PR

マイクロソフト
Chief Security Advisor
高橋 正和


 Windows Vistaに限らず,セキュリティ・レベルは設定によって大きく変わってしまう。このため,セキュリティに対する要求が厳しい組織では各システムについての具体的な設定方法を規定し,ドキュメント化していることがある。その代表例が米国の政府機関。Windows Vista/XPの設定については,今年3月に米国政府が「共通セキュリティ設定(Windows Security Configuration Guide)」を公表し,政府機関で利用するWindows Systemはすべてこの設定に準ずることを義務付けた。今回は,Windows XP/Vistaのセキュリティ設定の例として,この「共通セキュリティ設定」を紹介しよう。

Windows向け「共通セキュリティ設定」

 Windows向けの「共通セキュリティ設定」(Windows Security Configuration Guide)は,

Memorandum for Chief Information Officers Managing Security Risk by Using Common Security Configurations(March 20, 2007)
Karen Evans, Administrator, Office of E-Government and Information Technology  

Implementation of Commonly Accepted Security Configurations for Windows Operating Systems(March 22,2007)
Clay Johnson, Deputy Director for Management

として米国政府機関のCIO向けに出された。メモの概要は次の通りである。

すべてのWindows XP,Vistaは,以下のロードマップにしたがって共通のセキュリティ設定に沿った設定をしなければならない
・2007年5月1日までに,OMB(行政予算管理局)に対して実施プランを提出すること
・2008年2月1日までに,セキュリティ設定の適用を終了すること

 ここで述べられている「共通セキュリティ設定」はNIST(米国国立標準技術研究所)が公開しているもので(表1)米国空軍がWindows XP向けに策定・適用したものを基に,空軍,NIST,DHS,DISA,NSA,マイクロソフトが作成した。なお,NISTには既に120以上の多岐にわたるセキュリティ設定が登録されており,登録されていないセキュリティ設定の内容は,NISTに届け出ることが推奨されている。

メモで述べられている「共通セキュリティ設定」
・The Microsoft Windows XP security configuration
・Windows Vista Security Guide

 米国SANSインスティチュートから,このメモに対する速報が出されているが,これの速報によれば,このメモは次のような意味を持つことになる(日本語訳はNRI)。

・2007年6月30日以降,ITシステムを新しく購入する場合はいかなる場合も,共通の安全な設定を義務付けられる
・情報技術提供者(統括者やソフトウエア・ベンダー)は,その安全な設定の下で,提供した製品が効果的に動作することを保証しなくてはならない

SANSの速報
・SANS NewsBites - Volume: IX, Issue: 23
・SANS NewsBites - Volume: IX, Issue: 24

NRIによる日本語訳
・Vol.2 No.12 2007年3月26日発行
・Vol.2 No.13 2007年4月2日発行

「共通セキュリティ設定」が定義する四つのカテゴリ

 共通セキュリティ設定では,対象となるシステムを典型的な4種類のカテゴリに分類している。Windows XP向けの共通セキュリティ設定においては,SOHO,エンタープライズ,SSLF,レガシーの4カテゴリが定義されており,それぞれのカテゴリについての設定が記載されている。Windows VistaではエンタープライズとSSLFだけが定義されており,SOHO,レガシーについての記述はない。それぞれのカテゴリは以下のように定義されている。それぞれのカテゴリは,さらに,デスクトップとラップトップに分けて 記載されている。複数のカテゴリーに分けているのは,やみくもに厳しい設定にするのではなく,システムごとに必要なセキュリティレベルを評価し,それに応じたセキュリティ設定を行うことで,利便性とセキュリティのバランスをとることが重要なためである。

  • SOHO(マイクロソフトではSA:スタンドアロンと定義)
    小規模でネットワーク管理者がいない環境。ファイアウォールやウイルス対策のセキュリティ製品が導入されていない場合が多い
  • エンタープライズ
    ある程度以上の規模でネットワーク管理者が存在する環境。ファイアウォールやウイルス対策ソフトなどのセキュリティ製品が導入されている
  • Specialized Security-Limited Functionality(SSLF)
    配置場所に関係なくハイリスクなコンピュータで,機能性よりもセキュリティが優先されるファイアウォール,Webサーバーなどの外部に直接接続されたコンピュータ。個人情報,医療情報,会計情報などを含むコンピュータ
  • レガシー
    互互換性の関係でセキュリティ・レベルが低い設定や,プロトコル,認証などを利用するシステム。SOHOやエンタープライズによく見られるが,まれにSSLFでも見られる

共通セキュリティ設定の構成

 先に述べたように,このメモではWindows XPと,Windows Vista の共通セキュリティ設定が取り上げられており,それぞれ多少違った内容となっている。

