すべてのプロダクト
Search

このプロダクト

    Security Center:システムベースラインリスクに関する FAQ

    ドキュメントセンター

    Security Center:システムベースラインリスクに関する FAQ

    最終更新日:Jun 13, 2025

    このトピックでは、システムベースラインリスクに関するよくある質問への回答を提供します。

    ベースラインチェックを使用するには、Security Center のどのエディションが必要ですか?

    • ベースラインリスクチェックを無料で利用するには、Security Center の Advanced、Enterprise、または Ultimate エディションをご購入ください。各エディションでサポートされるベースラインチェック項目は異なります。

      • Advanced:デフォルトポリシーと弱いパスワードのベースラインのみをサポートします。

      • Enterprise および Ultimate:どちらもすべてのチェックポリシーをサポートします。Enterprise エディションにはコンテナセキュリティチェック項目は含まれていませんが、Ultimate エディションはすべてのチェック項目をサポートしています。 どちらのエディションも、Alibaba Cloud 標準または多層防御スキーム (MLPS) 標準に基づいて、Linux サーバーで検出されたベースラインリスクの迅速な修正を可能にします。

    • Anti-virus エディションのユーザーと付加価値プランをお持ちのユーザーは、クラウドセキュリティポスチャ管理 (CSPM) 機能を購入することで、ベースラインチェックを有効にすることができます。 CSPM を購入すると、すべてのベースラインチェック項目にアクセスできるようになります。

    詳細については、「ベースラインチェックをアクティブにする」をご参照ください。

    Security Center が修正済みのベースラインリスクの検証に失敗した場合はどうすればよいですか?

    Security Center エージェントがオフラインになっているため、Security Center が修正済みのベースラインリスクの検証に失敗することがあります。

    エージェントがオフラインの場合は、Security Center エージェントがオフラインになっている理由のトラブルシューティングを行うことをお勧めします。

    ベースラインと脆弱性の違いは何ですか?

    • ベースラインは、サービスとアプリケーションの構成、オペレーティングシステムの設定、権限の設定、システム管理ルールなど、システム構成と管理の最小限のセキュリティ要件を定義します。

      Security Center のベースラインチェック機能は、弱いパスワード、アカウント権限、身元認証、パスワードポリシー、アクセスの制御、セキュリティ監査、侵入防止など、さまざまなセキュリティ構成を評価します。 また、検出されたベースラインリスクに基づいて、セキュリティを強化するための推奨事項も提供します。

    • 脆弱性は、オペレーティングシステムまたはセキュリティポリシーの欠陥です。 これらには、ソフトウェアまたはアプリケーションの設計上の欠陥や、開発中に発生するエラーが含まれます。 攻撃者はこれらの欠陥を悪用して、システムデータにアクセス、盗難、または損害を与える可能性があります。

      資産を保護するために、検出された脆弱性をできるだけ早く修正することをお勧めします。

    ワンクリック修正と検証後も、チェック項目「各ユーザーに一意のユーザー ID があり、単純なパスワードを使用せず、定期的にパスワードを変更していることを確認する」が失敗するのはなぜですか?

    原因:ワンクリック修正中に、下の図に示すように、関連する 2 つの項目が修正対象として選択されていませんでした。 その結果、2 つの項目は修正されないままであり、チェック項目の失敗につながります。

    image

    解決策:資産がパスワード以外のログイン方法を使用している場合、Security Center でワンクリック修正を実行することはできません。 他の構成項目が修正されていることを確認した後、これらの資産でこのチェック項目のホワイトリストポリシーを構成できます。

    image

    チェック項目「各ユーザーにアカウントと権限を割り当てる」が失敗するのはなぜですか?

    • 問題:チェック項目「各ユーザーにアカウントと権限を割り当てる」の [ステータス][不合格] です。

      image

      home ディレクトリの権限、ユーザー数、umask 値を含むホスト構成を次の図に示します。 この構成は、「各ユーザーにアカウントと権限を割り当てる」チェック項目の修正候補と一致しています。

      image

    • 解決策: 次のコマンドを実行して、umask 値と、ベースラインチェックによって検出された管理者アカウントを除くアカウント数を確認します。

      grep umask /etc/bashrc |grep -v '#'|awk -F ' ' '{print $2}'|sort -r|head -1
grep umask /etc/profile |grep -v '#'|awk -F ' ' '{print $2}'|sort -r|head -1

cat /etc/passwd | egrep -v '(root|halt|sync|shutdown)' | awk -F: '($7!="/bin/false"&&$7!="/sbin/nologin"&&$7!="/usr/sbin/nologin"&&$6!="/var/lib/libuuid"&&$6!="") { print $6 }' |wc -l

      下の図に示すように、ベースラインチェックでは、管理者アカウント以外の 2 つのアカウントが検出されています。これは、このチェック項目の修正候補に準拠していません。

      imageこれを解決するには、修正候補に従ってホストに管理者以外のユーザーを追加し、Security Center でこのチェック項目を再度検証します。

    ベースラインチェックポリシーを作成するときに「不正な認証」エラーが表示されるのはなぜですか?

