情報セキュリティ対策

セキュリティ対策セルフチェックシート

 本チェックシートは、現時点の情報に基づいて、情報システムに対するインターネットを経由した外部からの不正アクセス(注)を可能な限り防ぐとともに、不正アクセスが行われた際の被害を軽減させるために行うべき対策について記したものである。
 ただし、これらの対策のみで万全であるわけではないこと、時間や費用がかかるために即座に実行できない項目もあること、提供サービスとのトレードオフで行うことが難しい項目もあることに留意されたい。
 なお、各項目の左側に付したアルファベットの意味は、以下のとおりである。
A:必ず行うべきもの
B:守るべき情報の重要性との兼ね合いではあるが、極力行うべきもの
C:守るべき情報の重要性と、当該項目の実施に必要なコスト等を勘案の上、必要と思われる場合には行うべきもの

(注)不正アクセスとは、システムを利用する者が、その者に与えられた権限によって許された行為以外の行為を、ネットワークを介して意図的に行うことを指す。

共通事項

1.不正アクセス対策に必要となる情報の収集
A (1) ベンダーから随時セキュリティ問題に係る情報を入手するとともに、当該情報に基づく対策を講じることが必要か否か検討しているか
A (2) JPCERT/CC、IPA等から随時セキュリティ問題に係る情報を入手するとともに、当該情報に基づく対策を講じることが必要か否か検討しているか

外部公開サーバー

1.不正アクセスの要因を減少させるための対策
A (1) 外部セグメントからサーバーが設置されているセグメントに対する適切なアクセス制御が可能なネットワーク構成がとられているか。外部公開サーバーとして、どのようなものがあるか。不必要なサーバーはないか。
A (2) ルーター又はファイアウォール等でのフィルタリング設定によって、未使用又は不必要なポート/プロトコル/不正なIPアドレスによる接続を排除しているか
A (3) 未使用又は不必要なデーモン/サービス/エージェント/アカウントが全て停止又は削除されているか
A (4) ファイルが格納されている場所のアクセス権が制限されているか
A (5) パスワードの設定に係るルールが適切に定められているか。例えば、システム管理者及びユーザーについて以下の項目が満たされているか
  • 辞書に載っている単語を利用していないこと
  • 人名等固有名詞を利用していないこと
  • IDと同じでないこと
  • 過去に利用したパスワードを再利用していないこと
  • 定期的に変更していること
  • システムが機能をサポートしている場合にあっては、指定回数以上のパスワード間違いによる入力ロック又は回線切断機能を有効としていること
A (6) セキュリティに関連したソフトウェアの修正(パッチ等)の最新版を可能な限り速やかに適用しているか
C (7) 外部からのアクセスに対して、サーバー自身によって、相手のIPアドレスによってアクセスを制御しているか

<Webサーバーのみに係る項目>
A (8) 未使用又は不必要なCGIプログラム等が削除されているか
A (9) 既知の、セキュリティ上の問題が指摘されているCGIプログラム等は別の対策がとられているか
例えば、http://www.ipa.go.jp/SECURITY/ciadr/cgivuln.htmを参照
B (10) CGIに関し、セキュリティ上の問題を確認する手段を持っていて、かつ、その手段により確認しているか。加えて、ユーザーが自由にCGIを登録できるようになっていないか。
C (11) 当該サイトにてftpサービスも行っている場合にあっては、Webサービスとftpサービスを別々のサーバーで運用しているか

<メールサーバーのみに係る項目>
A (12) 外部アドレスから外部アドレス宛のメール転送を適切に管理しているか

2.不正アクセス及びその予備行為を発見するための対策
A (1) ルーター又はファイアウォールにログ収集機能がある場合には、ログに不正アクセスの試みの痕跡がないか確認しているか
A (2) サーバーのログに不正アクセスの痕跡がないか確認しているか
A (3) システム管理者及びユーザーのパスワードが不正に更新されていないか確認しているか
A (4) システムの運用に係る設定ファイルが不正に更新されていないか確認しているか
A (5) 不正なデーモン/サービス/エージェント/アカウントが稼働されていないか確認しているか
B (6) cron/at等指定した時間にプログラムを実行するコマンドによって実行される全てのファイルについて問題がないか確認しているか
B (7) uid/gid等アクセス権限の設定が不正となっているファイルがないか確認しているか
B (8) 不正なファイルが格納されていないか確認しているか
C (9) 侵入検出システム(IDS)を設置するとともに、IDSからの警告の有無とその内容を確認しているか
C (10) ディレクトリやファイルの改ざんに係るチェックを行うツールを利用して設定情報の不正な変更が行われていないことを確認しているか
A (11) 上記の確認項目(1)〜(10)のうち、実施している項目全ての確認頻度について、適切な期間を設けているか

<Webサーバーのみに係る項目>
A (12) コンテンツが不正に更新されていないか、最低限トップページについて目視により定期的に確認しているか

<メールサーバーのみに係る項目>
A (13) SPAMの踏み台にされていないか確認のため、例えば直接関係がない外部アドレスから多数のエラーメールが管理者へ送信されていないか確認しているか

