情報セキュリティ
最終更新日:2015年7月22日
独立行政法人 情報処理推進機構
セキュリティセンター
CCE(Common Configuration Enumeration)
~セキュリティ設定項目を識別するための共通の識別子~
共通セキュリティ設定一覧CCE(Common Configuration Enumeration)(*1)は、『設定上のセキュリティ問題』を解決するために、コンピュータのセキュリティ設定項目に一意の番号(設定項目識別子)を付与する仕様です。
CCEは、米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様SCAP(Security Content Automation Protocol)(*2)の構成要素のひとつです。米国政府の支援を受けた非営利団体のMITRE社(*3)が中心となり仕様策定を進めており、2007年8月に、Windows 2000、Windows XPとWindows Server 2003を対象とした533件のセキュリティ設定項目から構成された最初の原案が公開されました。2007年7月にリリースされたバージョン4.0では914件に拡大された後、2007年12月にリリースされたバージョン5以降、アプリケーション・プラットフォーム別にセキュリティ設定項目がまとめられるようになりました。
CCEでは、コンピュータのベースラインのセキュリティを確保するために必要となる設定項目を一覧として提供していますので、CCEは、セキュリティ設定項目に、問題のない設定が施されているかどうかをチェックするためのチェックリストとして使用することができます。また、ベンダ、セキュリティ専門家、管理者、ユーザ等の間で、アプリケーション・プラットフォーム毎のセキュリティ設定項目について共通の言葉で議論できるようになります。
本資料はMITRE社から2008年7月28日に公開されたCCE Creation Process、および2010年4月28日に公開されたCCEバージョン5.2対応のCCE Listを基に作成しました。詳細は、MITRE社のCCE Creation ProcessとCCE Listを参照して下さい。
共通セキュリティ設定一覧CCEでは、『設定上のセキュリティ問題』を解決するために、コンピュータのセキュリティ設定項目に一意の番号であるCCE識別番号を付与します。このCCE識別番号は、「CCE-番号-チェック番号」で構成されており、番号は任意に付与され、チェック番号はLuhnアルゴリズムを用いたCCE識別番号の検証用として付与されます。
セキュリティ設定項目については、CCE Working GroupがOSベンダと協力しながら、既存のセキュリティ設定ガイドや監査ツールを元に、セキュリティ設定項目の作成を行なっています。参照されているセキュリティ設定ガイドとしては、マイクロソフトのWindows Server 2008セキュリティガイド、Microsoft Office 2007セキュリティガイド、米国インターネット・セキュリティー・センター(CIS: Center for Internet Security)(*4)のベンチマーク資料、米国国立標準技術研究所(NIST: National Institute of Standards and Technology)(*5)のセキュリティ設定ガイド、米国国家安全保障局(NSA: National Security Agency)(*6)のセキュリティ設定ガイド、米国国防情報システム局(DISA: Defense Information Systems Agency)(*7)のセキュリティ技術の実装ガイドがあります。
セキュリティ設定項目には、ユーザの権限、パスワード設定を含む「監査とアカウントのポリシー」、サーバプログラムの稼働や権限設定を含む「ネットワーク・サービス」などがあります。例えば、Windows XPのパスワード設定に関連した項目には、パスワードの長さ(何文字以上など)、パスワードの有効期間、パスワードの履歴管理(同じパスワードを連続して使えない回数)があります。これら関連項目について、米国連邦政府共通デスクトップ基準(FDCC: Federal Desktop Core Configuration)、米国国防情報システム局(DISA)ならびに、マイクロソフトのセキュリティ設定ガイドで推奨されている値を表1に示します。
CCE-ID
|
セキュリティ設定項目
|
FDCC(*a)
|
DISA(*b)
|
マイクロソフト
(*c) |
---|---|---|---|---|
CCE-2981-9
|
パスワードの最低文字数設定
(パスワードの長さ) |
12文字以上
|
14文字以上
|
8文字以上
|
CCE-2920-7
|
パスワードの有効期間
|
60日以下
|
60日以下
|
90日以下
|
CCE-2994-2
|
パスワードの履歴管理
(同じパスワードを連続して使えない回数) |
24個以上
|
24個以上
|
24個以上
|
CCE-2439-8
|
パスワードの変更禁止期間
|
1日以上
|
1日以上
|
1日以上
|
CCE-2986-8
|
ログオンできなくなるまでのパスワード入力失敗回数(アカウントのロックアウトのしきい値)
|
5回以内
|
3回以内
|
50回以内
|
CCE-2466-1
|
パスワード入力失敗回数のリセットまでの期間
(ロックアウトカウントのリセット) |
15分以上
|
60分以上
|
15分以上
|
CCE-2928-0
|
ログオン不可状態からの復旧時間
(ロックアウト期間) |
15分以上
|
ロックアウト期間を永久
|
15分以上
|
CCE-2980-1
|
スクリーンセーバーが起動するまでの時間
(スクリーンセーバーのタイムアウト) |
15分以下
|
15分以下
|
-
|
CCE-4500-5
|
パスワード付きスクリーンセーバー
|
要設定
|
要設定
|
-
|
