を指定
  • U-57ホームディレクトリの所有者および権限の設定ユーザーホームディレクトリの所有者以外の一般ユーザーがそのホームディレクトリを修正できないように制限
    U-58ホームディレクトリに指定したディレクトリの存在を管理ユーザーアカウントとホームディレクトリの一致有無を点検
    U-59隠されたファイルおよびディレクトリ検索と削除隠しファイルおよびディレクトリ内の疑わしいファイルの存在有無を点検
    U-60sshリモートアクセスの許可リモートアクセスの際、ユーザーとシステムのすべての通信を暗号化する SSH(Secure Shell)サービスを使用
  • SSHを使用する場合、使用ポートを基本ポート(TCP/22番ポート)で変更することを推奨
  • U-61ftpサービスの確認FTPサービスの有効化有無を点検
    U-62ftpアカウント shell制限FTPサービスのインストールの際、作成される ftpアカウントに /bin/falseシェルを付与し、当該アカウントでもシステムアクセス遮断
    U-63Ftpusersファイルの所有者および権限の設定重要ファイルの所有者および権限設定
  • ftpusersファイル: FTPアクセス制御設定ファイルとして、そのファイルに登録されたアカウントは FTPにアクセスできない
  • U-64Ftpusersファイルの設定
  • FTPサービスの無効化を推奨
  • やむを得ず FTPサービスを使用する場合、ftpusersファイルを設定して rootアカウントの直接アクセスを制限
  • ftpusersファイル: FTPアクセス制御設定ファイルとして、そのファイルに登録されたアカウントは FTPにアクセスできない
  • U-65atファイルの所有者および権限の設定重要システムファイルの所有者および権限設定
  • /etc/at.deny、/etc/at.allow: 登録したユーザーの atコマンド使用を許可または遮断するファイル
  • U-66SNMPサービスの起動点検不要な SNMPサービスの使用中止
    U-67SNMPサービスコミュニティ文字列の複雑性を設定コミュニティ文字列を推測できない値に変更
  • コミュニティ文字列: SNMPでの認証過程に使われる一種のパスワード
  • U-68ログオン時に警告メッセージを提供サーバおよびサービスにログオンする際、不要な情報遮断設定および不正使用に対する警告メッセージを出力
    U-69NFS設定ファイルアクセス権限NFSアクセス制御設定ファイルを一般ユーザーが修正できないよう制限しているかを点検
    U-70expn、vrfyコマンドの制限やむを得ず SMTPを使用する場合、Sendmail Abuseを防ぐために Sendmailの基本サービスである VRFY、EXPNを使用できないように制限
  • VRFY: SMTPクライアントが SMTPサーバに特定 IDに対するメールの有無を検証するために送信するコマンド
  • EXPN(メーリングリストの拡大): メール送信時にフォワードするためのコマンド
  • U-71Apacheウェブサービス情報の隠しウェブページのえらー発生時、過剰にメッセージが表示されないように設定
    U-72ポリシーに応じたシステムロギングの設定内部ポリシーに応じたシステムロギングの設定適用有無を点検

    Linuxの点検項目(金融保安院の電子金融基盤施設を基準)

    金融保安院の電子金融基盤施設基準による Linuxセキュリティ設定点検項目と各項目の説明は、次の通りです。

    Check ID点検項目点検項目に関する説明
    SRV-001SNMPサービスコミュニティ文字列の複雑性を設定SNMP(Simple Network Management Protocol)サービスは TCP/IPアドレスベースネットワーク上の各ホストから定期的に様々な情報を自動で収集し、ネットワークを管理するためのプロトコルです。SNMPは MIBという情報やり取りのための認証過程で一種のパスワードである「Community String」を使います。Community Stringは Defaultとして public、privateで設定されている場合が多く、これを変更しないとこの Stringを悪用してシステムの主要情報および設定を把握できるという脆弱性が存在します。Community Stringを推測できない値に変更します。
    SRV-004不要な SMTPサービスの実行SMTPサービスはインターネットでメールを送信する SMTPプロトコルをベースにするサービスです。悪意のある攻撃者は SMTPサービスを利用して SMTPサービスを実行中のコンピュータの情報を取得するか様々な攻撃ができるため、不要な SMTPサービスが動作するのかを点検します。
    SRV-005expn、vrfyコマンドの制限SMTP(Simple Mail Transfer Protocol)はインターネット上で電子メール(E-mail)を送信する時に利用する標準通信規約です。しかし脆弱性が高いため、サービスのために必ず必要な場合を除いて使用しないことをお勧めします。必ず必要な場合は、Sendmail Abuseを防ぐために Sendmailの基本的なサービスである VRFY、EXPNを使用できないように制限することをお勧めします。

    *VRFY: SMTPクライアントが SMTPサーバに特定 IDに対するメール有無を検証するために送信するコメントのこと。
    *EXPN(メーリングリストの拡大): メール送信時にフォワードするためのコマンドのこと。
    SRV-006SMTPサービスのログレベル設定が不十分Sendmailは広く使用されている MTA(Mail Transfer Agent)として、UNIXに基本的に搭載されているサービスです。サービス可用性の確保および継続的なセキュリティ脆弱性に対するモニタリングが必要です。Sendmailの loglevelはサービス運用上のイベントに対するログを残す区分のために loglevel設定の適合性を点検します。
    SRV-007Sendmailバージョンの点検Sendmailサービスの場合、ほとんどのバージョンで多くの脆弱性が報告されています。サービスに不要な場合、使用しないことをお勧めします。使用が必要な場合は、最新バージョンの使用をお勧めします。