 XP向けの共通セキュリティ設定(には,NISTが提供しているものとマイクロソフトが提供しているものがある。NISTが提供しているものは前述のメモから直接たどることができる。マイクロソフト版と比較して概論の部分が広い範囲でまとめられており,一般的なセキュリティ設定の考え方として参考になる点が多い。
NIST: Guidance for Securing Microsoft Windows XP System for IT Professionals:A NIST Security Configuration Checklist (pdfフィアル)

 一方,マイクロソフトが提供しているガイドは適用方法や利用する技術を具体的な製品名にブレークダウンして記載していることから,マイクロソフト製品を広範囲に利用している場合はこちらの方が分かりやすいかもしれない。また,マイクロソフト版は日本語版が提供されている。
Microsoft:Windows XP セキュリティガイド

Guidance for Securing Microsoft Windows XP… の内容(目次)

Windows Vistaの共通セキュリティ設定は,XPとは異なり,マイクロソフトのサイトがリンクされている。
参照:Windows Vista Security Guide.msi

Windows Vistaについても日本語版が用意してあるので,併せて参照していただきたい。
参照:「Windows Vista セキュリティ ガイド」

 なお,共通セキュリティ設定はドキュメント本体のほか,具体的な設定についての解説,設定の一覧表,設定を行うためのツール・テンプレート集で構成されている。

表2 Windows Vista Security Guideパッケージ内容
Appendix A-Security Group Policy Settings.doc共通セキュリティ設定における具体的なレジストリ等の設定情報
Windows Vista Security Guide Settings.xls共通セキュリティ設計における,EC, SSLF毎の設定値等一覧表
GPOAccelerator Tool共通セキュリティ設定を適用するための,スクリプトおよびグループポリシ等のテンプレート集

共通セキュリティ設定の概要

 セキュリティガイドラインは単に設定を記載しているだけではなく,直面している脅威を挙げ,それに対応する技術として各種の設定内容を解説している。このため,セキュリティ対策の全体像をとらえる上で利用価値の高いドキュメントになっている。

 以下に,Windows Vistaの日本語版共通セキュリティ設定を題材に,記載されている項目と概要を紹介しよう。

  • 第1章:セキュリティ ベースラインの実装
    セキュリティ設定についての基本的な考え方に加え,このパッケージで提供されるツールやテンプレートを使ったセキュリティ・ポリシーの実装について記載されている。
  • 第2章:マルウエア対策
    マルウエア対策技術について取り上げており,UAC,Windows Defender,Windows Firewall,Windows Security Center,Internet Explorer 7についての技術的な解説と各種設定の具体的な内容が記載されている。
  • 第3章:機密性の高いデータの保護
    機密性の高いデータの保護に関連する技術として,Bitlocker,EFS,RMSの暗号化技術に加えて,デバイス管理による外部大容量メディア(USBメモリー,USB外部ディスクなど)の利用制限について記載されている。
  • 第4章:アプリケーションの互換性
    Windows Vistaでアプリケーションを稼働させる際の互換性について取り上げられており,対応のポイントと利用できるツールが紹介されている。
  • 第5章:セキュリティへの特化 - 機能性を制限  (SSLF)
    特にセキュリティに特化した安全性の高い設定(SSLF)を行うための設定について記載されている。SSLFは利便性よりもセキュリティを優先した設定であるため,通常のエンタープライズ向けには利用できないほど機能が制限されている点に注意する必要がある。
  • 付録A:セキュリティ グループ ポリシーの設定
    具遺体的な設定をエンタープライズ, SSLFについてそれぞれデスクトップ,ラップトップの設定について記載している。

まとめ

 「共通セキュリティ設定」を手作業で実施するのは,工数がかかるばかりでなく,設定するコンピューターが増えるに従って,作業ミスが起きる可能性がある。このため,「共通セキュリティ設定」では,設定を自動化するためのツールやテンプレートが用意されている。

 なお,ネットワークデバイスや,アプリケーション,他のオペレーティングシステムについても,同様にセキュリティ設定を行う必要がある。NISTのサイトには実に多様な切り口でドキュメントが用意されているので(代表的なベンダーを表3に挙げる)Windowsと同様に,これを利用する事がで,組織内のセキュリティレベルを向上させることができる。

 ほんの数年前には,このような精密な設定は各社のノウハウであり,このレベルの資料が無償で,まとめて公開されている例はなかったと思う。NISTが公表しているドキュメントは,IPAから「海外情報セキュリティ関連文書の翻訳・調査研究(NIST文書など)」として,日本語化されたものが公開されているので,ぜひ参考にしていただきたい。

NISTに登録されているベンダーの例http://checklists.nist.gov
Apache Software FoundationLinux
Apple Computer, Inc.McAfee, Inc.
BEA System, Inc.Microsoft Corporation
Cisco SystemsNetscape Communication Corporation
CitadelNovell, Inc.
D-Link CorporationOracle Corporation
FreeBSD ProjectRed Hat, Inc.
Hewlett PackardSun Microsystems
IBMSymantec Corporation
Internet System Consortium, Inc.Tandem Computers
Juniper NetworksUnisys