等級保護のコンプライアンス要件を満たす必要がある場合、システム構成のリスクに対処する場合、または弱いパスワードを検出する場合は、ベースラインリスクチェック機能を使用して、サーバーのオペレーティングシステム、データベース、ミドルウェア、コンテナ構成のセキュリティチェックを実行できます。本トピックでは、この機能の基本情報、使用方法、一般的なリスク項目の修復策について説明します。
エディションと課金
Security Center の有料エディションは、ベースラインリスクチェック機能に対応しています。
エディション | 説明 | 課金 |
Anti-Virus edition と付加価値サービス | このエディションでベースラインリスクチェック機能を使用するには、有料のクラウドセキュリティ態勢管理 (CSPM) 機能を有効にする必要があります。このエディションでは、一部のチェック項目のみがサポートされます。チェック項目を使用すると、CSPM クォータが消費されます。 | 有料のクラウドセキュリティ態勢管理機能を有効にした場合、課金の詳細については、「CSPM の有料利用」をご参照ください。 |
Advanced edition と Enterprise edition |
| 追加料金は不要です。 |
Ultimate edition | すべてのベースラインリスクチェック項目に対応しています。 | 追加料金は不要です。 |
メリット
等級保護コンプライアンス
MLPS レベル 2、MLPS レベル 3、および国際的に認められたセキュリティのベストプラクティスベースラインをサポートし、さまざまなコンプライアンスおよび規制要件に対応します。
包括的な検出
脆弱なパスワードの検出、不正アクセスの検出、既知の安全でない設定の検出、および設定のレッドライン検査をサポートし、30 以上のシステムバージョンと 20 種類以上のデータベースおよびミドルウェアに対応します。
柔軟な設定
カスタムセキュリティポリシー、チェックサイクル、検査範囲をサポートし、さまざまなビジネスのセキュリティ設定ニーズに対応します。
詳細な修復計画
チェック項目では修復を提案し、ワンクリックでの修復をサポートすることで、ベースラインのハードニングを迅速に完了し、等級保護要件を満たすことができます。
ワークフロー
機能の有効化: Enterprise Edition または Ultimate Edition を購入するか、有料の Cloud Security Posture Management (CSPM) 機能を有効にすることで、すべてのチェック項目を使用できます。詳細については、「ベースラインリスクチェック機能の有効化」をご参照ください。
エージェントのインストール: サーバーに Security Center エージェントをインストールします。コンソールは 1 分ごとにアセット情報を自動的に同期します。インストール手順については、「エージェントのインストール」をご参照ください。Alibaba Cloud 以外のサーバーをチェックするには、まずアセットを Security Center に接続する必要があります。詳細については、「マルチクラウドのアセットの追加」をご参照ください。
チェックポリシーの設定: デフォルトポリシーには一部のベースラインタイプのみが含まれています。ビジネスニーズに基づいて、より多くのチェック項目とポリシーを設定できます。詳細については、「チェックポリシーの設定」をご参照ください。
チェックの実行: ポリシーを選択して手動で実行するか、ポリシーのスケジュールに基づいてシステムが自動的にスキャンするのを待ちます。詳細については、「ベースラインチェックポリシーの実行」をご参照ください。
結果の表示: コンソールでリスクのあるチェック項目、影響を受けるアセット、および修復の提案を表示します。詳細については、「ベースラインチェック結果と提案の表示」をご参照ください。
修復と検証: 提案に基づいてリスクを修復し、検証を完了することで、チェック項目が [Passed] と表示されることを確認します。詳細については、「失敗したベースラインリスク項目への対処」をご参照ください。
機能の説明
ベースラインチェック機能は、さまざまなチェックポリシーを使用してサーバーを一括スキャンし、システム、アカウント権限、データベース、弱いパスワード、MLPS コンプライアンス設定のリスクを特定します。修復の提案とワンクリック修復を提供します。チェック内容の詳細については、「ベースラインチェックの内容」をご参照ください。