    SRV-008SMTPサービスの DoS防止機能の未設定ネットワーク回線の容量およびサーバの処理容量超過によるメールサービス拒否およびシステムダウンを防止するため、セキュリティ設定の適合性を点検します。
    SRV-009迷惑メールリレー制限SMTP(Simple Mail Transfer Protocol)はインターネット上で電子メールを送信する時に使用する標準通信規約です。SMTPサーバを通じて電子メールを送信するサービスの提供が必要な場合は、適切なセキュリティ設定が必要です。リレー機能を制限しないと悪意のある目的の迷惑メールサーバとして乗っ取られるか、DoS攻撃の対象になる恐れがあります。
    SRV-010一般ユーザーの Sendmail実行を防止SMTPサービスを使用する際に qオプションを使用すると、sendmail設定を任意で変更するか、メールキューを強制的に dropできます。そのため、一般ユーザーは qオプションを使用できないように制限します。
    SRV-011Ftpusersファイルの設定FTPサービスは IDおよびパスワードが暗号化されていないままで送信され、簡単なスニファーによっても IDやパスワードが漏洩する恐れがあります。必ず必要な場合を除いては FTPサービスを使用しないことをお勧めします。やむを得ず FTPサービスを使用する場合、rootアカウントの直接アクセスを制限して rootアカウントのパスワード情報が漏れないように対処します。
    SRV-012.netrcファイル内のホスト情報晒し.netrcファイルは ftpで自動でファイルの送信/受信のために使われます。.netrcファイルには FTPアクセス IPとパスワードを平文で保管するようになっており、セキュリティ上の脆弱性があります。適切な権限設定がされているのか、点検が必要です。
    SRV-013Anonymous FTPの無効化実行中の FTPサービスに匿名の FTPアクセスが許可されているのかを確認し、アクセスを遮断することをお勧めします。
    SRV-014_1NFSアクセス制御NFSの使用時に許可されたユーザーのみアクセスできるように制限します。不正アクセスを遮断するために everyone共有は必ず制限します。
    SRV-014_2NFS設定ファイルアクセス権限NFS(Network File System)はリモートコンピュータのファイルシステムをローカルシステムにマウントし、まるでローカルファイルシステムのように使用できるサービスです。
    NFSアクセス制御設定ファイルを管理者ではない一般ユーザーもアクセスおよび変更ができると、これを通じて許可されていないユーザーを登録してファイルシステムをマウントし、違法改ざんを試す恐れがあります。従って NFSアクセス制御設定ファイルを一般ユーザーが修正できないように制限されているのかを点検します。
    SRV-015NFSサービスの無効化NFS(Network File System)はリモートコンピュータのファイルシステムをローカルシステムにマウントして使用できるようにするサービスです。無認可サービスで悪用して NFSマウントへのシステムアクセスおよび改ざんなどのリスクが高いため、使用を禁止します。やむを得ず使用する必要がある場合、25番制御項目に従って管理します。
    SRV-016RPCサービスの確認RPC(Remote Procedure Call)は別途のリモートコントロールのためのコーディングなしで別のアドレススペースで関数やプロシージャを実行できるようにするプロセス間のプロトコルです。一部の RPCサービスはリモート実行などの脆弱性があるため、使用しないことをお勧めします。
    使用禁止推奨 RPCサービス: rpc.cmsd、rpc.ttdbserverd、sadmind、rusersd、walld、sprayd、rstatd、rpc.nisd、rexd、rpc.pcnfsd、rpc.statd、rpc.ypupdated、rpc.rquotad、kcms_server、cachefsd
    SRV-022アカウントのパスワード未設定、空のパスワード使用管理の不十分各アカウントのパスワードが設定されていない場合、攻撃者によってアカウントが乗っ取られるリスクがあるため、適切なパスワードが設定されているのかを点検します。ログインが必要な全アカウントに対して必ず適切なレベルのパスワードを設定することをお勧めします。
    SRV-025$HOME/.rhosts, hosts.equivの使用禁止rlogin、rsh、rexecなどのような「r」commandは認証なしで管理者によるリモートアクセスができるコマンドです。適切なセキュリティ設定がされていない場合、リモート先の攻撃者が管理者権限でシステムに任意のコマンドを実行させるリスクがあります。セキュリティ上非常に脆弱な構造であるため、使用が必要な場合は権限を制限します。/etc/hosts.equivファイルおよび .rhostsファイルのユーザーを rootまたはそのアカウントに設定した後、権限を600に設定してそのファイルの設定に「+」設定(すべてのホストを許可)が含まれないように制限します。
    SRV-026rootアカウントのリモートアクセス制限rootアカウントのリモートアクセス遮断の設定有無を点検し、外部からの不正アクセスの rootアカウントのアクセスを源泉的に遮断しているのかを点検します。

    ※ /etc/securetty: Telnetアクセスの際の rootアクセス制限設定ファイル
    「/etc/securetty」ファイル内の*pts/x関連設定が存在する場合、PAMモジュール設定と関係なく、rootアカウントのアクセスを許可するため、必ず「securetty」ファイルから pts/x関連設定の削除が必要
    Tty(terminal-teletype): サーバと接続しているモニター、キーボードなどを通じてユーザーがコンソールに直接ログイン
    pts(pseudo-terminal、仮想ターミナル): Telnet、SSH、ターミナルなどを利用してアクセス
