何でも屋: セキュリティ設定のベースラインを自動化する

Greg Shields

私は以前、"ベースラインの女王" と呼ばれる上司のもとで働いたことがあります。彼女の主な仕事は、承認された変更しか行われない衛星システムの地上局で使用するコードを記述する何百人もの開発者のデスクトップを保護することでした。

当時は、デスクトップ構成を自動的に監視するテクノロジがなかったので、簡単な作業ではありませんでした。彼女は任務を適切に果たしていましたが、彼女の構成ベースラインを維持するには、あらゆる技術上のソリューションと同じくらい周囲からのプレッシャーが必要でした。"女王" は、定期的に会議に出席して、構成ベースラインへの変更を防ぎ、また、適切なソフトウェアと設定のみが是認されるように圧力を掛けました。

彼女が、ここまで熱狂的に "ベースライン" に専心したのは、安定性が高くきちんと立証された環境を衛星システムの所有者である顧客に提供するためでした。おわかりのように、この顧客は、10 億ドルの衛星を打ち上げた数年後に、その処理の一部が未承認のソフトウェアで記述されていたことが発覚するという事態を避ける必要がありました。また、知らないうちに不適切なコードが衛星のオペレーティング システムに侵入することがないようにしたいという要望にも対応する必要がありました。

ベースラインを制御するには、構成を制御する

10 億ドルの衛星システムの正常性や良好状態を管理している人は、ごく少数でしょうが、不適切なコードが自分たちのネットワークに侵入すると生じる問題については認識しています。たいていの場合、そのようなコードは、攻撃を通じて侵入し、なんらかのマルウェアによって増殖します。セキュリティ ホールは、セキュリティ更新プログラムを適用していない可能性がある、適切に構成されていないデスクトップが原因で発生する場合があります。

私たちのような管理者でさえ、ときどき更新プログラムを見逃すことがあります。セキュリティ ホールを放置したり、製造元や管理機関から公開されている、最近の推奨されるセキュリティ更新プログラムを見逃したりすることは起こり得ます。このように見落とされたセキュリティ構成の更新プログラムによって問題が発生する可能性があり、コンピューティング環境のセキュリティが脆弱になります。ユーザーがコンピューティング環境を操作できなくなったり、次回のセキュリティ監査や遵守状況の監査に失敗する可能性が生じる場合があります。

このような理由から、マイクロソフトは、コンピューターの設定を一元的に構成できるツールの強化に継続的に取り組んでいます。Active Directory からセキュリティ ポリシーを適用する簡単なソリューションが、グループ ポリシーとグループ ポリシーの基本設定によって、長い間提供されてきましたが、必要な構成管理 (DCM) 機能のある System Center Configuration Manager (SCCM) は、その一歩先を行くツールです。

構成管理ソフトウェアを開発するサードパーティも非常に多くあります。通常、そのようなソフトウェアには、全体的に変更を加えたり、構成がベースラインから逸脱したときに通知したりする機能があります。米国政府が独自に開発したセキュリティ ポリシーのプロトコルは、こうした活動の中心となるものです。Security Content Automation Protocol (セキュリティ設定共通化手順、SCAP) は、ネットワークに接続しているコンピューターのセキュリティ設定を作成、配布、および検証するフレームワークを提供する、賢く設計されたプロトコルです。

この一覧には、SCAP をサポートするサードパーティ製のソリューションが数多く掲載されています。これらのソリューションでは、マイクロソフトのソリューションと同様に、承認されたセキュリティ設定でデータベースをインポートできるプラットフォームが作成されます。これらのプラットフォームの多くには、不適切な設定を自動的に "修正" する方法が用意されているので、お使いの環境をすばやくベースラインに準拠させられます。

制御するには知識が必要

実際に不適切な構成を修正するには、まず不適切な構成を特定する必要があります。グループ ポリシーや DCM などのツールによって、ベースラインの設定を適用する自動化プラットフォームは提供されますが、その設定がどのように構成される必要があるかを視覚化できるとは限りません。また、GPO の設定を一覧表示するレポートを作成できても、そのようなレポートがセキュリティのニーズに必ずしも一致するとは限りません。

適切な設定を適用するためには、ある程度の視覚化が必要です。また、簡単にセキュリティ ベースラインの設定を表示して確認できることも必要です。それから、セキュリティ ベースラインを適用する構成のうち、どれが適合するかを知る必要もあります。また、セキュリティ ポリシーの内容を別のセキュリティ ポリシーの内容と比較するメカニズムがあれば、社内のセキュリティ ベースラインを、相互に比較したり、またはマイクロソフトや外部の管理機関が提供しているベースラインと比較することなどが可能です。

