WAS Security Checker
- 印刷する
- PDF
WAS Security Checker
- 印刷する
- PDF
Article Summary
Share feedback
Thanks for sharing your feedback!
Classic/VPC環境で利用できます。
WAS Security Checker メニューでは、Web Application Server(WAS)のセキュリティ設定点検結果を確認できます。細部点検結果を診断レポートを通じて確認したり、PDFまたエクセルファイルでダウンロードできます。また、適切なセキュリティ設定および対処方法を確認できます。
参考
点検結果を確認するには、まずサーバでセキュリティ設定点検を実行します。点検方法に関する詳細は、OSおよび WAS点検をご参照ください。
WAS Security Checker画面
System Security Checkerを利用するための WAS Security Checker メニューの基本的な説明は次の通りです。
| 領域 | 説明 |
|---|---|
| ① メニュー名 | 現在確認中のメニュー名、照会中の検査結果数 |
| ② 基本機能 | |
| ③ 検索領域 | 点検日時を基準にフィルタリングしたり、サーバ名を検索し点検結果を照会 |
| ④ Excel | ボタンをクリックして点検結果をエクセルファイルでダウンロード |
| ⑤ 点検結果リスト | 照会中の WASセキュリティ設定の点検結果リスト |
点検結果の確認
サーバの WASセキュリティ設定に関する点検結果を確認する方法は次の通りです。
- NAVERクラウドプラットフォームコンソールで Services > Security > System Security Checker メニューを順にクリックします。
- WAS Security Checker メニューをクリックします。
- 点検結果を確認します。
- 点検日時で結果をフィルタリングしたり、Server名を入力して希望する点検結果を検索できます。
- Region : サーバが存在するリージョン
- Application : 点検した WASの種類
- Pid : 点検した WASプロセスの ID
- server名 : サーバ名、クリックしてその点検の詳細結果および対処方法を確認(詳細結果および対処方法の確認を参照)
- InstanceNo : サーバの固有番号
- メンテナンス日時 : 点検実行の日時
- 診断区分 : 当該診断の最初診断または再診断有無を表示
- 再診断 で表示される場合、その診断に対しては課金されません。(診断区分に関する詳細は、サービスの紹介ページを参照)
- OS type : 点検したサーバの OSタイプ
- OS version : 点検したサーバの OSバージョン
- 脆弱/全体項目 : 点検結果が Badの点検項目数/全体点検項目数
- Critical , Major , Minor : 当該危険度の点検項目のうち、点検結果が Badの項目数
- Report view : [レポート] ボタンをクリックして当該検査結果の全体を診断レポートで確認および PDFファイルでダウンロード
詳細結果および対処方法の確認
WASセキュリティ設定点検の詳細結果と点検項目に関する説明、対処方法を確認し、診断レポートをダウンロードする方法は次の通りです。
- NAVERクラウドプラットフォームコンソールで Services > Security > System Security Checker メニューを順にクリックします。
- WAS Security Checker メニューをクリックします。
- 詳細結果を確認する点検サーバ名をクリックします。
- 詳細結果および対処のポップアップが表示されたら、点検細部項目と結果を確認します。
- 各点検項目をクリックして点検項目に対する説明、勧告および判断基準、対処方法を確認
- 危険度 と 点検結果 を選択し、 [検索] ボタンをクリックして点検項目をフィルタリング
- [レポート] ボタンをクリックして照会中の結果を診断レポートで確認および PDFファイルでダウンロード
- [Excel] ボタンをクリックして照会中の結果をエクセルファイルでダウンロード
WASセキュリティの設定点検項目
点検する WAS種類別のセキュリティ設定点検項目を確認してください。
参考
点検項目に関する詳しい説明と推奨設定、対処方法は NAVERクラウドプラットフォームコンソールの詳細結果および対処方法のポップアップで確認できます。(詳細結果および対処方法の確認を参照)
Apacheの点検項目
Apacheのセキュリティ設定点検項目と各項目の説明は次の通りです。
| Check ID | 点検項目 | 点検項目に関する説明 |
|---|---|---|
| AP-01 | ウェブサービスエリアの分離 | Apacheをインストールする時に基本的に htdocsディレクトリを DocumentRootとして使用します。htdocsディレクトリには Apache関連文書およびシステム関連情報も盛り込まれているため、外部に漏れることは望ましくありません。基本設定を変更してサービスすることをお勧めします。 |