    SRV-027アクセス IPアドレスおよびポートの制限制限されたホストのみサービスを使用できるように設定して外部からの攻撃を事前に防ぐ必要があります。基本的に全ホストに対して deny設定をして、サービスに必ず必要なホストのみ allow設定に追加します。
    関連設定ファイル: hosts.allow、hosts.deny
    SRV-028Session Timeoutの設定Session timeout値が設定されていない場合、遊休時間内に不正アクセスのシステムアクセスによるセキュリティ上の脅威が存在します。ユーザーシェルに関する環境設定ファイルで Session timeoutを設定します。
    SRV-034automountdの削除automountdはクライアントが自動でサーバにマウントし、一定期間使用しないと unmountする機能を提供します。ローカル攻撃者が automountdを使用して RPC(Remote Procedure Call)を送信できるという脆弱性があるため、使用を禁止します。
    SRV-035_1tftp、talkサービスの無効化tftp、talk、ntalkサービスはセキュリティ上脆弱であるため、使用しないことをお勧めします。
    SRV-035_2fingerサービスの無効化Finger(ユーザー情報確認サービス)を通じてネットワークの外部からそのシステムに登録されたユーザー情報を確認できます。不正アクセスでユーザー情報を照会することを防ぐためにサービスの使用禁止をお勧めします。
    SRV-035_3r系サービスの無効化rlogin、rsh、rexecなどのような「r」commandは認証なしで管理者によるリモートアクセスができるコマンドです。適切なセキュリティ設定がされていない場合、リモート先の攻撃者が管理者権限でシステムに任意のコマンドを実行させるリスクがあります。サービスに使用しない場合、無効化することをお勧めします。
    SRV-035_4Dos攻撃に脆弱なサービスの無効化DoS攻撃などに脆弱なサービスを使用しない場合は無効化することをお勧めします。
    使用禁止推奨対象サービス: echo、discard、daytime、chargen
    SRV-035_5NIS、NIS+の点検NIS(Network Information Service)は ypservと呼ばれる RPCサービスとして portmapおよび別の関連サービスと共に使用され、同じドメインに位置したコンピュータにユーザー名、暗号と他の機密情報をリリースする機能です。ネットワーク上で機密情報を暗号化していない状態で送信するため、セキュリティ上脆弱です。NISサービスはできるだけ使ってはならず、必要な場合は NIS+を使用することをお勧めします。
    SRV-037ftpサービスの確認FTPサービスは IDおよびパスワードが暗号化されていないままで送信され、スニッフィングが可能です。できるだけ FTPを使用しないことをお勧めします。
    SRV-040ウェブサービスディレクトリリスティングの削除ディレクトリ検索(Directory Listing)機能はディレクトリに基本文書が存在しない場合、ディレクトリ内の全てのファイルのリストを表示する機能です。ディレクトリ検索機能が有効化されていると外部からディレクトリ内のすべてのファイルへのアクセスが可能になり、WEBサーバ構造の漏洩だけではなく、バックアップファイルやソースファイルなどの公開されてはいない重要ファイルが漏洩する恐れがあります。
    SRV-042ウェブサービス上位ディレクトリへのアクセス禁止AllowOverrideオプションで上位ディレクトリに移動することを制限しているのかを点検します。「..」のような文字を利用して上位ディレクトリに移動できると、アクセスしてはいけないパスまで攻撃者に漏れる恐れがあります。
    SRV-043ウェブサービスに不要なファイルの削除Apacheをインストールする際に作成される不要なファイルを削除したかを点検します。
    基本作成ファイル: (/[Apache_home]/htdocs/manual, /[Apache_home]/manual)
    SRV-044ウェブサービスファイルアップロードおよびダウンロードの制限基板施設の特徴により原則としてファイルのアップロード/ダウンロードを禁止していますが、やむを得ず必要な場合は容量を制限します。サーバの過負荷予防および資源を効率的に使用するために、アップロード/ダウンロードファイルが5Mを越えないように設定することをお勧めします。
    SRV-045ウェブサービスのウェブプロセス権限の制限Apacheデーモンが root権限で運用される場合、Web Applicationが脆弱性などによって権限が乗っ取られた時に攻撃者が root権限を取得できるようになります。そのため Apacheは root権限ではない別途の権限で実行します。
    SRV-046ウェブサービスエリアの分離Apacheをインストールする時にデフォルト設定として htdocsディレクトリを DocumentRootとして使用します。Htdocsディレクトリは公開されてはいけない(または公開される必要がない) Apache文書だけではなく、攻撃に利用できるシステム関連情報も盛り込んでいるため、別途のパスで変更することをお勧めします。
    SRV-047ウェブサービスリンク使用禁止システムの rootディレクトリ(/)にシンボリックリンク(Symbolic link)を設定すると、ウェブサーバ動作のユーザー権限(nobody)ですべてのファイルシステムのファイルにアクセスできるため危険です。間違ったシンボリックリンクでサーバの重要情報が洩れる恐れがあるため、シンボリックリンクの使用を制限します。
    SRV-048不要なウェブサービスの実行システム動作時に不要なサービスがデフォルトでインストールされて起動すると、潜在的なセキュリティ上の脆弱性が発生する恐れがあります。実際に不要なサービスはシステムの性能低下を招くか、攻撃に悪用される恐れがあるので定期的に点検します。
    (評価例)
    - Tmax WebtoBのウェブサーバに対する様々な脆弱性(OpenSSLなど)が報告されているため、そのサービスの使用有無を点検
