| ID |
ポリシー名 |
Type |
内容 |
|
726
|
/etc/filesystems
|
OS
|
/etc/filesystems
|
|
832
|
/etc/inetd.conf
|
OS
|
/etc/inetd.conf
|
|
923
|
/etc/ntp.conf
|
OS
|
/etc/ntp.conf
|
|
1027
|
/etc/security/limits
|
OS
|
/etc/security/limits
|
|
1053
|
/etc/security/passwd
|
OS
|
/etc/security/passwd
|
|
1196
|
/var/spool/cron/crontabs/root
|
OS
|
/var/spool/cron/crontabs/root
|
|
1891
|
[U-01]rootアカウントリモート接続制限
|
脆弱性
|
rootはシステムを管理する非常に重要なアカウントである。rootアカウントで直接ログインできるように許可すると、違法侵入者の標的になる恐れがあるため、rootアカウント接続に対する管理が必要。rootアカウントのリモート接続許可は、攻撃者に良いチャンスを提供することになるため、rootのリモート接続は禁止する必要がある。
|
|
1922
|
[U-02]パスワード複雑性設定
|
脆弱性
|
ユーザアカウント(root及び一般アカウントが該当)パスワードを推測しやすく設定する場合、無許可者によるシステムアクセスリスクが存在。複数種類の文字を組み合わせた8文字以上のパスワードを使用するようにし、パスワード複雑性を高めることで無許可者による侵入攻撃発生の可能性を下げることができる。
|
|
2034
|
[U-03]アカウントロック臨界値設定
|
脆弱性
|
侵入者によるパスワード *総当たり攻撃(Brute Force Attack)またはパスワード推測攻撃(Password Guessing)発生時に、パスワード入力失敗時の入力回数を制限することで自動攻撃を遮断、攻撃時間を遅らせ、パスワード漏えいリスクを減せられる。
|
|
2068
|
[U-04]パスワードファイル保護
|
脆弱性
|
パスワード情報を平文で保存する場合、情報漏えいによる被害が発生する恐れがあるため、パスワードを暗号化して保護する必要がある。シャドウパスワードを使用して “/etc/shadow”ファイルに暗号化されたパスワードが保存されるようにして、特定の権限があるユーザのみ読み込みできるように制限する。
|
|
2143
|
[U-06]rootアカウントsu制限
|
脆弱性
|
権限のない一般ユーザがsuコマンドを使ってログインを試みて、パスワード総当り攻撃(Brute Force Attack)またはパスワード推測攻撃(Password Guessing)を通じてroot権限を獲得する恐れがある。suコマンド使用が許可されたユーザのみrootアカウントで接続できるようにする。
|
|
2225
|
[U-07]パスワード最小桁数設定
|
脆弱性
|
パスワード総当たり攻撃(Brute Force Attack)またはパスワード推測攻撃(Password Guessing)を防ぐためにパスワード最小桁数が設定されているか点検する。パスワード最小桁数が設定されていないか、短く設定されている場合、推測しやすくなる。
|
|
2293
|
[U-07]パスワード最小長さ設定
|
脆弱性
|
パスワード総当たり攻撃(Brute Force Attack)またはパスワード推測攻撃(Password Guessing)を防ぐためにパスワード最小長さが設定されているか点検する。パスワード最小長さが設定されていないか、短く設定されている場合、推測しやすくなる。
|
|
2361
|
[U-08]パスワード最長有効期限設定
|
脆弱性
|
パスワード最長有効期限を設定していない場合、一定期間経過後にも盗み取られたパスワードでの接続が可能。悪意を持つユーザからの持続的な接続を遮断するため、パスワード最長有効期限を設定し、定期的に変更できるようにする。
|
|
2446
|
[U-09]パスワード最短有効期限設定
|
脆弱性
|
パスワード最短有効期限を設定していない場合、ユーザが慣れているにパスワードに変更でき、これを再利用する可能性がある。再利用するとパスワードの定期的変更の意味が薄れる。パスワードの再利用を防止するため、最近使ったパスワード保存設定を適用することでパスワードを保護する。
|
|
2496
|
[U-11]管理者グループに最低限のアカウントを登録
|
脆弱性
|
システムを管理するrootアカウントが属するグループはシステム運用ファイルに対するアクセス権限が付与されているため、最低限のアカウントのみ登録なければならない。該当グループの管理が適切に行われないと、許可されていない一般ユーザが管理者の権限でシステムにアクセスでき、ファイル修正及び変更などの悪意を持った作業が可能とより、システム運用に被害を与える恐れがある。
|
|
2649
|
[U-15]Session Timeout設定
|
脆弱性
|
アカウント接続状態で放置される場合、重要システムが権限のないユーザに使われる恐れがあるため、一定時間イベントが発生しないと接続を終了にするSession Timeoutを設定する必要ある。
|
|
2695
|
[U-19]/etc/shadowファイル所有者及び権限設定
|
脆弱性
|
“/etc/shadow”ファイルはシステムに登録されている全てのアカウントのパスワードを暗号化状態で保存及び管理している重要ファイルであり、rootアカウントを除いたユーザからのアクセスを制限する必要がある。該当ファイルに対する権限管理が行われない場合、ID及びパスワードの外部への漏えいリスクが潜在する。
|
|
2802
|
