Hitach Incident Response Team

 これまで,米国政府のぜい弱性対策に関する取り組みとして,連邦情報セキュリティマネジメント法(FISMA)とISAP(第1回),ISAPを支える技術仕様『SCAP』(第2回),ぜい弱性識別子を規定するCVE(Common Vulnerabilities and Exposures)(第3回)を紹介しました。今回からは2回にわたって,『設定上のセキュリティ問題』に一意の番号(設定項目識別子)を付与する仕様であるCCE(Common Configuration Enumeration)について解説したいと思います。

 現在,米国では『設定上のセキュリティ問題』の取り組みとして,チェックリスト・プログラム(NCP:National Checklist Program)と連邦政府のデスクトップ基準(FDCC:Federal Desktop Core Configuration)という二つの取り組みが進められています。CCEの話に入る前に,まず,米国での『設定上のセキュリティ問題』に対する取り組みを整理しておきましょう。

■NCP:National Checklist Program

http://checklists.nist.gov/

 NCPは,連邦政府内部で使用される(使用される可能性のある)コンピュータ・ハードウエアまたはソフトウエア・システムに関連するセキュリティ・リスクを最小限に抑えるための設定とオプション選択を規定したチェックリストと,チェックリストの集約環境(チェックリスト・リポジトリ)を整備するという活動です。 活動を開始した2004年当初は「NIST Security Configuration Checklist Program」と呼ばれていましたが,2006年に入ってから「National Checklist Program」に名称変更されました。

 この活動は国立標準技術研究所(NIST:National Institute of Standards and Technology)が中心となって推進しているもので,2002年のサイバーセキュリティ研究開発法(Cyber Security Research and Development Act),2003年の国家サイバーセキュリティサミット(National Cyber Security Summit)の技術標準および共通基準タスクフォース(Technical Standards and Common Criteria Task Force)の共通設定ワークグループ(Common Configuration Working Group)報告に基づいています。

 国立標準技術研究所ではチェックリストの利用や作成のための文書として,2005年5月26日に『NIST SP800-70:IT製品のためのセキュリティ設定チェックリストプログラム』[1]を発行しました。またNIST SP800-70に基づくWindows XP用のチェックリストとして,2005年11月2日に『NIST SP800-68:Guidance for Securing Microsoft Windows XP Systems for IT Professionals - A NIST Security Configuration Checklist』を発行しました。

 チェックリストの集約環境であるチェックリスト・リポジトリは, http://checklists.nist.gov/ 上で整備が進められています。 このリポジトリには,Windows XP用のチェックリストとして,国立標準技術研究所が作成した前述のNIST SP800-68のほか,国防情報システム局(DISA:Defense Information Systems Agency),国家安全保障局(NSA:National Security Agency)が作成したチェックリストが登録されています。

 Windows Vista用のチェックリストとしては,国立標準技術研究所,国防情報システム局,国家安全保障局とマイクロソフトが協力して作成したセキュリティ・ガイドが登録されています。

 この他にも,ウイルス対策,Webサーバー,データベース,ルーター,ファイアウォールなどの製品ごとのチェックリスト計144件(2008年1月時点)が登録されています。

■FDCC:Federal Desktop Core Configuration

http://fdcc.nist.gov/

 FDCCは行政予算管理局(OMB:Office of Management and Budget)が推進している,連邦政府のデスクトップ基準です。Windowsソフトウエアを『共通セキュリティ設定』に準拠させることにより,ベースラインのセキュリティを確保しつつ,ヘルプデスクおよびパッチ検証にかかる費用を大幅に削減することが目的です。現在は,Windows XP Professional SP2およびWindows Vistaを対象に活動を推進しています。

 2007年3月22日,行政予算管理局は連邦政府機関のCIO向けに共通セキュリティ設定に関する覚え書きを出しました。この覚え書きには,FISMAにしたがってセキュリティを確保したシステムを実現するために次の2点が明記されています [2][3]。