基本概念
用語 | 説明 |
ベースライン | ベースラインとは、ベストプラクティスとコンプライアンス要件に基づいた、オペレーティングシステム、データベース、ミドルウェアのセキュリティ設定のレッドライン基準を指します。チェック対象には、弱いパスワード、アカウント権限、ID 認証、パスワードポリシー、アクセス制御、セキュリティ監査、侵入防止などが含まれます。 |
弱いパスワード | 弱いパスワードとは、容易に推測されたり、ブルートフォース攻撃されたりする可能性のあるパスワードのことです。一般的に、8 文字未満または 3 種類未満の文字種で構成される単純なパスワードや、一般公開されている、あるいはマルウェアベースのハッカー辞書に含まれるパスワードが該当します。弱いパスワードは容易に解読されます。攻撃者に取得された場合、システムへの直接ログイン、ウェブサイトのコードの読み取り、さらには改ざんに使用される可能性があります。弱いパスワードを使用すると、システムやサービスが重大なリスクに晒されます。 |
ベースラインポリシー
ポリシーとは、ベースラインチェックのルールの集合であり、ベースラインチェックを実行する際の基本単位です。Security Center は、デフォルトポリシー、標準ポリシー、カスタムポリシーの 3 種類のポリシーを提供します。
ポリシータイプ | サポートされるベースラインチェック項目の種類 | 適用シナリオ |
デフォルトポリシー | 以下のベースラインタイプをサポートしています:
| システムデフォルトのベースラインチェックポリシーです。チェックの実行時間帯と対象サーバーのみ編集できます。Advanced Edition、Enterprise Edition、または Ultimate Edition を購入すると、システムは 1 日おきに、指定された時間帯 (デフォルトは 00:00~06:00) に、お使いの Alibaba Cloud アカウント配下のすべてのアセットをチェックします。 |
標準ポリシー | 以下のベースラインタイプをサポートしています:
| デフォルトポリシーと比較すると、MLPS コンプライアンスと国際的に認められたセキュリティのベストプラクティスのチェックタイプが追加されています。また、すべてのポリシー設定項目を編集できます。 ビジネスシナリオに基づいてベースラインチェックポリシーを設定できます。 |
カスタムポリシー | 以下のカスタム OS ベースラインタイプをサポートしています:
| カスタム OS ベースラインに照らして、アセット設定のリスクをチェックします。 チェック項目をカスタマイズし、一部のベースラインパラメータを変更することで、ビジネスシナリオにより適合させることができます。 |
サポート対象サーバー
Security Center は、エージェントがインストールされており、ステータスが正常なサーバーのベースラインチェックをサポートしています。ポリシーを設定する際、サーバーグループを使用してスコープを選択できます。サーバーのオンボーディング方法については、「エージェントのインストール」および「サーバーの管理」をご参照ください。
リスクレベル
Security Center は、リスクタイプの重大度と適用シナリオに基づいてリスクを分類します。
リスクレベル | ベースラインカテゴリ | 説明 | 修復 |
高 |
| このベースラインリスクタイプは侵入リスクをもたらすため、「高」に分類されます。 | 緊急の修復が必要です。弱いパスワードがインターネットに公開されると、システムへの侵入やデータ侵害につながる可能性があるため、これを防ぐ必要があります。 |
| 侵入リスクはありませんが、これは設定のレッドライン検査であるため、「高」リスクに分類されます。 | 重要なセキュリティ強化項目です。速やかに修復してください。セキュリティのベストプラクティスに基づく強化は、設定の弱点が悪用されるリスクや設定変更のリスクを低減します。 | |
カスタムベースライン | お客様固有のセキュリティイベントに関連します。これは設定のレッドライン検査であるため、「高」リスクに分類されます。 | ユーザー定義のセキュリティ強化項目です。修復を推奨します。セキュリティのベストプラクティスに基づく強化は、設定の弱点が悪用されるリスクや設定変更のリスクを低減します。 | |