    SRV-060ウェブサービスのデフォルトアカウント(IDまたはパスワード)の未変更Tomcatは Apacheのウェブサーバに JSPと Java Servletを実行できる機能を提供する Javaアプリケーションサーバです。Tomcatがインストールされる時に基本的に設定されるアカウント変更しない場合、システムへの不正アクセスのリスクがあります。デフォルトアカウントに対して適切なセキュリティ設定がされているのかを点検します。
    SRV-062DNSサービス情報の漏洩DNSサーバの種類およびバージョンなどの情報が洩れる場合、攻撃者が他の攻撃に活用する可能性があるため、適切なセキュリティ設定がされているのかを点検します。
    SRV-063DNS Inverse Query設定の不備攻撃者が Spoofed IP(Victim)アドレスで多量の DNSリクエストを送る攻撃脅威(DNS Cache Poisoning-DNSキャッシュに偽情報が入力される攻撃)を試すことができます。これに対応できるセキュリティ設定の適合性を点検します。
    SRV-064DNSセキュリティバージョンパッチBIND(Berkeley Internet Name Domain)は BSDベースの UNIXシステムのために設定された DNSサーバと resolverライブラリで構成されています。ほぼすべてのバージョンにおいて様々な脆弱性が報告されているため、できるだけ最新バージョンをインストールして使用することをお勧めします。
    SRV-066DNS Zone Transferの設定DNS Zone Transferは Primary Name Serverと Secondary Name Serverの間の Zone情報の一貫性を保つために使用する機能です。Zone情報は Secondary Name Serverのみで送信するように制限します。もし許可されていないユーザーに Zone Transferを許可する場合、攻撃者は受け取った Zone情報を利用してホスト情報、システム情報、ネットワークの構成などの多くの情報を把握できるようになります。
    SRV-069_1パスワードの複雑性設定システムポリシーにユーザーアカウント(rootおよび一般アカウントをすべて含む)にパスワード複雑性に係わる設定がされているかを点検します。
    SRV-069_2パスワードの長さの最小値設定パスワードが短いと無差別代入攻撃(Brute Force Attack)やパスワード推測攻撃(Password Guessing)によって簡単にパスワードが漏れる恐れがあります。パスワードの最小長をポリシーとして設定し、攻撃によってパスワードが漏れるリスクを減らせます。
    SRV-069_3パスワードの最大使用期間を設定パスワードの最大使用期間を設定しない場合、不正アクセスのあらゆる攻撃(無差別代入攻撃、事前代入攻撃など)を行える期間の制限が存在しません。また乗っ取られたパスワードを使って長い間システムを掌握するリスクがあります。定期的にパスワードを変更するように最大使用期間を適切な範囲で制限します。
    SRV-069_4パスワードの最小使用期間の設定パスワードの最小使用期間を設定しない場合、ユーザーに慣れているパスワードに変更できます。パスワードを定期的に変更するポリシーの効果を大きく阻害する恐れがあります。以前のパスワードをそのまま再利用することを防ぐために、直近のパスワード記憶設定を共に適用してパスワードを保護することをお勧めします。
    SRV-070パスワードファイルの保護一部の古いシステムの場合、パスワードポリシーが適用されず、/etc/passwdファイルに平文でパスワードが保存される場合があります。ユーザーアカウントのパスワードが暗号化され、保存されているかを点検します。
    SRV-073管理者グループに最低限のアカウントを含めるシステムの管理者グループに最低限(rootアカウントとシステム管理に許可されたアカウント)のアカウントのみ存在するかを点検します。
    SRV-074不要なアカウントの削除不要なアカウントが存在するかを点検し、管理されないアカウントへの侵入を防止します。システムアカウントで不要なアカウント(退職、転職、休職など)があるのか点検します。

    adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher、nfsnobody(除外)、squid
    SRV-075推測できるアカウントパスワードの存在パスワードを設定する際、英数字/記号をすべて含む強力なパスワードを設定できるように、パスワードの複雑性を設定します。英数字だけで構成されているパスワードは、現在公開されたクラックユーティリティーおよび無差別攻撃によって簡単に推測できるため、会社で定めたパスワード管理ポリシーの遵守しているのかを点検します。
    SRV-081_1cronファイルの所有者および権限の設定root以外の一般ユーザーが crontabコマンドを使用できる場合、故意または間違って不正予約ファイルが実行されるリスクがあります。Cron関連ファイルに許可されていないユーザーがアクセスできないように管理します。
    SRV-081_2atファイルの所有者および権限の設定atデーモン(ワンタイムタスクの予約)は指定した時間にあるタスクが実行されるようにタスクスケジュールを管理します。/etc/at.allowファイルに登録されたユーザーのみが atコマンドを使用できるため、そのファイルに適切な権限を設定します。もし atアクセス制限ファイルの権限が間違っている場合、権限を取得したユーザーアカウントを登録して不正予約ファイルを実行するなどのシステム被害が発生する恐れがあります。
    SRV-081_3Crontab設定ファイルの権限設定が不十分Crontabは定期的なタスクが必要な場合に使用するファイルです。Crontabのタスク設定ファイルの others権限に書き込み/読み取り権限がある場合は、ファイルの内容を修正するか、内容を読むことができるようになります。重要な情報が漏れる可能性があるため、関連ファイルに適切な権限が付与されているかの点検が必要です。
    SRV-082システム主要ディレクトリ権限設定が不十分システム主要ディレクトリに対する権限設定を正しく行わないと、トロイの木馬のような悪性プログラムのインストールおよび重要ファイルに対する改ざんが可能になります。システム侵入に悪用またはサービス拒否攻撃が可能になるため、システムディレクトリ権限の適合性を点検します。
