あなたの困り事は誰かが解決している!あなたの知らないセキュリティ関連ドキュメントの世界【第3回】
セキュリティ対策というと難しく考えがちですが、イチから自分で考えなくても先人たちの知恵の結晶とも言える資料が世の中にはたくさんあります。
もちろん国内にもいろいろありますが、海外にも目を向けてみるとさまざまな有用なセキュリティ関連のドキュメントや資料があります。
そんな中から私が普段の業務でお世話になっているものを紹介したいと思います。
第3回 セキュリティのベストプラクティス集 『CIS Benchmarks』
CIS Benchmarksとは
[CIS(The Center for Internet Security, Inc.)]はサイバー攻撃から守るために役立つベストプラクティス・ソリューションを開発することを目的に、2000年にアメリカで設立された非営利団体です。
CISは情報システムコントロール協会(ISACA)や米国公認会計士協会(AICPA)、公認内部監査人(IIA)、国際情報システムセキュリティ認証コンソーシアム(ISC2)、SANS研究所などが創設に関わっています。
CISが提供している『CIS Benchmarks』はシステムを安全に構成するためのベストプラクティスです。
Windows、LinuxなどのOS、ネットワーク機器、モバイル、データベース、アプリケーション、クラウドサービスなど、100を超える製品などの各種項目の設定方法や確認方法まで詳細に記載されています。
簡単な登録だけでPDF形式のドキュメントを無料でダウンロードすることができます。
主なドキュメントには下記があります。
-
Webブラウザー
Apple Safari Browser, Google Chrome, Microsoft Internet Explorer, Mozilla Firefox Browser -
モバイル機器
Apple Mobile Platform iOS, Google Mobile Platform -
ネットワーク機器
Checkpoint Firewall, Cisco Firewall Devices, Cisco Routers/Switches IOS, Cisco Wireless LAN Controller, Juniper Routers/Switches JunOS -
サーバーOS
Amazon Linux, CentOS, Debian Linux Server, IBM AIX Server, Microsoft Windows Server, Oracle Linux , Red Hat Linux Server, Ubuntu LTS Server -
サーバー
Apache HTTP Server, Apache Tomcat Server, BIND DNS Server, Microsoft IIS Server, IBM DB2 Server, Microsoft Exchange, Microsoft SharePoint Server, Microsoft SQL Server, MySQL Database Server, Oracle Database Server -
仮想デスクトップ、クラウド
AWS, Docker, Kubernetes, VMware Server, Xen Server -
その他
Microsoft Office
CIS Benchmarksでは、利用者が求めるレベルに応じて複数の構成プロファイルが提供されています。
- レベル1プロファイル:ビジネスに必要な機能を妨げないようにしつつ、迅速に実装できてパフォーマンスに大きな影響を与えない基本的な推奨事項
- レベル2プロファイル:セキュリティが最優先される環境を対象にした推奨事項
CIS Benchmarks の内容を紹介
CIS Benchmarks の内容はかなり具体的で、設定する項目やその説明、設定方法や設定の確認方法、設定が必要な根拠や影響まで記載されています。
たとえば『Apache HTTP Server 2.4』のCIS Benchmarksの目次をみてみると下記の項目が記載されています。
- インストールと計画
- Apacheモジュールを最小限にする
- 原則とパーミッションと所有権について
- アクセスコントロール
- 機能、コンテンツ、オプションを最小限にする
- 運用 - ログ、モニタリング、メンテナンス
- SSL/TLS構成
- 情報漏えいに関する設定
- DoS攻撃対策
- リクエスト上限
- SELinuxを利用したApacheプロセス制限
- AppArmorを利用したApacheプロセス制限
どのような内容が書かれているか、この中から1項目紹介します。
5.8 HTTP TRACE メソッドが無効になっていることを確認する
プロファイルの適用範囲(Profile Applicability)
レベル1、レベル2
説明(Description)
Apache TraceEnable ディレクティブを使用して、HTTP TRACE リクエストメソッドを無効にします。
理由は以下の通り(Rationale)
HTTP 1.1 プロトコルでは、リクエストをレスポンスとして返すTRACE リクエストメソッドのサポートが必要です。
TRACEメソッドは必要とされておらず、悪用されやすいため無効にすべきです。
確認方法(Audit)
推奨される状態が設定されているかどうかを判断するために、以下を実施してください。
- Apacheの設定ファイルを探す。
- 値が off に設定された TraceEnable ディレクティブが 1 つだけあることを確認する。
是正措置(Remediation)
推奨される状態にするために、以下の作業を行ってください。
- httpd.confのようなメインのApache設定ファイルを探します。
-
サーバーレベルの設定に、TraceEnable ディレクティブを off の値で追加します。
サーバーレベルの設定とは、最上位の設定のことで、<Directory> や <Directory> のような他のディレクティブの中に入れ子になっているものではありません。
<Directory> や <Location> のような他のディレクティブの中に入れ子になっていない最上位の設定です。
デフォルト値(Default Value)
TRACEメソッドは enabled(有効)です。
参考文献(References)
CIS Controls
-
バージョン6
9.1 オープンポート、プロトコル、サービスの制限
各システムでは、ビジネス上の必要性が確認されたポート、プロトコル、サービスのみが実行されていることを確認する。 -
バージョン7
9.2 承認されたポート、プロトコル、サービスのみが実行されていることを確認
システム上でビジネス上の必要性が確認されているネットワークポート、プロトコル、サービスのみが各システム上で実行されていることを確認する。
システムがCIS Benchmarksに準拠しているか確認する方法
CIS Benchmarksに記載されている項目はどれも有用ですが、設定や確認が必要な項目数は膨大で、先に紹介した『Apache HTTP Server 2.4』は213ページもある長大なドキュメントです。
そして、CIS Benchmarksは割と頻繁に更新されるので、すべての項目が適切に設定されているかを確認するのは容易ではありません。
CIS Benchmarksの各プロファイルに対応したツールなどを使って効率的に確認するのが良いでしょう。
CISでは「CIS-CAT Lite」というCIS Benchmarksに準拠しているかチェックするツールが提供されています。
有償版のProと、無償版のLiteがあります。
Liteはお試し版的な位置付けで対応するプロファイルは限られています。
[OpenSCAP]などのシステム構成をチェックするツールや[Nessus]などの脆弱性診断ツールで、CIS Benchmarksに対応したプロファイルを持っているものを利用するのも良いでしょう。
CIS Benchmarksをうまく活用することで、皆さまのシステムがセキュアな設定になることを願います。