トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

STIGカテゴリー のバックアップ(No.1)


FrontPage

BMCのブログ

DISAコンプライアンスとは何ですか?

国防情報システム局は国防総省(DoD)の一部であり、戦闘支援機関です。政府および関連する防衛機関に情報技術および通信サポートを提供するという使命の一環として、DoDに接続するコンピューターシステムおよびネットワークのセキュリティ標準を作成および維持しています。これらのガイドラインは、セキュリティ技術実装ガイドと呼ばれる構成とチェックリストのセットであり、コンピューターネットワークとシステムのセキュリティを確保します。これらの標準は、多くのDoD組織にとって事実上のポリシーになっており、独立した標準の開発にかかる時間と労力を大幅に節約しています。
また、STIGは、システムを実行している人々のトレーニング方法や、セキュリティのチェックと更新を行う必要のある頻度などを示します。基本的に、これらは組織にコンピュータシステムとネットワークの処理方法を詳細に説明するドキュメントのセットです。DISAが発行したガイドラインへの準拠を怠ると、組織がDoDネットワークへのアクセスを拒否される可能性があります。

STIGが使用される理由

多くのソフトウェアパッケージ、オペレーティングシステム、さらにはファームウェア構成は、セキュリティを第一に考えて設計されていません。多くの場合、デフォルト設定では、システムがハッカーによる攻撃に対して比較的脆弱になります。この例は、Windowsオペレーティングシステムのセットアップ方法です。Windowsのデフォルト設定では、多数のリモート接続が開いたままになる傾向があり、これらの構成により、部外者がコンピューターを簡単に引き継ぐことができます。
さらに、オペレーティングシステムは複雑であるため、ハッカーがアクセスできない領域に侵入する方法を見つけ出すにつれて、脆弱性が定期的に発見されます。システムを不正アクセスから保護するには、Windowsのアップデートとパッチ、およびファイアウォールとマルウェア対策ソフトウェアが必要です。一般的に、同じ問題は他のオペレーティングシステム、ハードウェア構成、ソフトウェアスイートにも当てはまる傾向があります。設定をデフォルトのままにして、更新プログラムやパッチのインストール、または追加の保護の設定に失敗すると、ハッカーがシステムに簡単にアクセスできるようになります。

セキュリティの問題は、パソコンを使用している個人にとってはイライラし、問題を引き起こす可能性がありますが、政府または政府のサーバーに接続する組織にとっては、国家安全保障の問題になる可能性があります。パーソナルコンピューターのセキュリティを確保しないと、オペレーティングシステムの再インストールが必要になったり、2015年の人事管理違反のような実際の個人情報盗難により、2200万件を超える人事記録が侵害される可能性があります。DoDに接続するシステムがハッキングされると、誰かが機密情報を入手する可能性があります。DoDは、ネットワークに接続しているすべてのエンティティがすべてのシステムで最も安全な構成を使用していると想定することはできないため、セキュリティ標準を詳述するSTIG形式のガイドラインを作成しました。

STIGの目的は、DoDネットワークに接続している組織が可能な限り最も安全な設定を使用していることを確認することです。また、これにより、DoDシステムにアクセスするすべての組織が従わなければならない標準が確保され、構成および接続の問題に役立ちます。STIGは、セキュリティを向上させ、ITサービスを簡素化します。

DISAは、最も安全な構成を特定するために定期的なテストと調査を行い、定期的に更新を行って、新たに発見された脆弱性に対処するようにします。DISAは四半期ごとに、STIGを通過してエラーを修正し、ポリシーの変更を反映し、明確にするためにそれらを更新します。システムは、システムが準拠していることを保証するとともに、更新が利用可能になったときにサーバーとシステムを更新する必要があります。メジャーアップデートは年中いつでも公開される可能性があるため、組織は四半期ごとだけでなく定期的にアップデートを確認する必要があります。

DISAガイドラインに従う必要のある人

DISAによれば、「DoDネットワークに接続されたすべてのDoDが開発、設計、管理されたアプリケーションとシステム」は、STIGガイドラインに準拠する必要があります。基本的に、何らかの方法でDoDに接続する人は誰でも、その基準を遵守する必要があります。防衛に直接関係する部門に加えて、さまざまな政府機関や民間請負業者もDoDシステムにアクセスできるため、STIGで規定されているガイドラインに従う必要があります。

DoDサーバーに接続する組織は、構成を使用するとともに、STIGによって定められたポリシーとプロセスに従う必要があり、新しいSTIGと修正されたSTIGがリリースされると、構成とプロセスが更新されるようにする必要があります。組織がコンプライアンスに違反しているか、コンプライアンスに違反しており、それに対処するために行動していない場合、運営許可が取り消され、DoDシステムへのアクセスが取り消される場合があります。接続するすべてのシステムが準拠していることを確認するために定期的にチェックが行われ、監査人は多くの構成をリモートでチェックすることができます。