    SRV-083システムスタートアップスクリプト権限制限が不十分システムスタートアップスクリプトの所有権および権限設定エラーによって任意の攻撃者がスクリプトの内容変更などを通じてシステム侵入に悪用する可能性があるため、これに対する権限設定の適合性を点検します。
    SRV-084hosts.lpdファイルの所有者および権限の設定不正アクセスによる任意の hosts.lpd改ざんを防ぐために hosts.lpdファイルを削除するか、所有者/権限を管理します。
    SRV-084_1/etc/passwdファイルの所有者および権限の設定「/etc/passwd」ファイルはユーザーの ID、パスワード(セキュリティ上、「x」と表記)、UID、GID、ホームディレクトリ、シェル情報が盛り込まれている重要ファイルです。管理者(root)以外のユーザーが「/etc/passwd」ファイルの修正が可能な場合、Shell改ざん、ユーザー追加/削除、権限昇格などの悪意のある行為ができるため、ファイルの権限を適切に管理します。
    SRV-084_2/etc/shadowファイルの所有者および権限の設定「/etc/shadow」ファイルはシステムに登録された全アカウントのパスワードを暗号化された形で保存および管理している重要ファイルです。そのファイルに対する権限管理が行われない場合、アカウントおよびパスワード情報が外部に漏れるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。
    SRV-084_3/etc/hostsファイルの所有者および権限の設定「/etc/hosts」ファイルは IPアドレスとホスト名をマッピングする時に使われるファイルです。そのファイルに対する管理が行われない場合、hostsファイルに悪意のあるシステムを登録して DNSを迂回したファーミング攻撃に悪用されるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。
    SRV-084_4/etc/(x)inetd.confファイルの所有者および権限の設定インターネットスーパーデーモンはサービス設定ファイル(/etc/(x)inetd.conf)に登録された内部プログラムを外部ネットワークにリクエストする際にデーモンを起動させます。inetd.conf(xinetd.d)のアクセス権限が間違って設定されている場合、不正アクセスによって悪意のあるプログラムが登録され、root権限でサービスを実行して既存サービスに影響を与えるリスクがあります。管理者(root)アカウントを除いた全ユーザーのアクセスを制限することをお勧めします。
    SRV-084_5/etc/syslog.confファイルの所有者および権限の設定「/etc/syslog.conf」ファイルはシステム運用中に発生する主要ログ記録を設定するファイルです。もしそのファイルのアクセス権限が適切でない場合、攻撃者によるファイル改ざんが行われる場合があります。侵入者の跡またはシステムエラー事項などのシステムログが正確に記録されないリスクがあります。管理者(root)アカウントを除いた全ユーザーの書き込み権限を制限することをお勧めします。
    SRV-084_6/etc/servicesファイルの所有者および権限の設定「/etc/services」ファイルはサービス管理のために使います。一般ユーザーによるアクセスおよび変更が可能になると、正常なサービスを制限するか、許可されていないサービスを悪意を持って実行させて侵害事故を発生させるリスクがあります。管理者(root)アカウントを除いた全ユーザーの書き込み権限を制限することをお勧めします。
    SRV-087Cコンパイラの存在および権限設定が不十分攻撃者がシステムに侵入した後に攻撃コードが入力されているソースファイルをコンパイルして実行ファイルを作成すると、システム攻撃(管理者権限の取得、サービス拒否の誘発など)に悪用できます。システムに Cコンパイラの存在および利用の適合性を点検します。
    SRV-091SUID、SGID、Stick bit設定ファイルの点検SUID(Set User-ID)と SGID(Set Group-ID)が設定されたファイルは(特に root所有のファイルの場合)特定コマンドを実行して root権限の取得および正常サービスの障害を発生させる場合があります。root所有の SUIDファイルの場合は、必ず必要なファイルを除いては SUID、SGIDのプロパティを削除し、間違って設定してセキュリティへの脅威になっているのかに対する定期的な診断および管理が求められます。

    *SUID(Set User-ID): 設定されたファイルを実行する際に特定タスクを実行するため、一時的にファイル所有者の権限を得る。
    *SGID(Set Group-ID): 設定されたファイルを実行する際に特定タスクを実行するため、一時的にファイル所有グループの権限を得る。
    SRV-092_1ホームディレクトリの所有者および権限の設定ユーザーホームディレクトリ内の設定ファイルが不正アクセスによって改ざんされると、正常なユーザーへのサービスが制限される恐れがあります。該当するホームディレクトリの所有者以外の一般ユーザーがそのホームディレクトリを修正できないように制限しているのか点検します。
    SRV-092_2ホームディレクトリに指定したディレクトリの存在を管理ユーザーホームディレクトリはユーザーが shellにログインした後にタスクを行うディレクトリです。ログインしたユーザーホームディレクトリに存在するユーザー環境設定ファイルによってユーザー環境が構成され、ホームディレクトリが正しくない場合に以下のようなセキュリティ上の問題が発生する場合があります。
    1) ホームディレクトリが存在しない場合
    - rootアカウントではない一般ユーザーのホームディレクトリが/になっている場合、ログインする時にユーザーの現在のディレクトリが/にログインされるため管理セキュリティ上の問題が発生
    2) ホームディレクトリ内に隠されたディレクトリが存在する場合
    - 正当ではないユーザーがファイルを隠す目的で作成した可能性がある。
