Hitach Incident Response Team

 前回のコラムでは,米国でのプログラムの『設定上のセキュリティ問題』に対する取り組みを整理しました。今回は,『設定上のセキュリティ問題』に一意の番号(設定項目識別子)を付与するCCE(Common Configuration Enumeration)を紹介します。

■CCE とは

 CCEは,プログラムの『設定上のセキュリティ問題』を解決するための仕様で,セキュリティと関連する設定項目に一意の番号(設定項目識別子)を付与します。Mitre社を中心検討が進められ,2006年8月にドラフトがリリースされました。

 CCE によって付与される識別子は“CCE-番号”というように構成されています。2007年7月にリリースされたCCE List,Version 4.0では914件,2007年12月にリリースされたCCE List,Version 4.1では1496件が一覧表に登録されています(形式はマイクロソフトExcelファイル) [1]。  Version 4.1での主な改訂内容は,Windows Vistaのセキュリティガイドと2007年11月にマイクロソフトからリリースされたMicrosoft Officeのセキュリティガイドに対応し,連邦政府のデスクトップ基準(FDCC:Federal Desktop Core Configuration)用にCCE番号を追加したことです。

[1] CCE List
http://cce.mitre.org/lists/cce_list.html

■CCE List, Version 4.x

 CCEはセキュリティと関連する設定項目に,実際に問題のない設定が施されているかどうかをチェックするためのものです。このため単純に番号順に登録されているのではなく,分類項目に分けた一覧表になっています(表1)。例えばパスワードの最大有効期限の設定項目識別子であるCCE-871や,パスワードの長さの設定項目識別子であるCCE-100は『監査とアカウントのポリシー』の項目に分類されています。

 一覧表には,CCE番号,CCEの説明,CCEで設定するパラメータ値,レジストリなどの詳細情報と共に,国立標準技術研究所(NIST:National Institute of Standards and Technology),国防情報システム局(DISA:Defense Information Systems Agency),国家安全保障局(NSA:National Security Agency),マイクロソフト,Center for Internet Security が作成しているガイドの参照情報が記載されています。前出のパスワードの最大有効期限の設定項目識別子であるCCE-871の場合なら,「最大有効期限の設定は最低限要求される事項であること」,「パラメータは有効期限の日数であること」,「NSAのWindows XPのガイドでは90日,「NIST SP700-68でも90日とされていること」が書かれています。

表1:CCE List, Version 4.x の分類項目と識別子登録数

分類項目 CCE 番号登録数
Ver 4.0
2007年6月21日
Ver 4.1
2007年12月17日
ファイルとレジストリのアクセス権限と監査 196196
ユーザの権限 3737
監査とアカウントのポリシー 1717
ネットワーク・サービス 8080
セキュリティ設定 110110
その他のシステム要求事項 22
スクリーンセーバー 1717
インストーラ 88
Windows MediaPlayer 22
Windows Messenger 33
タスク・スケジューラ 22
ターミナル・サービス 1616
PCHealth 11
Kerberos 55
Public Key Policies 77
プリンタ 11
リムーバブル型ストレージ 22
ループバック 11
XP Service Pack 2 11
SUS Client 1111
クライアント・インストールWizardオプション 33
デスクトップ/ActiveDirectory 11
MS Security Bulletin Login Script 11
NISTに関する項目 6969
CISに関する項目[2] 22
CIS(SP2 firewall)に関する項目[2] 3535
Vista 8989
Office 2007 2525
Internet Explorer 170307
ユーザー環境設定 -384
コンピュータ環境設定 -44
NIST追加項目 -17
914 件1496 件

[2] Center for Internet Security
http://www.cisecurity.org/

■FDCC Documentation Release 1.0.1とCCE

 CCEは,前回のコラムで紹介した,政府が示すデスクトップPC設定基準「FDCC」(Federal Desktop Core Configuration)でも参照されています。具体的には,FDCCの文書には,設定名,Windows VistaとWindows XPで設定すべきパラメータの値,該当するCCE番号というようになっています。パスワードの最大有効期限を例に挙げると,該当するCCE番号としてCCE-871を参照し,Windows VistaとWindows XPでの設定値を60日と規定しています。

 表2は,FDCC Documentation Release 1.0.1で参照されているCCE番号の件数です。『監査とアカウントのポリシー』では,17件あるCCE番号のうち12件をFDCCで利用しています。ここで,『CCE List未登録数』というのは,FDCCにCCE番号が記載されているにもかかわらず,実際にはCCE List, Version 4.xに登録されていないCCE番号の件数です。

表2:FDCC Documentation Release 1.0.1と該当するCCE番号の参照数

分類項目 CCE番号登録数
FDCC/Ver 4.0
2007年6月21日
FDCC/Ver 4.1
2007年12月17日
ファイルとレジストリのアクセス権限と監査 13%(26/196)13%(26/196)
ユーザの権限 100%(37/37)100%(37/37)
監査とアカウントのポリシー 71%(12/17)71%(12/17)
ネットワーク・サービス 51%(41/80)51%(41/80)
セキュリティ設定 70%(77/110)70%(77/110)
その他のシステム要求事項 0%(0/2)0%(0/2)
スクリーンセーバー 12%(2/17)12%(2/17)
インストーラ 25%(2/8)25%(2/8)
Windows MediaPlayer 50%(1/2)50%(1/2)
Windows Messenger 33%(1/3)33%(1/3)
タスク・スケジューラ 0%(0/2)0%(0/2)
ターミナル・サービス 38%(6/16)38%(6/16)
PCHealth 100%(1/1)100%(1/1)
Kerberos 100%(5/5)100%(5/5)
Public Key Policies 0%(0/7)0%(0/7)
プリンタ 0%(0/1)0%(0/1)
リムーバブル型ストレージ 0%(0/2)0%(0/2)
ループバック 0%(0/1)0%(0/1)
XP Service Pack 2 0%(0/1)0%(0/1)
SUS Client 0%(0/11)0%(0/11)
クライアント・インストールWizardオプション 0%(0/3)0%(0/3)
デスクトップ/ActiveDirectory 0%(0/1)0%(0/1)
MS Security Bulletin Login Script 0%(0/1)0%(0/1)
NISTに関する項目 28%(19/69)28%(19/69)
CISに関する項目 [2] 100%(2/2)100%(2/2)
CIS(SP2 firewall)に関する項目 [2] 74%(26/35)74%(26/35)
Vista 78%(69/89)78%(69/89)
Office 2007 0%(0/25)0%(0/25)
Internet Explorer 75%(127/170)83%(256/307)
ユーザー環境設定 -0%(0/384)
コンピュータ環境設定 -0%(0/44)
NIST追加項目 -0%(0/17)
CCE List 未登録数 131/02/0

[3] FDCC - DOWNLOAD PAGE -
http://fdcc.nist.gov/download_fdcc.html

■CCE Version 5

 CCEは改訂作業が続けられており,2007年12月にはVersion 5のドラフト版がリリースされました。Version 5では項目を細分化し,一つの問題に一つのCCE番号を割り当てるようになっています。今までのVersion 4.xでは複数の設定項目の問題に対して一つのCCE番号が付与されていました。Version 5ではまた,各アプリケーション・プラットフォームを考慮してCCE番号を付与する方向で検討が進められています。CCEの一覧表も,Windows Vista,Windows XP,Windows 2000,Windows Server 2003,Internet Explorer 7,Office 2007 の7つのアプリケーション・プラットフォーム別にまとめられます。

次回は,製品識別子を規定する CPE について紹介する予定です。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。