OS / ミドルウェアのセキュリティに関する設定について検討を行う際には、「セキュリティベースライン」として公開されている資料が参考になります。
私の場合、MS 製品に携わる機会が多く、Microsoft から提供されているドキュメントを起点としてベースラインの調査をすることがあります。
このような調査が必要となった場合に、どのような資料を参考すればよいかをまとめて追いたいと思います。
セキュリティベースラインについての資料
セキュリティベースライン
セキュリティベースラインを検討する際には次の資料が参考となります。
- セキュリティ ベースライン
- Azure Policy のセキュリティベースライン
これらのドキュメントでは具体的な設定も記載されており、どのような設定変更を行えば良いかについても確認ができます。
環境を Auzre で実行する場合には、Microsoft クラウド セキュリティ ベンチマーク も参考になります。
Azure での管理 / Azure の各種リソースの観点でセキュリティベースラインに触れられており、各設定 / リソースに対してでどのようなセキュリティを考慮すればよいのかを確認することができます。
これらの情報の他にもサービス / 機能でセキュリティベースラインが公開されているものがあるので、上記に含まれていない範囲の情報が必要となった場合には、個別の内容を確認してみるとよいのではないでしょうか。
CIS (Center for Internet Security) ベンチマーク
Microsoft で公開されているドキュメントには、CIS から公開されている CIS ベンチマークについても含まれています。
Azure Policy のセキュリティベースラインでは、CIS ベンチマークとのマッピングが行われており、該当の項目が CIS のどの項目とマッピングできるかについての情報が公開されています。
CIS は 18 のコントロールと 153 の具体的なセーフガードで構成されており、実際にどのような設定を行えばよいかは Download Our Free Benchmark PDFs から OS / ミドルウェアのドキュメントをダウンロードすることができるようになっています。
ドキュメント内の設定には次のような記載があり、設定の難易度を判断することができるようになっています。
- プロファイル: Level 1 / Level 2
- Level 1: サービスの中断や機能の低下をほとんど引き起こすことがない基本セキュリティ要件
- Level 2: 機能の低下を引き起こす可能性のある高度なセキュリティ要件
- 実装グループ (Implementation Groups: IG) : IG1 / IG2 / IG3
- IG1: 56 のセーフガードで構成され、すべての企業を対象とした情報セキュリティの一般的な基準
- IG2: IG1 を拡張し、追加で 74 のセーフガードで構成され、エンタープライズグレードの技術と専門知識が必要となる
- IG3: IG2 を拡張し、追加で 23 のセーフガードで構成され、セキュリティの専門家が必要となる
CIS ベンチマークでダウンロードできるドキュメントは Cloud Providers / Operating Systems / Server Software / Mobile Devices / Network Devices / Desktop Software / Multi Function Print Devices / DevSecOps Tools でカテゴライズされており、各製品 / サービスごとのドキュメントが提供されています。
Windows Server であれば、Server Software 内でドキュメントが提供されており、Windows Server 2003 ~ 2022 までドキュメントが公開されています。
SQL Server ベースの環境についても SQL Server 2008 ~ 2022 までドキュメントが公開されており、Cloud Providers の Microsoft Azure の中で、CIS Microsoft Azure Database Services Benchmark で、SQL Server ベースの Azure のサービスについても記載が行われています。