| AP-02 | 不要なファイルの削除 | Sample/Manualディレクトリ自体には脆弱性がないが、不要なため削除することをお勧めします。不要なファイルを介して攻撃者にサービス情報が漏れるリスクがあります。 |
| AP-03 | リンク使用禁止 | 一部のサーバはシンボリックリンク(Symbolic link)を使用して既存のウェブ文書以外のファイルシステムのアクセスができるようにしています。このような方法は利便性を提供する一方、一般ユーザーもシステムの重要ファイルにアクセスできるというセキュリティ上の問題を発生させることがあります。例えば、システム自体の rootディレクトリ(/)にリンクを設定するとウェブサーバ動作ユーザーの権限ですべてのファイルシステムにファイルにアクセスできるようになり、「/etc/passwd」ファイルのような機密ファイルが外部に漏れることがあります。 |
| AP-04 | ファイルアップロードおよびダウンロードの制限 | ファイルアップロードおよびダウンロードのサイズを制限しないと、大量のアップロード/ダウンロードによるサービス障害が発生する恐れがあります。そのためファイルのサイズを制限するように設定します。 |
| AP-05 | ディレクトリリスティングの削除 | 当該脆弱性が存在する場合、ブラウザを通じて特定ディレクトリ内のファイルリストが表示されてアプリケーションシステムの構造が外部に漏れることがあります。機密情報が盛り込まれた設定ファイルなどが漏れる場合、セキュリティ上の深刻なリスクを招くことがあります。 ディレクトリインデックスとは? 特定ディレクトリに初期ページのファイル(index.html、home.html、default.aspなど)が存在しない場合、自動でディレクトリリストを表示する脆弱性です。 |
| AP-06 | ウェブプロセス権限の制限 | Unixシステムの場合、Webサーバデーモンが root権限で運用される場合、Web Applicationの脆弱性や Buffer Overflowの際に攻撃者が root権限を取得できます。サーバデーモンが root権限で運用されないように運用することをお勧めします。 |
| AP-07 | 安定化バージョンおよびパッチの適用 | 定期的にセキュリティパッチを適用しないと、知られている脆弱性などでサーバ侵害が発生するリスクが高まります。定期的にセキュリティが向上されたバージョンにアップデートすることをお勧めします。 |
Tomcatの点検項目
Tomcatのセキュリティ設定点検項目と各項目の説明は、次の通りです。
| Check ID | 点検項目 | 点検項目に関する説明 |
|---|---|---|
| TO-01 | Default管理者アカウント目の変更 | WASをインストールする際に web管理者コンソールアカウントで Default値の Tomcat[admin]を使用する場合があります。Default値をそのまま使用する場合、パスワード推測攻撃の危険にさらされるため、他人が推測できないアカウント名に変更することをお勧めします。 |
| TO-02 | 脆弱なパスワードの使用制限 | 管理者アカウントで脆弱なパスワードを設定して使用する場合、許可されていないユーザーがパスワード推測攻撃を試し、管理者権限を取得できるリスクがあります。 管理者アカウントのパスワードを推測できないように設定することをお勧めします。 (英数字を含む9文字以上、連続する同じ文字を5回使用することは禁止) |
| TO-03 | パスワードファイル権限の管理 | 管理者コンソール用パスワード、ファイル、Roleファイルの defaultパーミッションが644(rw-r—r--)で設定されていると、一般ユーザーにパスワードが露出されることがあります。 このファイル内にはアカウントとパスワードが平文で保存されているため、一般アカウントが読み取る場合に管理コンソール用パスワードが簡単に露出することがあります。 |
| TO-04_1 | ホームディレクトリ書き込み権限の管理(イ) | イ.Default Document Root権限確認 一般ユーザーがウェブサーバホームディレクトリなどの重要ディレクトリに書き込み権限がある場合は、任意のファイルを作成するか、削除/改ざんしてホームページの改ざん、重要ファイルの削除、バックドアの追加などの被害が発生することがあります。 |
| TO-04_2 | ホームディレクトリ書き込み権限の管理(ロ) | ロ.管理サーバホームディレクトリ権限の確認 一般ユーザーがウェブサーバホームディレクトリなどの重要ディレクトリに書き込み権限がある場合は、任意のファイルを作成するか、削除/改ざんしてホームページの改ざん、重要ファイルの削除、バックドアの追加などの被害が発生することがあります。 |
| TO-04_3 | ホームディレクトリ書き込み権限の管理(ハ) | ハ.ウェブソースホームディレクトリ権限の確認 一般ユーザーがウェブサーバホームディレクトリなどの重要ディレクトリに書き込み権限がある場合は、任意のファイルを作成するか、削除/改ざんしてホームページの改ざん、重要ファイルの削除、バックドアの追加などの被害が発生することがあります。 |
