第5回 カード情報システムでのIIS、QSAはどう見る?
川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP
2009/1/29
セキュリティ標準をお忘れなく
PCI DSSの要件2.2では、下記のような要求事項があります。
| 2.2 すべてのシステムコンポーネントについて、構成基準を作成する。この基準は、すべての既知のセキュリティ脆弱性をカバーし、また業界で認知されたシステム強化基準と一致している必要がある。 |
そして、QSAによる確認手順の中には、SANS、NIST、CISなどが参照先として挙げられています。今回のようにWindows ServerでIISを稼働させているような場合、マイクロソフトからもセキュリティ設定ガイドが公開されているため、社内の「外部公開向けWindows Server + IISセキュリティ設定基準」というような文書を作成する際には極めて重要な参考資料となるでしょう。
| 【関連リンク】 Windows Server 2003 セキュリティガイド http://www.microsoft.com/japan/technet/security/prodtech/ windowsserver2003/w2003hg/sgch00.mspx |
QSAによる訪問調査では、いきなり設定の確認に入るわけではなく、文書の確認を行い、その文書に従ってセキュリティ設定が正しく実装されているかを確認することになります。つまり、設定を施せばよいわけではなく、どのような設定を行うべきか、業務や環境、システムの種類に合わせて検討、および標準の策定を行い、適用する必要があります。これはUNIX系OSであろうとWindows系OSであろうと同じことがいえます。
今回はWindows Server 2003とIIS 6.0の環境での確認をしてみましたが、IISのWebサービスに限っていえば、デフォルトの状態で重大で危険な設定は見受けられませんでした。これは過去の大規模なワーム感染などをうけて、セキュリティ設定がデフォルトである程度行われた状態となるよう、マイクロソフトの方針が変更されたことによるものでしょう。しかし現実的には、大規模なシステムではOSのバージョンアップのような大きな変更はなかなか頻繁に行うことが難しいため、いまだにWindows 2000、IIS 5.0などで稼働しているシステムも存在します。
「外部に公開していないから」「いままで被害に遭ったことなんてないから」などなど、現状を「悪い意味で」維持しようとする理由はあるかもしれません。しかし、技術の進歩やサービスの形態の変化が著しいいま、悪意のあるユーザーが利用する技術やサービスはそれと同等以上のスピードで進化しています。いま一度、PCI DSSのようなセキュリティ基準が登場している今日、セキュリティに対する意識をあらためて見直してみる必要があるのではないかと、筆者は考えています。
余談ですが、筆者の在籍する会社は、QSAであるほかに「ASV(Approved Scanning Vendor)」という、PCI DSS 要件11で求められる外部からの脆弱性スキャンを行うことができるベンダとして認定されています。ASV認定の試験では、実際にPCI SSCが準備したテスト環境に対してスキャンおよび脆弱性の識別と報告を行うのですが、2009年から、その対象のホストの中から、Windows 2000 Serverが姿を消しました。これがどういう意味なのか、あえてここでは説明しませんが、ご理解いただけたら幸いです。
| 【関連記事】 セキュリティ対策の「ある視点」(14) ASV検査、ペネトレテスターの思考を追う http://www.atmarkit.co.jp/fsecurity/rensai/view14/view01.html |
今回は、前回のApacheの設定確認に続けてのWindows+IISの設定確認でした。IISのセキュリティ設定を行ったことのある方であれば、基本的すぎる、という印象を受けられたのではないかと思います。しかし、基本的なこと、当たり前のことを、あらゆる環境に対して、あらゆる角度から確認し、実装することは容易ではありません。つまり、確認する方法は違うものの、確認する観点はApacheであろうとIISであろうと変わりませんし、個々の対策はそれほど難しい内容ではないはずです。
さまざまな種類のシステムを扱い、業務が複雑化するに従い、「本当にここまでやるべきなのだろうか?」「これは別にやらなくてもいいんじゃないか?」と、さまざまな迷いが出てくることと思います。そのようなときは、一歩下がって、「カード会員データ/機密データを守るためには、何が重要なのか」を考えることが重要です。
PCI DSSを「お金がかかる厳しい基準」などと考えず、そのような迷いから解放してくれる手引書だと考えて、ビジネス、環境に合ったセキュリティ対策を実施していただければ幸いです。
 |
4/4 |
| Index | |
| カード情報システムでのIIS、QSAはどう見る? | |
| Page1 QSAの視点――IIS編 |
|
| Page2 稼働サービスの確認 -1.サービス一覧で確認 -2.netstatで確認 -3.IISマネージャで確認 |
|
| Page3 IIS設定の確認 -1.不要なコンテンツが存在しないか -2.ログ設定 -3.ファイル名拡張子マッピングの設定 |
|
 |
Page4 セキュリティ標準をお忘れなく |
| Profile |
| 川島 祐樹(かわしま ゆうき) NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP NTTデータ・セキュリティ入社後、セキュリティ対策の研究開発から、セキュリティ製品の評価、サービス開発、導入、運用支援を実施。 その後、PCIDSS公開当初から訪問調査を実施し、セミナーや書籍、記事の執筆など、PCIDSS普及促進も実施している。 |
 |
オール・ザッツ・PCI DSS 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