    3) ホームディレクトリ内にシステムコマンドの名前を持つ不正実行ファイルが存在する場合
    - 対象パスとシステムコマンドを入力して不正ファイルが実行されるようにする。
    SRV-093world writableファイルの点検システムファイルのような重要ファイルに world writableが設定される場合、悪意のあるユーザーがそのファイルの改ざんを行うことができます。システムへの不正アクセスおよび障害を発生させるリスクがあるため、一般ユーザーの書き込み権限を制限します。
    SRV-094Crontab参照ファイルの権限設定エラーCrontabのタスク設定ファイルの others権限に書き込み権限がある場合、ファイル内容を修正して悪意のあるタスクが実行できます。Crontab関連ファイルのセキュリティ設定が適切なのか点検します。
    SRV-095ファイルおよびディレクトリ所有者の設定所有者が存在しないファイルおよびディレクトリが存在するのかを点検し、任意のユーザーによる違法行為を事前に遮断するために削除します。削除された所有者の UIDと同じユーザーがそのファイル/ディレクトリにアクセスでき、情報漏洩のリスクがあります。その脅威は退職者関連ファイルが削除されていないか、ハッキングにより悪意のあるファイルが作成された可能性が高いです。
    SRV-096ユーザー、システム起動ファイルおよび環境ファイルの所有者および権限の設定ホームディレクトリ内のユーザーファイルおよびユーザー別システム起動ファイルなどの環境変数ファイルへのアクセス権限を適切に制限します。不正アクセスによって環境変数ファイルの改ざんが行われ、正常なサービスの障害を発生させるリスクがあります。管理者(root)アカウントとそのユーザーを除いた全ユーザーの書き込み権限を制限することをお勧めします。
    環境変数ファイルの種類: 「.profile」、「.kshrc」、「.cshrc」、「.bashrc」、「.bash_profile」、「.login」、「.exrc」、「.netrc」など」
    SRV-108ログに対するアクセス制限および管理が不十分システムログファイルの権限設定を正しく行わないと、任意のユーザーがログ記録(侵入および侵入した跡などの記録を改ざんできる)の改ざんを行えます。ログファイル権限設定が適切なのか点検します。
    SRV-109ポリシーに応じたシステムロギングの設定セキュリティ事故が発生した場合、原因確認およびあらゆる侵害事実に対する確認のために、内部のポリシーに従ってシステムをロギングします。ロギングできない場合、事故に対する原因究明が難しく、法的措置のための十分な証拠を提供できません。
    SRV-115ログの定期的な検討および報告定期的なログ点検を通じて安定的なシステム状態を維持してしるかを確認します。ログの検討および報告手順がない場合、外部からの侵入に対する識別が漏れる場合があります。そして侵入が疑われるケースを見つけた場合、関連資料を分析してそのデバイスに対するアクセスを遮断するなどの追加対応が困難になる場合があります。
    SRV-118最新セキュリティパッチおよびベンダー勧告事項を適用定期的なセキュリティパッチを通じてシステムが安全に管理されているのかを確認します。知られている脆弱性を利用した攻撃を事前に遮断するため、最新バージョンのセキュリティパッチを適用することをお勧めします。
    SRV-121rootホームパスディレクトリの権限およびパスの設定PATH環境変数に「.」(現在のディレクトリを指す)が変数の前や途中に含まれている場合は、一般的なコマンド(例: ls、mv、psなど)を実行すると、本来のコマンドではないディレクトリのファイルが優先して実行されます。悪意のあるユーザーによって不正ファイルが実行される場合があるため、rootアカウントの PATH環境変数を点検します。
    SRV-122UMASK設定の管理UMASKはファイルおよびディレクトリ作成時に基本パーミッションを指定するコマンドです。UMASK値を適切に設定し、新規作成するファイルに過剰な権限が付与されないようにします。
    SRV-127アカウントロックしきい値の設定システムポリシーにユーザーロゴイン失敗のしきい値が設定されているかを点検します。無差別代入攻撃などでシステムに試したログインを遮断するためにしきい値の設定をお勧めします。
    SRV-131rootアカウントにおける suの制限su関連グループにのみ suコマンドの使用権原を付与します。suグループに含まれていない一般ユーザーの suコマンドの使用を根本的に遮断します。システムユーザーアカウントグループ設定ファイル(/etc/group)に su関連グループが存在するかを点検し、そのグループのみ suコマンドを使用できるように設定されているかを点検します。
    SRV-133Cronサービス使用アカウント制限が不十分cronは特定の時間に合わせて決まったコマンドを実行するデーモンとして、cronサービスに対するアクセス制限が必要です。定期的なコマンドの実行で侵入に悪用されるか、情報が漏れる恐れがあるため、cronファイル内に適切なアカウント設定がされているのかを点検します。
    SRV-142_1root以外の UIDで「0」禁止ユーザーのアカウント情報が保存されたファイル(/etc/passwd)に root(UID=0)アカウントと同じ UID(User Identification)を持つアカウントがあるのか点検します。 rootアカウントと同じ UIDを持つアカウントは rootと同じ権限を持つようになり、システムに重大なリスクを招く場合があります。
    SRV-142_2同じ UIDを禁止Unixシステムは、すべてのユーザーアカウントに UIDを付与し、その UIDでユーザー名、パスワード、ホームディレクトリなどのようなユーザー情報を管理します。もし重複する UIDが存在する場合、システムで同じユーザーとして認識してしまうため、問題が生じることがあります。攻撃者による個人情報および関連データの漏洩が発生した場合も監査追跡が困難なため、同じ UIDがないように管理します。
