第5回 カード情報システムでのIIS、QSAはどう見る?
川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP
2009/1/29
第4回ではPCI DSSの視点でApacheの設定をチェックしました。今回はもうひとつのポピュラーなネットワークサービスであるIISを題材に、設定のポイントを確認しましょう(編集部)
本題に入る前に、PCI SSC発信の有益な情報がありますので、ここで紹介させていただきます。PCI DSS バージョン1.2が複数言語で利用可能になり、これには日本語版も含まれています。
| 【関連リンク】 PCI DSS v1.2 Now Available in Multiple Languages https://www.pcisecuritystandards.org/security_standards/ pci_dss_download_agreement.html ※リンク先ページはNDA(機密保持契約)がありますので、ダウンロードする場合はこちらに同意する必要があります。 |
バージョン1.1までは「基準」の部分と「手順」の部分が分かれていましたが、バージョン1.2からはこれらは統合され、1つの文書となりました。“PCI DSS Version 1.2 launched October 1, 2008”の下にある“Japanese:pdf”というリンクが張られているファイルがいわゆるPCI DSSバージョン1.2の日本語版です。
PCI DSSに準拠するには、システム面のみならず、ポリシーや標準、手順書などの文書、物理セキュリティなどさまざまな範囲に対して、網羅的に対策を実施することが必要です。対策の抜けをゼロに近づけるためには、PCI DSSを読み、理解し、そしてあらためて自組織の環境を見直したときに「漏れに気付く」ことが必要です。ぜひ、この文書を読み通すことをお勧めいたします。
QSAの視点――IIS編
第4回「Apacheセキュリティチェック、PCI DSSの場合」では、QSA(セキュリティ評価ベンダ)によるPCI DSS訪問調査における現場でのシステムの確認方法をご紹介しました。しかし、カード情報を取り扱うシステムでは、Windows Server群で構成され、WebサーバとしてIISが使用されている、ということが少なくありません。今回は、Windows、IISの場合はどのように調査が行われるのかをご紹介したいと思います【注】。
| 【注】 ただし、アプリケーションの稼働するシステムやその周辺の物理的/論理的環境、運用方法などに依存する、また、審査を行うQSAによっては調査の手法に差異が見られる、といった可能性もありますので、あくまでご参考にとどめていただき、実際の環境に照らし合わせたときにどうすべきか、皆さまの環境で確認していただく必要があります。 |
さて、IISというと、頭に浮かぶのはWebサーバかもしれません。確かにエラーページなどで一般的によく目にするのはWebサーバなのですが、IISが“インターネット・インフォメーション・サービス”の頭文字語であることからも分かるとおり、さまざまなネットワークサービスの集まりのことを指しており、実際には下記のようなコンポーネントを含んでいます(下記ですべてというわけではありません)。
- FTPサービス
- NNTPサービス
- SMTPサービス
- WWWサービス
- IISマネージャ
 |
| 図1 IISとしてインストールされるコンポーネント |
前回までの記事をご覧いただいている方はすでにピンときているかもしれませんが、IISのインストールを行う時点で、手順を間違うと「不要なサービス」もインストールしてしまう可能性があるということです。特にWebサーバはDMZ上に配置することが多いですから、不要なサービスを稼働させないことは、より重要になってくるわけです。しかしファイアウォールで不要な通信を遮断していれば不要なサービスが稼働していてもアクセスできないのではないか、と思われるかもしれませんが、多層防御の考え方でもご紹介したとおり、複数の層で重ねて保護を行うことが重要です。
1/4 |
 |
| Index | |
| カード情報システムでのIIS、QSAはどう見る? | |
 |
Page1 QSAの視点――IIS編 |
| Page2 稼働サービスの確認 -1.サービス一覧で確認 -2.netstatで確認 -3.IISマネージャで確認 |
|
| Page3 IIS設定の確認 -1.不要なコンテンツが存在しないか -2.ログ設定 -3.ファイル名拡張子マッピングの設定 |
|
| Page4 セキュリティ標準をお忘れなく |
|
 |
オール・ザッツ・PCI DSS 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