    次の表に、考えられる原因と解決策を示します。

    原因

    解決策

    ベースラインチェック機能を有効にすると、新しい注文がすぐに有効にならない場合があり、ベースラインチェックポリシーを作成できません。

    後でもう一度お試しください。

    使用している Security Center インスタンスの期限が切れているため、ベースラインチェックポリシーを構成できません。

    Security Center のサブスクリプションを更新する

    [MLPS 準拠] MLPS レベル 2 の Windows ベースラインチェックで「不要なシステムサービス、デフォルトの共有、および高リスクポートをオフにする必要があります」というプロンプトが表示されるのはなぜですか?

    • 問題:一部のユーザーは、ファイアウォールまたはセキュリティグループを使用して特定のポートをブロックしているにもかかわらず、MLPS レベル 2 の Windows ベースラインチェック中に「不要なシステムサービス、デフォルトの共有、および高リスクポートをオフにする必要があります」というプロンプトが表示される場合があります。

    • 原因:特定のポートに対応するサービスがアクティブなままであるため、ベースラインチェックでこれらのオープンポートと関連するサービスが検出されます。

    • 解決策:インスタンスにログオンし、次のポートのサービスを無効にします。 以下の例では、Windows 10 ( 64 ビット) オペレーティングシステムを使用しています。

      ポート 135

      1. Windows + R キーを押し、dcomcnfg と入力し、[OK] をクリックして、[コンポーネントサービス] ダイアログボックスを開きます。

      2. 左側のナビゲーションバーで、[コンポーネント サービス] > [コンピューター] > [マイ コンピューター] をクリックし、右クリックして、[プロパティ] をクリックします。プロパティ

      3. 表示されるダイアログボックスで、[デフォルトのプロパティ] タブをクリックし、[このコンピューターで分散 COM を有効にする (E)] をオフにします。

      4. [デフォルトのプロトコル] タブをクリックし、[接続ベースの TCP/IP] を選択して、[削除] をクリックします。

      5. [OK] をクリックします。

      ポート 136、137、および 138

      1. Windows + S キーを押し、検索ボックスに「コントロール パネル」と入力し、[コントロール パネル] をクリックします。

      2. [コントロール パネル] ダイアログボックスで、[ネットワークとインターネット] をクリックします。

      3. [ネットワークと共有センター] をクリックし、接続されているネットワークをクリックします。

      4. 表示されるダイアログボックスで、[プロパティ] をクリックします。

      5. 表示されるダイアログボックスで、[Microsoft ネットワーク用ファイルとプリンターの共有][Microsoft ネットワーク用クライアント] をオフにします。

      6. [OK] をクリックし、開いたダイアログボックスを閉じます。

      ポート 139

      1. Windows + S キーを押し、検索ボックスに「コントロール パネル」と入力し、[コントロール パネル] をクリックします。

      2. [コントロール パネル] ダイアログボックスで、[ネットワークとインターネット] をクリックします。

      3. [ネットワークと共有センター] をクリックし、左側の [アダプターの設定の変更] をクリックします。

      4. 表示されるダイアログボックスで、使用しているネットワーク (たとえば、イーサネット) を右クリックし、[プロパティ] をクリックします。

      5. 表示されるダイアログボックスで、[インターネット プロトコル バージョン 4 (TCP/IPv4)] をダブルクリックします。

      6. 表示されるダイアログボックスで、[詳細設定] をクリックし、[WINS] タブに切り替えます。

      7. [TCP/IP 上の NetBIOS を無効にする] を選択し、[OK] をクリックします。

      8. もう一度 [OK] をクリックし、すべてのダイアログボックスを閉じます。

      ポート 445

      1. Windows + R キーを押し、regedit と入力し、[OK] をクリックして [レジストリエディター] ダイアログボックスを開きます。

      2. 左側のナビゲーションバーで、[コンピューター] > [HKEY_LOCAL_MACHINE] > [SYSTEM] > [CurrentControlSet] > [Services] > [NetBT] > [Parameters] をクリックし、[Parameters] を右クリックします。

      3. [新規] > [文字列値] をクリックし、値の名前として SMBDeviceEnabled と入力し、新しい値の名前をダブルクリックします。

      4. 表示されるダイアログボックスで、値のデータとして 0 と入力し、[OK] をクリックして、レジストリエディターを閉じます。

      5. Windows + R キーを押し、services.msc と入力して、[サービス] 管理ダイアログボックスを開きます。

      6. [Server] サービスを見つけてダブルクリックします。 表示されるダイアログボックスで、[スタートアップの種類][無効] を選択し、[サービスの状態][停止] に設定して、[適用] をクリックします。 ダイアログボックスを閉じます。