    SRV-144/devに存在しない deviceファイルの点検デバイスが存在しないか、名前を間違って入力した場合、システムは/devディレクトリに継続してシンボリックリンクファイルを作成してエラーを発生させることがあります。例えば、rmt0を rmtoと間違って入力した場合、rmtoファイルが新たに作成されるように、デバイス名を間違って入力すると rootファイルシステムがエラーを発生させるまで/devディレクトリで継続してファイルを作成する恐れがあります。実際に存在しないデバイスを予め見つけて削除します。
    SRV-147SNMPサービスの起動点検SNMP(Simple Network Management Protocol)サービスは TCP/IPアドレスベースネットワーク上の各ホストから定期的に様々な情報を自動で収集し、ネットワークを管理するためのプロトコルです。システムの状態をリアルタイムで確認するか、設定するために使用します。SNMPサービスによってシステムの重要情報の漏洩および情報の不正修正が発生することがあるため、SNMPサービスを使用しない場合は停止することをお勧めします。
    SRV-148Apacheウェブサービス情報を非表示ウェブページのエラー発生時に、過剰に詳細なメッセージが表示されないように設定します。エラーページ、ウェブサーバの種類、OS情報、ユーザーアカウント名など、ウェブサーバ関連の不要な情報が漏れないようにします。不要な情報が漏れる場合、その情報を利用してシステムの脆弱な部分を収集して攻撃に活用する可能性が高くなります。
    SRV-158sshリモートアクセスの許可Telnet、FTPなどは暗号化されていない状態でデータを送信するため、ID/パスワードおよび重要情報が外部に漏れるリスクが高くなります。従ってリモートアクセスの際にユーザーとシステムとのすべての通信を暗号化する SSH(Secure Shell)サービスを使用することをお勧めします。SSHの使用時には TCP/22番ポートを基本ポートとして使用するため、攻撃者が基本ポートを使って攻撃する可能性があるのでポートを変更して使用することをお勧めします。
    SRV-158_1不要な Telnetサービスの実行Telnetサービスは Password認証方法を使用すると、データを平文で送信/受信するため、認証 ID/パスワードが外部に漏れることがあります。Telnetサービスは使用しないことが望ましく、使用有無を点検します。
    SRV-161Ftpusersファイルの所有者および権限の設定ftpusersファイルは FTPアクセス制御設定ファイルとして、そのファイルに登録されたアカウントは ftpにアクセスできません。ファイルに適切な権限を設定して許可されていない者が ftpusersファイルを修正できないように制限します。
    SRV-163ログオン時に警告メッセージを提供許可されていない者にサーバに対する不要な情報を提供せず、サーバアクセスの際に関係者のみがアクセスする必要があるという警戒心を持たせるために警告メッセージの設定が必要です。
    SRV-164アカウントが存在しない GIDの禁止グループ設定ファイルに不要なグループ(アカウントが存在せず、システム管理や運用に使用されないグループ、アカウントが存在するが、管理や運用に使用されないグループ)が存在するかを点検
    SRV-165_1ユーザー shellの点検OSインストールの際に基本的に作成される不要なアカウントのログインシェルを制限します。一般的にログインが不要なアカウント(adm、sys、daemonなど)には/sbin/nologinなどでシェル設定を変更します。
    SRV-165_2ftpアカウント shell制限FTPサービスをインストールする際に基本的に作成される ftpアカウントはログインが不要なデフォルトアカウントにシェルを制限し、そのアカウントへのシステムアクセスを遮断します。ログインが不要なデフォルトアカウントにシェル(Shell)を付与する場合、攻撃者にそのアカウントが漏れてシステムへの不正侵入が発生する恐れがあります。
    SRV-166隠されたファイルおよびディレクトリ検索と削除隠されたファイルおよびディレクトリの中で疑わしい内容は、正常ユーザーではない攻撃者によって作成されている可能性があります。隠されたファイル/ディレクトリに対して定期的に確認します。
    SRV-174不要な DNSサービスの実行DNS(Domain Name Service)はドメイン名と IP間の変換のためのサービスとして、不要に運用する場合は潜在的なセキュリティ上の脆弱性による攻撃のパスになることがあります。そのサービスが常務に関係なく有効化されているのかを点検します。

    Windowsの点検項目

    Windowsのセキュリティ設定点検項目と各項目の説明は、次の通りです。

    Check ID点検項目点検項目に関する説明
    WKS-01Administratorアカウント名を変更する管理者アカウントの名前を変更することで、攻撃者がアカウント名を簡単に類推できないように設定
    WKS-02Guestアカウントの使用制限Guestアカウントは、誰でもシステムにアクセスできる脆弱性を持っているため、使用を制限
  • 不特定多数のアクセスが必要な場合、Guestアカウントではない一般ユーザー向けのアカウントを作成して使用
  • WKS-03アカウントロックしきい値の設定ユーザーアカウントロックをログイン試行の失敗回数を決定
    WKS-04「解読可能な暗号化を使用してパスワードを保存」を使用しないアプリケーションの要求事項がパスワード情報を保護する必要性より重要ではない限り、ドメインのすべてのユーザーに対して当該ポリシーを使用しない
    WKS-05「Everyoneの使用権限を匿名ユーザーに適用」を使用しない当該ポリシーを使用解除し、匿名ユーザーが Everyoneグループで、使用権限を付与したリソースにアクセスすることを遮断
    WKS-06アカウントロック期間の設定ログイン失敗しきい値を超過する場合、アカウントロックを維持する時間を設定
    WKS-07パスワードの複雑性設定暗号設定の際は、文字、数字、特殊文字を全部含め強力な暗号になるよう複雑性を設定
    WKS-08パスワードの最小の長さパスワードの最小長さを8文字以上に設定
    WKS-09パスワードの最大有効期間パスワードの最大有効期間を設定し、ユーザーが暗号をよく変えるよう誘導