3.不正アクセスを発見した場合の対応に係る対策
A (1) ルーター又はファイアウォールにログ収集機能がある場合には、ログを保管する方法及び期間が定められているか
A (2) サーバーのログを保管する方法及び期間が定められているか
A (3) 不正アクセスを発見した場合において、サーバーを一時的にネットワークから切り離すか否か等の対応方法及び復旧方法を定めているか
A (4) 上記(3)の措置を講じる場合において、その判断を下す責任者を定めるとともに、当該判断のために必要となる連絡体制を整備しているか。また、当該責任者の役職如何
A (5) 上記(3)の措置を講じた場合において、その旨を連絡すべき組織/部署を明確化しているか。それはどこか

4.不正アクセスによる被害を軽減させるための対策
A (1) データをバックアップするためのルールを策定するとともに、それを正しく実行しているか
B (2) サーバーマシン及びサーバーソフトの異常を速やかに検出できるようにしているか
B (3) サーバーの機能に異常が生じた際、予備のシステムがその機能を代替するようになっているか

内部ネットワーク

(外部セグメントから保護された、外部への公開の対象としていないネットワーク)

1.不正アクセスの要因を減少させるための対策
A (1) 外部セグメントから内部システムセグメントに対する適切なアクセス制御が可能なネットワーク構成がとられているか
A (2) ルーター又はファイアウォール等でのフィルタリング設定によって、未使用又は不必要なポート/プロトコル/IPアドレスによる接続を排除しているか
A (3) リモートアクセスサーバーにより内部セグメントに対し接続できる場合、適切なアクセス制限を設けているか
A (4) VPNにより内部セグメントに対し接続できる場合、適切なアクセス制限を設けているか
A (5) 内部ネットワークにウイルスが混入しないようにしているか
B (6) ブラウザ、メーラ等のクライアント側で必要なセキュリティ対策の情報を提供しているか。

2.不正アクセスを発見するための対策
A (1) ルーター又はファイアウォールにログ収集機能がある場合には、ログに不正アクセスの試みの痕跡がないか確認しているか

3.不正アクセスを発見した場合の対応に係る対策
A (1) ルーター又はファイアウォールにログ収集機能がある場合には、ログを収集・保管するとともに、保管の期間を定めているか
A (2) 不正アクセスを発見した場合において、内部ネットワークを一時的に外部ネットワークから切り離す措置を行うか否か等の対応方法ごとの判断基準を設けているか
A (3) 上記(2)の措置を講じる場合において、その判断を下す責任者を定めるとともに、当該判断のために必要となる連絡体制を整備しているか。また、当該責任者の役職如何
A (4) 上記(2)の措置を講じた場合において、その旨を連絡すべき組織/部署を明確化しているか。それはどこか


(参考)

チェックシート用語解説

JPCERT/CC
コンピュータ緊急対応センター。不正アクセスについて寄せられた被害をとりまとめ、その状況や手口を分析し、一般に公開している。ホームページは以下のとおり。
 http://www.jpcert.or.jp/

IPA
情報処理振興事業協会。同協会のセキュリティセンターでは、コンピュータウィルスの被害届出、不正アクセスの被害届出、暗号技術開発等のセキュリティ関連施策を実施している。セキュリティセンターのホームページは以下のとおり。
 http://www.ipa.go.jp/SECURITY/index-j.html

フィルタリング
特定の条件を満たすデータのみを通過させ、他のデータを拒否すること。

ポート
ソフトウェア上で情報交換を行う際のインターフェースのこと。

プロトコル
通信のための規約。データの送受を進めるための制御メッセージの種類、意味、表現形式、やりとりの手順等を定めたもの。

セグメント
物理的、論理的に区切ることのできる最小単位。

デーモン/サービス/エージェント
ユーザーが意識することなく、コンピュータやネットワークの状態を監視し、必要ならばそのプログラムを起動し、機能を実現する常駐型のプログラム。

TCPWrapper
外部からのアクセスに対して、相手のIPアドレスによって、アクセスを拒否することを可能とするソフトウェア。

CGI(Common Gateway Interface)
WWWブラウザからサーバー上のプログラムを起動させ、その結果をWWWブラウザに返す機能のこと。その際呼び出されるサーバー上のプログラムのことをCGIプログラムという。

ftp
ネットワーク上でファイルをアップロード・ダウンロードするための、データのやりとりの手順。

cron
UNIXで利用するもので、指定した時間にプログラム等を実行するシステム。

at
WindowsNTで利用するもので、指定した時間にプログラム等を実行するシステム。

uid/gid
前者はユーザID、後者はグループIDのことで、共にファイルの所有者、実行権限等を指定するために用いられるもの。管理者権限で実行することが必要なプログラム、例えばpasswd(パスワードの設定/変更)等は、プログラムの実行者が誰であるかによらず、管理者権限での実行を許すよう設定されている。

IDS(侵入検出システム)
システムに対する侵入を検出するソフトウェアないしシステムのこと。
システムを監視し、セキュリティポリシーを侵害するような行為を検出した場合に、その行為を可能な限り早く管理者に伝えるとともに、調査分析の作業を支援するために必要な情報を保存・提供することが目的である。