防御と運用
システムハードニング
別称: ハードニング
定義
不要な機能の削除、設定の引き締め、安全な既定値の強制によりシステムのアタックサーフェスを縮小する取り組み。
ハードニングは、出荷時状態のシステムを堅牢な状態に変える作業です。未使用サービスの停止、既定アカウントの削除、最小権限の適用、強力な認証の強制、暗号化、ログ取得、ネットワーク露出の制限などを実施します。対象は OS・アプリ・データベース・コンテナ・クラウドサービス・ネットワーク機器・ファームウェアと多岐にわたります。実務では CIS ベンチマーク・DISA STIG・NIST SP 800-53・ベンダーガイドを参照しつつ、構成管理ツールで統制を自動化します。ハードニングはパッチ運用と補完関係にあります。完全にパッチが当たっていても、設定不備や不要機能が残っていれば容易に侵害されかねません。
例
- Linux サーバを、root SSH 無効化・SELinux 適用・本番環境からのコンパイラ削除でハードニングする。
- Pod Security Standards の強制と匿名 API エンドポイントの無効化による Kubernetes のハードニング。
関連用語
セキュリティベースライン
あるシステム種別を本番投入する前に必ず満たすべき、文書化された最低限のセキュリティ設定。
構成管理
システムやアプリケーションのあるべき状態を定義・記録・強制し、構成を既知・一貫・安全に保つための運用規律。
セキュリティ統制
情報資産への脅威を予防・検知・対応するために用いられる、技術的・管理的・物理的な対策。
CIS Controls
Center for Internet Security が維持する、最も一般的なサイバー攻撃から組織を守るための優先順位付きベストプラクティス管理策セット。
Security Posture
Security Posture — definition coming soon.
パッチ管理
脆弱性や不具合を修正するソフトウェア更新を、識別・検証・適用・確認するエンドツーエンドのプロセス。