[U-21]/etc/(x)inetd.confファイル所有者及び権限設定
|
脆弱性
|
インターネットスーパーデーモンサービス設定ファイルであるinetd.conf(xinetd.d)ファイルに対するアクセス権限制限の状態を点検する。Inetd.conf(xinetd.d)のアクセス権限が誤って設定されている場合、無許可者が意図的に作成したプログラムを登録し、root権限でサービスを実行させ、既存サービスに影響を与える恐れがある。
|
|
3034
|
[U-35]接続IP及びポート制限
|
脆弱性
|
UNIXシステムが提供するTelnet、FTPなどの多くのネットワークサービスを介しての外部の無許可者による不正アクセス及びシステム侵入を防止するために、TCP Wrapperを利用して限られたIPアドレスからのみ接続できるように設定する。
|
|
3113
|
[U-36]fingerサービス非アクティブ
|
脆弱性
|
Finger(ユーザ情報確認サービス)を通じてネットワーク外部から該当システムに登録されているユーザ情報が確認できるため、使用しない場合は該当サービスを停止する必要がある。
|
|
3173
|
[U-36]fingerサービス非活性化
|
脆弱性
|
Finger(ユーザ情報確認サービス)を通じてネットワーク外部から該当システムに登録されているユーザ情報が確認できるため、使用しない場合は該当サービスを停止する必要がある。
|
|
3220
|
[U-38]r系列サービスの非アクティブ
|
脆弱性
|
‘r’commandを使ってのリモート接続は *NET Backupまたはその他用途で使用される場合もあるが、セキュリティ上非常に脆弱なため、サービスポートが開いている場合、重要情報漏えい及びシステム障害発生など不正侵入によるリスクがある。
|
|
3280
|
[U-38]r系列サービスの非活性化
|
脆弱性
|
‘r’command使ってのリモート接続は *NET Backupまたはその他用途で使用される場合もあるが、セキュリティ上非常に脆弱のため、サービスポートが開いている場合、 重要情報漏えい及びシステム障害発生など侵害発生のリスクがある。
|
|
3371
|
[U-40]Dos攻撃に脆弱なサービスを非アクティブ
|
脆弱性
|
Dos(サービス拒否攻撃)に脆弱なecho、discard、daytime、chargenサービスは、脆弱性が多く発表された不要サービスであり、該当のサービス使用を停止する必要がある。もし該当サービスがアクティブになっている場合、システム情報漏えい及びDos(サービス拒否攻撃)の対象になる恐れがある。
|
|
3431
|
[U-40]Dos攻撃に脆弱なサービスを非活性化
|
脆弱性
|
Dos(サービス拒否攻撃)に脆弱なecho、discard、daytime、chargenサービスは、脆弱性が多く発表された不要サービスであり、該当 サービス使用を停止する必要がある。もし該当サービスが活性化されている場合、システム情報漏えい及びDos(サービス拒否攻撃)の対象になる恐れがある。
|
|
3521
|
[U-41]NFSサービス非アクティブ
|
脆弱性
|
NFS(Network File System)サービスはroot権限獲得を可能にするなど侵害リスクが高いため、使用しない場合は停止する。
|
|
3581
|
[U-41]NFSサービス非活性化
|
脆弱性
|
NFS(Network File System)サービスはroot権限獲得を可能にするなど侵害リスクが高いため、使用しない場合は停止する。
|
|
3626
|
[U-42]NFSアクセス制御
|
脆弱性
|
NFS(Network File System)使用時には許可されたユーザのみ接続できるようにアクセスを制限する必要がある。アクセス制限設定が適切に行われない場合、無許可者がroot権限を獲得し、該当共有システムにリモートでマウントして重要ファイルを変更または盗み取る可能性がある。
|
|
3671
|
[U-43]automountd削除
|
脆弱性
|
automountdデーモンには、ローカル攻撃者がデーモンに *RPC(Remote Procedure Call)を送ることができ、これを通じてファイルシステムのマウントオプションを変更してroot権限が獲得した後、ローカル攻撃者がautomountdプロセス権限で任意のコマンドを実行することができる。
|
|
3748
|
[U-44]RPCサービス確認
|
脆弱性
|
RPC(Remote Procedure Call)サービスは分散処理環境で開発する際に多くのメリットを提供するが、次のようなサービスはバッファオーバーフロー(Buffer Overflow)脆弱性が多数存在し、root権限獲得及び不正侵入によるリスクがあるためサービスを停止する必要がある。rpc.cmsd、rpc.ttdbserverd,
|
|
3810
|
[U-45]NIS 、NIS+ 点検
|
脆弱性
|
NIS(Network Information Service)は、重要なシステムDBファイルをネットワークを通じて共有する。NIS+は、セキュリティ及び便利な機能を追加したNISの次のバージョンである。セキュリティ上、脆弱なサービスであるNIS、NIS+を使用する場合、root権限獲得が可能になるため、使用しないことが望ましいが、もしNISを使用する必要がある場合はユーザ情報セキュリティに多数の問題点が内在しているNISよりは、NIS+を使用することを推奨する。
|
|
3855
|
[U-46]tftp、talkサービス非アクティブ
|
脆弱性
|
運用体制はftp、tftp、telnet、talkなどのサービスを含んでいるため、システム運用に必要ではない不要サービスを削除することでセキュリティを高めることができ、該当不要サービスの脆弱性による被害を防ぐことができる。