| TO-04_4 | ホームディレクトリ書き込み権限の管理(ニ) | ニ.server.xmlファイル設定の確認 一般ユーザーがウェブサーバホームディレクトリなどの重要ディレクトリに書き込み権限がある場合は、任意のファイルを作成するか、削除/改ざんしてホームページの改ざん、重要ファイルの削除、バックドアの追加などの被害が発生することがあります。 |
| TO-05_1 | 環境設定ファイル権限の管理(イ) | イ.環境設定ファイル権限の確認 一般ユーザーがウェブサイトのソースファイルを削除、変更できると、ホームページの改ざん、タスク失敗によるファイルの削除、バックドアの追加などの被害が発生することがあります。 これによってシステムが誤作動し、使用不可能状態になる恐れがあります。 |
| TO-05_2 | 環境設定ファイル権限の管理(ロ) | ロ.Defaultソースファイル権限の確認 一般ユーザーがウェブサイトのソースファイルを削除、変更できると、ホームページの改ざん、タスク失敗によるファイルの削除、バックドアの追加などの被害が発生することがあります。 これによってシステムが誤作動し、使用不可能状態になる恐れがあります。 |
| TO-06 | ディレクトリリスティング設定の制限 | ディレクトリ検索機能(Directory Indexing)が設定されている場合、Webサーバ構造の漏洩およびインストールファイルの漏洩可能性があります。 |
| TO-07 | エラーメッセージの管理 | 攻撃者が対象システムの情報を取得するために意図的に様々なエラーが発生させて送信されるエラーメッセージを使ってウェブプログラムの構造および環境設定を推測できます。 |
| TO-08 | ログファイルの定期的なバックアップ | 侵害事故などの問題発生時の原因を把握するためには、サーバで発生するあらゆるイベントを定期的にバックアップします。攻撃者は自分の行為を隠すためにログファイルを削除/改ざんすることもあるため、リモート先に定期的にバックアップすることをお勧めします。 |
| TO-09 | 最新パッチを適用 | 定期的にセキュリティパッチを適用しないと、知られている脆弱性などでサーバ侵害が発生するリスクが高まります。定期的にセキュリティが向上されたバージョンにアップデートすることをお勧めします。 |
Nginxの点検項目
Nginxのセキュリティ設定点検項目と各項目の説明は、次の通りです。
| Check ID | 点検項目 | 点検項目に関する説明 |
|---|---|---|
| NG-01 | ウェブサービスエリアの分離 | Nginxサービスのための rootディレクトリを変更して使用することをお勧めします。 |
| NG-02 | 不要なファイルの削除 | Sample/Manualディレクトリ自体には脆弱性がないが、不要なため削除することをお勧めします。不要なファイルを介して攻撃者にサービス情報が漏れるリスクがあります。 |
| NG-03 | リンク使用禁止 | 一部のサーバはシンボリックリンク(Symbolic link)を使用して既存のウェブ文書以外のファイルシステムのアクセスができるようにしています。このような方法は利便性を提供する一方、一般ユーザーもシステムの重要ファイルにアクセスできるというセキュリティ上の問題を発生させることがあります。 例えば、システム自体の rootディレクトリ(/)にリンクを設定するとウェブサーバ動作ユーザーの権限ですべてのファイルシステムのファイルにアクセスできるようになり、「/etc/passwd」ファイルのような機密ファイルが外部に漏れることがあります。 |
| NG-04 | ファイルアップロードおよびダウンロードの制限 | ファイルアップロードおよびダウンロードのサイズを制限しないと、大量のアップロード/ダウンロードによるサービス障害が発生する恐れがあります。そのためファイルのサイズを制限するように設定します。 |
| NG-05 | ディレクトリリスティングの削除 | 当該脆弱性が存在する場合、ブラウザを通じて特定ディレクトリ内のファイルリストが表示されてアプリケーションシステムの構造が外部に漏れることがあります。機密情報が盛り込まれた設定ファイルなどが漏れる場合、セキュリティ上の深刻なリスクを招くことがあります。 ディレクトリインデックスとは? 特定ディレクトリに初期ページのファイル(index.html、home.html、default.aspなど)が存在しない場合、自動でディレクトリリストを出力する脆弱性です。 |
| NG-06 | ウェブプロセス権限の制限 | Unixシステムの場合、Webサーバデーモンが root権限で運用される場合、Web Applicationの脆弱性や Buffer Overflowの際に攻撃者が root権限を取得できます。サーバデーモンが root権限で運用されないように運用することをお勧めします。 |
| NG-07 | 安定化バージョンおよびパッチの適用 | 定期的にセキュリティパッチを適用しないと、知られている脆弱性などでサーバ侵害が発生するリスクが高まります。定期的にセキュリティが向上されたバージョンにアップデートすることをお勧めします。 |
この記事は役に立ちましたか?