PR

 製品によってはデフォルト設定(初期設定)で,管理者パスワードやアカウントが設定されていることがある。その情報は製品マニュアルやインターネットなど公開情報から取得できる。従って,悪用防止のため事前に変更しなければならない。

 PCI DSSの要件2は,デフォルト設定の削除を求めている。また,その変更を行うまでは,セキュリティ侵害を受ける可能性があるので,製品をネットワークに接続することは禁じられている。

 要件1ではファイアウオールの導入/設定方法が規定されていたが,それだけでは不十分である。多段防御の観点から,ネットワーク機器自体のセキュリティ対策も行う必要がある。機器ごとに初期状態からセキュリティを確立する作業は,「要塞化」あるいは「セキュリティ・ハードニング」と呼ばれている。

 要件2.1では,デフォルト設定の変更の例として,SNMPコミュニティ文字列の変更が取り上げられている。

2.1 システムをネットワーク上に導入する前に,ベンダー出荷時のデフォルト値を必ず変更する(例えば,パスワードやSNMP=simple network management protocol コミュニティ文字列の変更,不必要なアカウントの削除)

 SNMPとは,ネットワーク機器に標準搭載されているプロトコルである。監視対象の機器からCPU負荷,メモリー使用量,障害情報などを監視用ソフトウエアに集めるために使用される。そのコミュニティ文字列とは,一種のパスワードであり,監視対象機器と監視用ソフトウエアの間で同じ文字列が設定されている場合にだけ通信ができるようにするものである。コミュニティ文字列には,慣習的に「public」や「private」という文字列が設定されることが多い。しかし,コミュニティ文字列が不正に奪取されると,機器情報が漏洩することになるので,変更しなければならないと定められている。

 また,不要なアカウントの削除も,要件2.1の例としてあげられている。システムによっては,デフォルトで管理者アカウント,ゲスト・アカウント,システム・アカウントがある。さらに場合によっては,ベンダーがリモートから保守するための保守用管理者アカウントが設定されていることもある。要塞化のためには,システムごとに必要なアカウント,不要なアカウントを洗い出し,不要なものは削除しなければならない。

 デフォルト設定をそのまま使用することは,システム・コンポーネントの脆弱性を放置することに等しい。特に無線環境を利用している場合には容易に不正アクセスを許すことになりかねない。大規模小売店などのPOSなどでは無線環境が広く使われているため,PCI DSSでは要件2.1.1のように,無線環境への要求が厳しくなっているものと思われる。

2.1.1 無線環境の場合,無線ベンダーのデフォルト値を変更する。これには,WEP(wired equivalent privacy)キー,デフォルトのSSID(service set identifier),パスワード,SNMP コミュニティ文字列が含まれる。SSIDブロードキャストを無効にし,WPA対応の場合なら,暗号化と認証のためのWi-Fi保護アクセス(WPA とWPA2)技術を有効にする

システム設定基準を策定する

 PCI DSSには,各種文書化について要求事項がある。担当者は,ここに定められた文書を作成しなければならない。要件2.2では,システム設定基準を策定することが定められている。

2.2 すべてのシステム・コンポーネントについて設定基準を作成する。この基準は,すべての既知のセキュリティ脆弱性をカバーし,また業界で認知されたシステム強化基準である,SysAdmin Audit Network Security Network (SANS),National Institute of Standards Technology(NIST),Center for Internet Security (CIS)等と一貫性がなければならない

 システム設定基準とは,すべての機器設定に関する標準的な設定について定める規定文書である。システム設定基準の策定は,かなりの労力を要するが,脆弱性を減らす効果が高く重要である。表7に,PCI DSSで要求されているシステム設定基準の記載事項と要件項番を示す。

表7●システム設定基準の記載事項
システム設定基準の記載事項 要求項番
1 システムをネットワーク上に導入する前に,ベンダー出荷時のデフォルト値を必ず変更する(例えば,パスワードやSNMPコミュニティ文字列の変更,不要なアカウントの削除) 2.1
2 無線環境の場合,無線ベンダーのデフォルト値を変更する。これには、WEPキー,デフォルトのSSID、パスワード,SNMP コミュニティ文字列が含まれる。SSID ブロードキャストを無効にし,WPA対応の場合なら,暗号化と認証のためのWi-Fi保護アクセス(WPA とWPA2)技術を有効にする 2.1.1
3 すべての既知のセキュリティ脆弱性をカバーし,また業界で認知されているシステム強化基準であるSANS,NIST,CISなどと一貫性がなければならない 2.2
4 各サーバには主要機能を1つだけ実装する(Webサーバ,データベース・サーバ,DNSサーバは別々のサーバに実装されるべきである) 2.2.1
5 不必要で信頼できないサービスやプロトコル(その装置が指定された機能を実行するのに直接必要ではないサービスやプロトコル)は,すべて無効にする 2.2.2
6 誤用を防止するように,システムのセキュリティ・パラメータを設定する 2.2.3
7 不必要な機能,たとえばスクリプト,ドライバ,フィーチャー,サブシステム,ファイル・システム,不要なWebサーバなどを,すべて取り除く 2.2.4

 要件2.2.4に関して,ベンダーはデフォルト設定であらかじめ基本的機能を使用可能にすることにより,ユーザーの利便性を高め,ユーザーが複雑な設定変更作業を不要にしていることがあるので,注意が必要である。

2.2.4 不必要な機能,たとえばスクリプト,ドライバ,フィーチャー,サブシステム,ファイル・システム,不必要なWeb サーバなどを,すべて取り除く

 利便性とセキュリティはトレードオフの関係にある。不要な機能や,管理者が把握していない機能があると,脆弱性の原因となるので,不要な機能は取り除く必要がある。

鳥居 肖史
ネットワンシステムズ 営業推進グループ セキュリティ事業推進本部 コンサルティング部 第2チーム
1997年,ネットワンシステムズに入社。主に,ファイアウォール,IDSなどネットワークセキュリティ製品に関し,多くの企業への技術支援を担当。CISSP,情報処理技術者試験,情報セキュリティアドミニストレータ,情報セキュリティ(テクニカルエンジニア),ネットワークスペシャリスト,第一種情報処理技術者。