他のOS、例えば、Red Hat Enterprise Linux 5のパスワードに関連した項目には、項目数は異なるものの、パスワードの長さ(何文字以上など)、パスワードの有効期間があります。これら関連項目と、米国国家安全保障局(NSA)ならびに、米国インターネット・セキュリティー・センター(CIS)のセキュリティ設定ガイドで推奨されている値を表2に示します。
CCE-ID
|
セキュリティ設定項目
|
NSA(*d)
|
CIS(*e)
|
---|---|---|---|
CCE-4154-1
|
パスワードの最低文字数設定(パスワードの長さ)
|
8文字以上
|
9文字以上
|
CCE-4092-3
|
パスワードの有効期間
|
60日以下
|
90日以下
|
CCE-4180-6
|
パスワードの変更禁止期間
|
7日以上
|
7日以上
|
CCE-3410-8
|
ログオンできなくなるまでのパスワード入力失敗回数
(アカウントのロックアウトのしきい値) |
5回以内
|
3回以内
|
CCE-3315-9
|
スクリーンセーバーが起動するまでの時間
(スクリーンセーバーのタイムアウト) |
15分以下
|
-
|
CCE識別番号の割り当ては2006年から始まり、2010年4月末日現在(Ver. 5.20100428)、次に示すアプリケーション・プラットフォームを対象としたセキュリティ設定項目にCCE識別番号が割り当てられています。
セキュリティ設定項目に付与された一意の識別番号です。
割り当てられたCCE識別番号に関するセキュリティ設定項目の概要で、セキュリティを確保するために必要となる設定項目が、どのような項目であるかという内容が記載されています。
セキュリティ設定項目に、どのような値を設定するかが記載されています。CCE-2920-7(パスワードの有効期間)の場合、設定値が日数で指定されることを示しています。
セキュリティ設定項目の内容についての技術的なチェック方法について記載されています。CCE-2920-7(パスワードの有効期間)の場合、ローカル/グループポリシー設定を利用することでチェックできることを示しています。
セキュリティ設定項目に関連する参照ガイドの一覧です。Windows XPでは、DISA Gold Disk for Windows XP、NSA Windows XP Security Guide、CIS Windows XP Professional Benchmark、NIST 800-68: Guidance for Securing Microsoft Windows XP Systems for IT Professional、FDCC Windows XP、FDCC Windows XP Firewallを参照しています。 Red Hat Enterprise Linux 5では、Guide to the Secure Configuration of Red Hat Enterprise Linux 5を参照しています。
CCEで参照されている代表的なガイドは、セキュリティ設定のためのチェックリストやベンチマーク資料として、次に示す組織で整備されています。
米国連邦政府として整備しているセキュリティチェックリストのデータベースです。このリポジトリには、連邦政府共通デスクトップ基準(FDCC)が含まれています。この他にも、データベース(Oracle、Microsoft SQL Server、MySQL)、OS(Mac OX、Debian、FreeBSD、HP-UX、IBM AIX、OpenVMS、openSUSE、Red Hat、Solaris、Windowsなど)、Webサーバ(Apache、Microsoft IIS、WebLogic)、ウイルス対策ソフト、アプリケーション(Microsoft Office)、ブラウザ(IE)、ルータ(Cisco)、仮想環境(VMware、Xen)、DNS、プリンタ(HP LaserJet、Kyocera)などが用意されています。
米国国防情報システム局(DISA)が整備しているセキュリティチェックリストです。チェックリストとして、データベース(Oracle、Microsoft SQL Server)、OS(Windows、UNIX)、Webサーバ(Apache、Tomcat、Microsoft IIS、WebLogic)、ウイルス対策ソフト、バイオメトリックス、Bluetooth、無線、DNS、Storage Area Networkなどが用意されています。
米国国家安全保障局(NSA)が整備しているセキュリティチェックリストです。チェックリストとして、データベース(Oracle、Microsoft SQL Server)、OS(Mac OX、Linux、Windows、Solaris)、Webサーバ(Microsoft IIS)、ルータ、IPv6、VoIP、無線などが用意されています。
米国インターネット・セキュリティー・センター(CIS)が整備しているセキュリティチェックリストです。チェックリストとして、データベース(Oracle、Microsoft SQL Server、MySQL)、OS(Mac OX、FreeBSD、HP-UX、IBM AIX、Red Hat、Windowsなど)、Webサーバ(Apache、Microsoft IIS)、仮想環境(VMware、Xen)、無線などが用意されています。
マイクロソフトが整備しているセキュリティ設定ガイドです。Windows Vista、Windows XP以外にも、Microsoft Office 2007などのセキュリティ設定ガイドがあります。また、各種設定ガイドは、Windows環境のベースラインのセキュリティ設定を管理するために、Microsoft Security Compliance Managerとしてツール化されています。
IPA セキュリティセンター(IPA/ISEC)
2015年7月22日
参考情報を追加
2014年3月20日
参考情報を追加
2010年11月4日
パスワード編を公開しました。
2010年6月24日
掲載