このジレンマは、最近リリースされた Microsoft Security Compliance Manager を使用することで解決できます。この比較的軽量なツールは、ポリシーを適用するソリューションとして使用する目的で開発されたものではありませんが、ベースライン構成の確認、ベースラインの編集、ベースラインの比較やレポート作成など、セキュリティ ベースラインの管理と関連する "その他" すべての管理タスクを行うのに、たいへん便利なツールです。マイクロソフトが提供する Solution Accelerator としてパッケージ化されているこの無償のツールを使用すると、ベースラインの管理に関連するすべてのタスクを完了できます。

Microsoft Security Compliance Manager のダッシュボード

図 1 は、Security Compliance Manager のダッシュボードです。ここでは、Internet Explorer、Windows 7、Microsoft Office、Windows Server などの製品の一般的なセキュリティ ベースラインをいくつか確認することができます。このベースラインやベースラインの内容は、どこかで見たことがあるのではないでしょうか。これは、"Windows 7 Security Guide" や "Windows Server 2008 Attack Surface Reference" などに相当する、以前の OS 向けのドキュメントに掲載されていたものと同じです。

ベースライン内の設定グループ

図 2 ベースライン内の設定グループ

Microsoft Security Compliance Manager の真骨頂は、セキュリティ ベースラインを視覚化できる点にあります。図 1 を拡大した図 2 をご覧ください。Win7-EC-Desktop 1.0 のセキュリティ ベースラインです。これは、Windows 7 のエンタープライズ クライアントにおけるセキュリティの推奨事項を表しています。また、グループ ポリシーで制御するさまざまな構成の変更が含まれています。

個々のベースライン構成

図 3 個々のベースライン構成

図 2 のいずれかの設定グループをクリックすると、ローカル ポリシー\セキュリティ オプションにある、個々のベースライン構成の一覧が表示されます (図 3 参照)。マイクロソフトの推奨設定の左側には、既定の設定が表示されています。右側の列には、お使いの環境に合わせてカスタマイズするためにベースラインに加えた変更がすべて表示されます。

カスタマイズ、比較、および展開

このようなカスタマイズによって、既定の推奨事項を独自のニーズに合わせるという、より困難なセキュリティ ポリシーの管理作業が可能になります。皆さんは、マイクロソフトの推奨事項 (または、政府機関による推奨事項) が、お使いの環境のニーズと必ずしも一致していないことにはお気付きでしょう。マイクロソフトが規定したポリシーによって、お使いの環境において常に開いておく必要があるファイアウォール ポートが閉じられたり、お使いの環境における監査の要件が既定のベースラインよりも厳格な場合もあります。いずれにしても、既定のベースラインと必要なベースライン間の差異を管理するのは難しい問題です。

ベースラインのセキュリティ設定の編集

図 4 ベースラインのセキュリティ設定の編集

Microsoft Security Compliance Manager は、このような差異を管理するのに役立ちます。インポートした任意のベースラインを右クリックして、[Customize] (カスタマイズ) をポイントし、[Duplicate] (複製) をクリックすると、ニーズに合わせて編集できる標準のベースラインのコピーが作成されます。この編集可能なコピーで [Settings] (設定) をクリックし、[Definition] (定義) タブをクリックすると、ポリシーをカスタマイズできます (図 4 参照)。

2 つのポリシーの比較

図 5 2 つのポリシーの比較

ポリシーをカスタマイズしたら、カスタマイズしたポリシーと別のポリシーを比較できます。これには、ポリシーを右クリックし、[Manage] (管理) をポイントして、[Compare] (比較) をクリックします。次の画面で、カスタマイズしたポリシーと比較する別のポリシーを選択します。比較が完了すると、図 5 のような画面が表示されます。ここでは、Contoso.com のベースラインに、マイクロソフトが規定した Win7-EC-Desktop ベースラインと異なるポリシー設定が 1 つあることがわかります。

カスタマイズが完了したら、このツールのインターフェイスを使用して、ポリシーを読み取り専用にして設定を維持し、発行することが可能です。ポリシーを展開する準備ができたら、グループ ポリシー、DCM、または米国政府が開発した SCAP プロトコルがサポートされているツールでインポートできるファイル形式でポリシーをエクスポートします。

この小さいながらも優秀なフリーウェア ツールは、ときどき複雑になるセキュリティ ベースライン管理において、たいへん役立ちます。ポリシーの適用を管理するようには設計されていませんが (これを行うのは SCCM、グループ ポリシー、サードパーティ製のソリューションなどの別のソリューションです)、展開する必要があるベースラインを視覚化、編集、および比較するのに便利な作業領域が提供されます。

このツールで、あの仕事以来、例の上司と話していないことを思い出しました。ベースラインを完全に適用するテクノロジも引けを取らない昨今、彼女がベースラインをどのように管理しているのか近況を知りたいものです。

Greg Shields

Greg Shields (MVP) は、Concentrated Technology の共同経営者です。何でも屋である IT プロフェッショナル向けのヒントとテクニックについては、ConcentratedTech.com (英語) を参照してください。

関連コンテンツ