  • 2007年5月1日までに,行政予算管理局に対して共通セキュリティ設定の実施プランを提出すること
  • 2008年2月1日までに,共通セキュリティ設定の適用を終了すること
 なお,FDCCという名称が使われ始めたのは,2007年6月1日に発行された覚え書き[4]からで,当初は「common security configurations」,「Commonly Accepted Security Configurations」と呼ばれていました。

 覚え書きに記載されている共通セキュリティ設定は,国立標準技術研究所,国防情報システム局,国家安全保障局,マイクロソフトの協力により作成されたものです。Windows XP Professional SP2用の設定は #76:Prose Guide - NIST SP 800-68,Windows Vista用の設定は #88:Prose Guide - Windows Vista Security Guideとして,チェックリスト・リポジトリに登録されています。この共通セキュリティ設定の概要については,ITproのコラム『Windows Vista/XPのセキュリティ設定を紹介』を参照してください。

 最終的に作成された Windows XP用の『共通セキュリティ設定』であるFDCCは,#76:Prose Guide - NIST SP 800-68とマイクロソフトのInternet Explorer 7.0セキュリティガイドを基づいています。Windows Vista用のFDCCは,#88:Prose Guide - Windows Vista Security GuideとInternet Explorer 7.0セキュリティガイドに基づいて作成されました [5]。これらFDCCも,チェックリストの一つとしてリポジトリに登録されています(図1)[6]。

図1 チェックリスト・リポジトリの登録項目
図1 チェックリスト・リポジトリの登録項目

■ぜい弱性対策の自動化と標準化に向けた連携

 米国政府では,ぜい弱性対策の技術面での自動化と標準化を目指し,NCP,FDCCとSCAP(Security Content Automation Protocol)とを連携させて推進しています。具体的には,NCPのチェックリスト・リポジトリではSCAPによる自動チェックのコンテンツ提供に向け,『SCAPによるチェックリスト仕様が規定されているか? 』『SCAPによる自動チェックを実現するコンテンツは提供されているか? 』というエントリを導入しはじめています。

 FDCCでは,連邦政府のデスクトップ環境がFDCCに沿っているかを自動チェックする手段の一つとしてSCAPを普及展開しています。2008年1月12日,FDCCサイトからリリースされたSCAPコンテンツには,Windows XP,Windows Vista,XP firewall,Vista firewall,Internet Explorer 7.0に関連した『プログラム上のセキュリティ問題』や『設定上のセキュリティ問題』をチェックするためのデータが含まれており,CCEは『設定上のセキュリティ問題』をチェックするための識別子としての役割を果たすことになります。

(次回に続く)

[1] NIST SP800-70:IT製品のためのセキュリティ設定チェックリスト・プログラム - チェックリスト利用者と開発者のための手引き
http://www.ipa.go.jp/security/publications/nist/
http://csrc.nist.gov/checklists/download_sp800-70.html
[2] MEMORANDUM FOR CHIEF INFORMATION OFFICERS, "Managing Security Risk By Using Common Security Configurations"
http://www.cio.gov/documents/Windows_Common_Security_Configurations.doc
[3] M-07-11:MEMORANDUM FOR THE HEADS OF DEPARTMENTS AND AGENCIES, "Implementation of Commonly Accepted Security Configurations for Windows Operating Systems"
http://www.whitehouse.gov/omb/memoranda/fy2007/m07-11.pdf
[4] M-07-18:MEMORANDUM FOR CHIEF INFORMATION OFFICERS, "Ensuring New Acquisitions Include Common Security Configurations"
http://www.whitehouse.gov/omb/memoranda/fy2007/m07-18.pdf
[5] FDCC Technical FAQs - 2007.07.31 "4. How was the FDCC created?"
http://fdcc.nist.gov/fdcc_faqs_20070731.html
[6] OMB Federal Desktop Core Configuration Checklists
http://checklists.nist.gov/ncp.cfm?fdcc_chklst


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

HIRT(Hitachi Incident Response Team)とは

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。
ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。
HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信や CSIRT 活動の成果を活かした技術者育成を行っています。