中 |
| コンプライアンスリスクは、コンプライアンス要件の有無に基づき、チェックおよび修復されます。侵入リスクはなく、設定のレッドライン検査でもないため、「中」リスクに分類されます。 | ビジネスにコンプライアンス要件があるかどうかに基づいて修復してください。 |
修復方法
Security Center は、リスクのあるチェック項目について、システムのセキュリティを強化するための修復案を提示します。
手動での修復:影響を受けるサーバーにログオンし、対応する設定を変更してから、セキュリティセンターで [検証] をクリックします。
ワンクリック修復: Security Center は、一部のベースラインチェック項目に対するワンクリックでの修正をサポートしています。チェック項目がこれをサポートしているかどうかは、リスク項目パネルに [修正] ボタンが表示されるかどうかで判断できます。詳細については、「ベースラインリスク項目の表示と処理」をご参照ください。
ベースラインチェックの内容
ベースラインカテゴリ
ベースラインカテゴリ | チェック基準と内容 | 対象システムとサービス | 修復の緊急度 |
弱いパスワード | 弱いパスワードは、ブルートフォース以外の方法で検出します。ブルートフォース攻撃によるアカウントロックアウトを回避し、通常の業務運用への影響を防止します。 説明 弱いパスワードの検出では、システムから読み取ったハッシュ値と、弱いパスワード辞書から計算したハッシュを比較します。ハッシュ値の読み取りを回避するには、ベースラインチェックポリシーから弱いパスワードのベースラインを削除してください。 |
| 緊急の修復が必要です。弱いパスワードがインターネットに公開されないようにし、システム侵入やデータ侵害につながるリスクを防止します。 |
不正アクセス | 不正アクセスのベースラインです。サービスに不正アクセスのリスクがあるかどうかを検出し、侵入やデータ侵害を防止します。 | Memcached、Elasticsearch、Docker、CouchDB、ZooKeeper、Jenkins、Hadoop、Tomcat、Redis、Jboss、ActiveMQ、RabbitMQ、OpenLDAP、rsync、MongoDB、PostgreSQL | |
セキュリティのベストプラクティス | Alibaba Cloud 標準 Alibaba Cloud のセキュリティのベストプラクティス標準に基づき、アカウント権限、アイデンティティ認証、パスワードポリシー、アクセス制御、セキュリティ監査、および侵入防止に関するセキュリティ設定のリスクを検出します。 |
| 重要なセキュリティ強化項目です。修復を推奨します。セキュリティのベストプラクティスに基づいて強化することで、設定の弱点が悪用されるリスクと、構成変更に伴うリスクを低減できます。 |
コンテナセキュリティ | Alibaba Cloud 標準 Alibaba Cloud のコンテナセキュリティのベストプラクティスに基づき、Kubernetes のマスターとノードの設定リスクをチェックします。 |
| |
MLPS コンプライアンス | MLPS レベル 2 およびレベル 3 のコンプライアンス サーバーセキュリティの MLPS ベースラインに基づき、権威ある評価機関によるセキュリティコンピューティング環境の評価基準および要件に準拠しています。 |
| ビジネスでコンプライアンス要件が必要かどうかに応じて修復してください。 |
国際的に認知されたセキュリティのベストプラクティス | 国際的に認知されたセキュリティのベストプラクティスに基づくオペレーティングシステムのセキュリティベースラインチェックです。 |
| ビジネスでコンプライアンス要件が必要かどうかに応じて修復してください。 |
カスタムベースライン | CentOS Linux 7 のカスタムベースラインに対応しています。ベースラインチェックポリシーでチェック項目を編集して、カスタムのセキュリティ強化項目を定義できます。 | CentOS 7、CentOS 6、Windows Server 2022、2012 R2、2016、2019、2008 R2 | ユーザー定義のセキュリティ強化項目です。修復を推奨します。セキュリティのベストプラクティスに基づいて強化することで、設定の弱点が悪用されるリスクと、構成変更に伴うリスクを低減できます。 |