|
|
3915
|
[U-46]tftp、talkサービス非活性化
|
脆弱性
|
運用体制はftp、tftp、telnet、talkなどのサービスを含んでいるため、システム運用に必要ではない不要サービスを削除することでセキュリティ性を高めることができ、該当不要サービスの脆弱性による被害を防ぐことができる。
|
|
4053
|
[U-59]sshリモート接続許可
|
脆弱性
|
Telnet、FTPなどは暗号化されていない状態でデータを転送するため、ID/パスワード及び重要情報が外部に漏れるリスクがある。従って、リモート接続時にはユーザとシステムとの全ての通信を暗号化する *SSH(Secure Shell)サービスを使用することを推奨する。
|
|
4192
|
[U-66]SNMPサービスCommunity Stringの複雑性設定
|
脆弱性
|
SNMP(Simple Network Management Protocol)サービスは、システム状態をリアルタイムで把握する*NMS(Network Management System)のためにUNIXシステムにおいて基本的に提供するサービスであり、情報を受けるために一種のパスワードであるCommunity Stringを使用する。*Community Stringはデフォルトでpublic、privateに設定されている場合が多く、これを変更しない場合、このStringを使ってシステムの主要情報及び設定を把握することができる。
|
|
1521
|
autorestart設定状態点検
|
OS
|
システム異常発生以降、システム自動再実行設定項目を点検
|
|
68
|
CPU Device状態点検
|
HW
|
CPU Device状態点検 Undefined: システムにデバイスが認識されていない状態 Defined: システムにデバイス情報は存在するが、使用できない状態 Available: デバイスが使用可能な状態
|
|
1551
|
cpuguard設定状態点検
|
OS
|
cpuguard項目がenableに設定されていなければならない。
|
|
84
|
Disk Device状態点検
|
HW
|
Disk Device状態点検 Undefined: システムにデバイスが認識されていない状態 Defined: システムにデバイスの情報は存在するが、使用できない状態 Available: デバイスが使用できる状態
|
|
1581
|
dump device dump compression設定
|
OS
|
dump compressionオプションがOFF設定されていなければならない。AIX 5.3バージョンでサポートされる点検項目。
|
|
136
|
Fibre Channel Adapter Device状態点検
|
HW
|
Disk Device状態点検 Undefined: システムにデバイスが認識されていない状態 Defined: システムにデバイスの情報は存在するが、使用できない状態 Available: デバイスが使用できる状態
|
|
204
|
I/O Bus Device状態点検
|
HW
|
I/O Bus Device状態点検 Undefined: システムにデバイスが認識されていない状態 Defined: システムにデバイスの情報は存在するが、使用できない状態 Available: デバイスが使用できる状態
|
|
271
|
LAN Adapter Device状態点検
|
HW
|
LAN Adapter Device状態点検 Undefined: システムにデバイスが認識されていない状態 Defined: システムにデバイスの情報は存在するが、使用できない状態 Available: デバイスが使用できる状態
|
|
338
|
Memory Device状態点検
|
HW
|
Memory Device状態点検 Undefined: システムにデバイスが認識されていない状態 Defined: システムにデバイスの情報が存在するが、使用できない状態 Available: デバイスが使用できる状態
|
|
1323
|
OS Fileset点検
|
OS
|
filesetが必要とする要求事項を全てインストールしているかどうかを点検
|
|
1338
|
OS TL安全性点検
|
OS
|
OS TL(Technoloy Level) 安定性点検AIX 5.3未満 : TLチェックしないAIX 5.3 : TL 12未満違反AIX 6.1以上 : TLチェックしない
|
|
405
|
OS状態メッセージ点検
|
HW
|
errptコマンドでOS状態メッセージ点検前日点検実行時間から当日点検実行時間が対象 PEND : デバイスの可能性や問題が起きる恐れのある構成要素 PERF : デバイスの性能やアクセスレベル低下 Permanent : パーマネントエラー Temporary : 一時的エラー Unkn : 原因切り分けが不可能なエラー
|
|
1630
|
paging space点検
|
OS
|
Paging Space使用率点検
|
|
450
|
Power状態点検
|
HW
|
Power状態点検
|
|
1646
|
rootvg LV mirror適用確認
|
OS
|
rootvg Logical Volume mirror適用確認
|
|
515
|
SWAP状態点検
|
HW
|
lspsコマンドでActiveの状態値がyesでなければならない。
|
|
1691
|
syslog実行状態点検
|
OS
|
syslogサービス実行有無点検
|
|
530
|
VG状態点検
|
HW
|
FilesystemのVolumeGroup状態点検
|
|
1797
|
サーバTime zone
|
OS
|
例)日本の場合JST-9 (日本標準時)
|