DoDシステムに接続するにはDISA標準に準拠する必要がありますが、セキュリティのベンチマークとしてSTIGを使用するのは、これらのシステムに関連付けられた組織だけではありません。STIGは無料でダウンロードでき、一般に公開されているため、民間組織はSTIGを使用してセキュリティを向上させることができます。最初はDISAを対象としたDISA STIG実装の範囲により、DoDおよびDoDや他の連邦政府組織と連携する組織全体で効果的に標準になりました。

セキュリティ技術実装ガイド 膨大な数のSTIGがあります。400を超えるドキュメントで、ハードウェアとソフトウェアの構成方法、セキュリティプロトコルとトレーニングプロセスの概要を説明しています。STIGは、データを安全に保ち、ハッカーがシステムにアクセスできないようにする目的で、コンピューター、オペレーティングシステム、サーバー、ネットワークの設定を提供します。最近、クラウドコンピューティングシステムとモバイルデバイスの構成をカバーするSTIGがリリースされました。ただし、ガイドラインは単なる構成だけではありません。また、プロジェクト管理、ソフトウェア開発、テストの処理方法などもカバーしています。

STIGの要件は、非常に正確または曖昧な場合があります。たとえば、APP3510は単にユーザーの入力の検証を要求するだけで、APP3540はプログラムがSQLインジェクションから安全であるべきだとだけ述べています。ただし、他のSTIGは非常に特殊な場合があります。APP3390では、3回ログインに失敗した後、プログラマーがユーザーを1時間アカウントからロックアウトする必要があります。さらに、STIGでは、プログラマーが特定の方法でアプリケーションを保護したり暗号化を適用したりする必要がある場合があります。STIG要件への準拠は、非常に長く詳細なプロセスになる場合があります。これは、設定する膨大な数の設定があるオペレーティングシステムに特に当てはまります。TrueSight Automation for Serversのような、すぐに使える(OOTB)DISA STIGコンプライアンスコンテンツを提供するシステムの大きな利点の1つは、作業の大部分が、ポリシーと修復の定義は、組織に対してすでに行われています。TrueSight Automation for Serversコンプライアンスエンジンを使用すると、組織はサーバーのコンプライアンスを迅速に監査し、通常はPOCの最初の数時間以内に、運用実装の最初の週に結果を表示できます。

DISAコンプライアンスレベル

特定の脆弱性に対処できないリスクの重大度を示す3つのカテゴリまたはレベルの脆弱性があります。

カテゴリーI

脆弱性が悪用されると、直接的かつ即座に機密性、可用性、または整合性が失われる脆弱性。

これらのリスクは最も深刻であり、組織がそれらに対処しない場合、運用の許可は付与されません。これに対する唯一の例外は、システムが重要な場合、またはシステムの使用に失敗するとミッションが失敗する可能性がある場合です。これらは、生命の損失、施設の損傷、またはミッションの失敗につながる可能性がある脆弱性です。

カテゴリーIの弱点は、分類されたデータまたは施設への不正アクセスを許可する可能性があり、ミッションの失敗につながる可能性のあるサービス拒否またはアクセスにつながる可能性もあります。適切な指定認定機関によって承認されていないシステム、またはDAAによって受け入れられると見なされる使用のリスクがないシステムもこのカテゴリに分類されます。

カテゴリーII

悪用により機密性、可用性、または整合性が失われる可能性がある脆弱性。

通常は軽減できるため、対処されていないカテゴリIIのリスクについては、運用許可がまだ付与されている可能性があります。このカテゴリのリスクは、カテゴリIの脆弱性につながり、人身傷害または機器または施設の損傷をもたらし、ミッションを低下させる可能性があります。これらのリスクは、不正アクセスを許可し、機密情報、データ、または資料の損失または侵害につながる可能性があります。また、カテゴリIIの弱点は、システムの中断につながる可能性があり、システムの誤動作からの回復に必要な時間を延長する可能性があります。

カテゴリーIII

存在すると、機密性、可用性、または整合性の損失から保護する手段が低下します。

カテゴリーIIIのリスクは、全体的なセキュリティを改善するために対処できるものですが、組織が運営許可を与えられることを妨げるものではありません。このタイプのリスクは、カテゴリIIの脆弱性または停止からの回復の遅延につながる可能性があり、データおよび情報の正確性にも影響を与える可能性があります。カテゴリIIIの脆弱性により、ミッション機能に関係のないアプリケーションの実行が可能になり、セキュリティ管理の改善が必要になる可能性があります。
場合によっては、DISAは、ソフトウェア開発の場合など、より具体的な脆弱性の分類を発行します。これらの分類を以下に示します。
攻撃者がマシンに即座にアクセスできるようにする、スーパーユーザーアクセスを許可する、またはファイアウォールをバイパスするカテゴリIの脆弱性。
侵入者にアクセスする可能性が高い情報を提供するカテゴリーIIの脆弱性。
潜在的に侵害につながる可能性のある情報を提供するカテゴリIIIの脆弱性。

ただし、標準はかなり似ています。カテゴリーIのリスクは最も深刻であり、カテゴリーIIおよびIIIのリスクは通常、運用許可の拒否にはつながりません。