ベースラインチェック項目
次の表は、 Security Center が提供するベースラインチェック項目の一覧です。
パスワードセキュリティのベストプラクティス
ベースラインチェック機能は、脆弱なパスワードのリスクを検出できます。脆弱なパスワードが発見された場合、以下のベストプラクティスを参考にパスワードの複雑さに関するポリシーを設定し、サーバーのセキュリティを向上させることができます。
パスワードの複雑さの要件
安全なパスワードは、以下の要件を満たす必要があります:
長さは 8 文字以上であること。12 文字以上を推奨します。
大文字 (A~Z)、小文字 (a~z)、数字 (0~9)、特殊文字 (例:!@#$%^&*) のうち、少なくとも 3 種類以上の文字を含むこと。
ユーザー名、誕生日、電話番号などの個人情報をパスワードとして使用しないこと。一般的な辞書に載っているパスワード (例:admin123、password など) の使用を避けること。
システムやサービスごとに異なるパスワードを使用すること。複数の場所で同じパスワードを再利用しないこと。
Linux システムのパスワードポリシー設定
Linux システムでは、Pluggable Authentication Modules (PAM) の設定を変更することで、パスワードの複雑さに関するポリシーを設定できます:
PAM のパスワード設定を編集します。CentOS/Red Hat では、
/etc/security/pwquality.confファイルを編集するか、authconfigコマンドを使用します:authconfig --passminlen=8 --passminclass=3 --update/etc/login.defsファイルを編集し、以下のパラメーターを設定することで、パスワードの有効期限ポリシーを設定します:PASS_MAX_DAYS:パスワードを使用できる最大日数。90 日を推奨します。PASS_MIN_DAYS:パスワード変更間の最小日数。0 日を推奨します。PASS_WARN_AGE:パスワードの有効期限が切れる前に警告する日数。7 日を推奨します。
パスワードを変更するには、
passwdコマンドを使用します:passwd username
PAM の設定方法は、Linux ディストリビューションによって異なる場合があります。実際の環境に合わせて調整してください。パスワードポリシーを変更する前に、既存のビジネスオペレーションに影響がないことを確認してください。
Windows システムのパスワードポリシー設定
Windows システムでは、ローカルセキュリティポリシーまたはグループポリシーを使用してパスワードの複雑さを設定できます:
[ローカル セキュリティ ポリシー](secpol.msc) を開きます。[アカウント ポリシー]>[パスワードのポリシー]に移動します。以下のポリシー項目を設定します:
パスワードは、複雑さの要件を満たす必要がある:
[有効]に設定します。[パスワードの長さの最小値]:8 文字以上に設定します。
[パスワードの有効期間 (最大)]:90 日に設定します。
[パスワードの有効期間 (最小)]:0 日に設定します。
[パスワードの履歴を記録する]:ユーザーが古いパスワードを再利用できないように、5 以上に設定します。
サーバーがドメインに参加している場合、パスワードポリシーはドメインコントローラーによって一元管理されます。ドメインコントローラーでグループポリシーオブジェクト (GPO) を設定してください。
一般的なセキュリティ推奨事項
パスワード漏洩のリスクを低減するために、サーバーや各種サービスのパスワードを定期的に変更してください。
SSH リモートログインには、パスワード認証の代わりにキーベース認証を使用することを推奨します。
Security Center のベースラインチェック機能を使用して、定期的に脆弱なパスワードをスキャンし、パスワードセキュリティのリスクを迅速に特定して修復してください。
脆弱なパスワードのアラートが検出された場合は、できるだけ早く複雑さの要件を満たす強力なパスワードに変更し、異常なログインアクティビティがないか確認してください。