クラウドインテグレーション部の池口です。
本記事は、Windows Serverの構築・運用に必要な最低限のセキュリティ知識を体系的に習得することを目的としたシリーズです。
Windowsクライアントについては本記事では対象外とします。
別記事で渡邊さんがLinux × Security設定の適正化編~ソフトウェア管理~を執筆しています。
Windowsでは公式で出版しているセキュリティ標準教科書はありませんが、
Microsoft LearnというMicrosoftが公式に提供している学習プラットフォームがあります。
本記事ではMicrosoft Learnの内容を踏まえて、Linuxセキュリティ標準教科書の
セキュリティチェック項目表に沿ってWindowsに置き換えるとどのような内容になるかを紹介していきます。
引用元:「Linuxセキュリティ標準教科書」 特定非営利活動法人エルピーアイジャパン p.13
1つ目は、Windows Update情報をチェックすることです。
脆弱性によるセキュリティの弱点を攻撃されることを防ぐために、定期的にアップデート情報をチェックする必要があります。
アップデート情報のあるサイトは以下3パターンに大別されます。
①Microsoftサポートの更新履歴
Windows Updateは一般的には「パッチ・チューズデー」と呼ばれる毎月第二火曜日にリリースされます。
※緊急の場合は上記の限りではありません。
更新履歴はOSバージョン毎にMicrosoft サポートコミュニティ にて公開されています。
②Microsoft製品およびソフトウェアの脆弱性サイト(JVN・jpcert・IPA…)
Microsoft Learn
JVN(JPCERT/CCと情報処理推進機構(IPA)が共同で管理している脆弱性情報データベース)
③開発者コミュニティサイト
Microsoft Developer
③開発者コミュニティサイト はセキュリティに特化したサイトではありませんが、
Microsoft製品に関して開発者から情報を得ることができます。
Microsoftは公式から提供されている開発者コミュニティサイトが豊富で、上記サイトはあくまでも一例です。
上記以外にも製品・開発言語ごとにコミュニティサイトが提供されています。
更新履歴、脆弱性を確認することに加えて、興味のあるコミュニティサイトを閲覧してみるのも良いと思います。
また、Microsoftでは、ソフトウェアに関しては随時脆弱性および更新情報を公開していますが、
OS部分に関しては基本的には以下のプロセスでパッチの公開に合わせて脆弱性および更新情報を公開しています。
※本記事では脆弱性窓口で報告を受領した際のプロセスを記載しています。
[脆弱性公表のプロセス]
※特定の条件を満たした場合、脆弱性報告者に保証金が支払われる場合もあるようです。
また、Linux同様、脆弱性は一般的にCVSSという評価手法を元に脆弱性の深刻度を定量的に評価します。
深刻度を評価するための基準およびそれによって判断される深刻度はそれぞれ以下の通りです。
各基準にある複数の項目に基づいて値を算出し、その数値によって深刻度を判断します。
深刻度レベル分け(重要度の高い順)
| 深刻度 | スコア |
|---|---|
| 緊急(Critical) | 9.0~10.0 |
| 重要(Important) | 7.0~8.9 |
| 警告(Moderate) | 4.0~6.9 |
| 注意(Low) | 0.1~3.9 |
| なし(None) | 0 |
深刻度の評価基準
| 評価基準 | 説明 |
|---|---|
| 基本評価基準 | 脆弱性そのものの特性を評価する基準 |
| 現状評価基準 | 脆弱性の現在の深刻度を評価する基準 |
| 環境評価基準 | ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準 |
2つ目は定期的にWindows Updateを適用することです。
パッケージアップデートの目的は主に以下3つです。
ウイルス、マルウェア、その他のセキュリティ脅威から保護するためのセキュリティパッチや修正が含まれています。
新たに発見された脆弱性を修正し、システムを安全に保つことが主な目的です。
また、ソフトウェアのバグやエラーを修正し、システムの安定性と信頼性を向上させます。
他にも新しい機能やパフォーマンスの改善を目的としています。
Windowsの場合、Windows Updateにて最新のパッチを適用することが可能です。
Windows Updateは自動および手動で適用することが可能です。 手動適用手順を以下に示します。
【Windows Update方法】
本記事ではWindows Server 2022におけるWindows Updateの手順を記載します。
※[今すぐ再起動する]をクリックしない場合は、アクティブ時間外に自動的に再起動されます。
アクティブ時間の設定は画面下部の[アクティブ時間の変更]にて行うことができます。
3つ目は、不要な役割・機能・ソフトウェアをインストールしないことです。
Windows Server 2022では以下の4つのインストールオプションが選択可能です。
「デスクトップ エクスペリエンスあり」の記載がオプションは通常のGUIを使用したい場合に選択し、
記載がないオプションはServer Coreと呼ばれるCLI環境がインストールされます。
Windows Serverはインストール直後、サーバーマネージャーなどの管理ツールを使用して
役割や機能を追加できるため、初期状態では必要最低限の構成のみがインストールされています。
Server Coreでは潜在的な攻撃を受ける可能性の大幅な軽減が期待できますが、
デスクトップ エクスペリエンスも初期状態では必要最低限の構成のみがインストールされており、
不要な役割・機能をインストールしないことや不要なサービスを停止することでセキュリティのリスクを低減させることが可能です。
また、Server Coreでは一部の役割と機能が使用できないため、
使用する前にMicrosoft Learnにて制限事項について確認しておく必要があります。
今回はWindows Serverにおけるソフトウェア管理の設定の適正化で以下観点を説明しました。
次回の記事ではユーザ管理の設定の適正化について執筆予定です。ぜひそちらも御覧ください!
【参考】
脆弱性情報ハンドリングとは?