    WKS-10パスワードの最小有効期間パスワードを変更できるようになるまで、経過しなければならない最小の日付を設定
    WKS-11最後のユーザー名の非表示デバイスにログオンした最後のユーザー名をデスクトップに表示しないよう設定
    WKS-12直近のパスワード記憶以前のパスワードを再使用するまでユーザーアカウントと連携して使用する新しい固有のパスワード数を決定
    WKS-13コンソールログイン時にローカルアカウントで空パスワードの使用を制限空パスワードの使用を制限し、空パスワードを持つアカウントのコンソールおよびネットワークサービスのアクセスを遮断
    WKS-14不要なサービスの削除 - Alerter不要なサービスを使用しないか削除
  • Alerter: サーバからクライアントに警告メッセージを送信
  • WKS-15不要なサービスの削除 - Clipbook不要なサービスを使用しないか削除
  • Clipbook: サーバ内の Clipbookを他のクライアントと共有
  • WKS-16不要なサービスの削除 - messenger不要なサービスを使用しないか削除
  • Messenger: net sendコマンドを使ってクライアントにメッセージを送信
  • WKS-17IISサービスの起動点検不要な IISサービスの中止
    WKS-18FTPサービスの起動点検不要な FTPサービスの中止
    WKS-19DNS Zone Transferの設定DNS Zone Transfer遮断設定を適用し、承認された DNSサーバ以外、外部にドメイン情報が漏洩することを防止
    WKS-20ターミナルサービスの暗号化レベル設定ターミナルサービスの暗号化設定により、クライアントとサーバ間の通信において、転送されるデータを保護し、不要な場合はターミナルサービスを中止
    WKS-21SNMPサービスの起動点検SNMPサービスを使用しない場合は使用を中止し、システムの情報漏えいおよび不正修正を防止
    WKS-22Telnetセキュリティの設定Telnetを利用する際、ネットワーク上で暗号を転送しない NTLM認証のみ使用するよう設定
    WKS-23ポリシーに応じたシステムロギングの設定 - AuditLogonEvents法的要求事項と組織のポリシーの従って必要なログを残すように適切な監査レベルを設定
  • AuditLogonEvents: ユーザーがコンピュータにログオンまたはログオフする度にログオンが行われたコンピュータのセキュリティログにイベントを作成
  • WKS-24ポリシーに応じたシステムロギングの設定 - AuditAccountLogon法的要求事項と組織のポリシーの従って必要なログを残すように適切な監査レベルを設定
  • AuditAccountLogon: ユーザーがドメインにログオンするとドメインコントローラにログオン試行を記録
  • WKS-25ポリシーに応じたシステムロギングの設定 - AuditPolicyChange法的要求事項と組織のポリシーの従って必要なログを残すように適切な監査レベルを設定
  • AuditPolicyChange: 監査ポリシー変更の成否を監査
  • WKS-26ポリシーに応じたシステムロギングの設定 - AuditAccountManage法的要求事項と組織のポリシーの従って必要なログを残すように適切な監査レベルを設定
  • AuditAccountManage: ユーザーやグループが作成、変更または削除された時間が判断する上で使用
  • WKS-27ポリシーに応じたシステムロギングの設定 - AuditPrivilegeUse法的要求事項と組織のポリシーの従って必要なログを残すように適切な監査レベルを設定
  • AuditPrivilegeUse: 権限使用の成否を監査
  • WKS-28ポリシーに応じたシステムロギングの設定 - AuditDSAccess法的要求事項と組織のポリシーの従って必要なログを残すように適切な監査レベルを設定
  • AuditDSAccess: Active Directoryインスタンスの SACLに羅列されたユーザーが、そのインスタンスにアクセスを試みる場合に監査項目を作成
  • WKS-29リモートでアクセスできるレジストリパスやむを得ない場合を除いては、リモートレジストリサービスの使用を中止
    WKS-30イベントログ管理の設定
  • ログの最大サイズは10,240KB以上に設定し、ログが保存される容量を十分に確保
  • イベントログ管理は、ログが自動的に上書きされて過去のログが削除されることがないように設定
  • WKS-31ログインせずにシステム終了を許可ログインダイアログのシステム終了ボタンを無効化し、許可されていないユーザーがシステムを終了する脅威を防止
    WKS-32SAMアカウントと共有の匿名列挙を許可しないSAM(セキュリティアカウント管理者)アカウントと共有の匿名列挙を許可しないことで、匿名ユーザーによる悪意あるアカウント情報の盗難を防止
    WKS-33Autologon機能の制御Autologon機能の無効化
  • Autologon: 暗号化されてレジストリに保存されている代替証明を使用して自動的にログインする機能
  • WKS-34リムーバブルメディアのフォーマットと取り出しの許可リムーバブルメディアの NTFSフォーマットと取り出しが許可されるユーザーを制限
    WKS-35ユーザーがプリンタドライバをインストールできなくするユーザーのプリンタドライバインストールを遮断し、悪意あるユーザーによるシステム損傷を防止
    WKS-36警告メッセージの設定ログオン時にシステムの不正使用に対する警告メッセージを出力するように設定
    WKS-37LAN Manager認証レベルLan Manager認証レベルの設定を通じてネットワークログオンに使用する Challenge/Responseの認証プロトコルを決定し、安全な認証のために NTLMv2を使用することを推奨
  • LAN Manager: ネットワークを通じたファイルとプリンタの共有などのようなタスクの時の認証を担当

  • この記事は役に立ちましたか?

    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.