トップ > セキュリティ > あなたのシステムは脆弱性だらけ?STIGで強化しよう!

あなたのシステムは脆弱性だらけ?STIGで強化しよう!

セキュリティ サイバー攻撃

サイバー攻撃や情報漏洩関連のニュースが毎日のように取り上げられる中、セキュリティ技術は、現代の情報技術において欠かせない要素となっています。

ただ、一概にセキュリティといっても実際には、どこまで強固にすればいいのか、何に対してセキュリティを当てればいいのか、どのくらいの頻度で見直していけばいいのか、など考えることはたくさんあり、それらを1から考えるのはとても大変です。

その答えがSTIGにはあります。

本記事では、そもそも「STIGが何か」というところから、STGIの活用法まで解説します。

STIGとは

STIGはSecurity Technical Implementation Guideの略称で、米国国防総省(DoD)によって開発された、情報システムやソフトウェアのセキュリティを強化するためのガイドラインです。

このガイドラインには以下のような特徴やポイントがあります。

  • 特定の技術に対するセキュリティ要件、推奨設計、およびベストプラクティスを定義しており、システムの脆弱性を最小限に抑えることができます。
  • さまざまなオペレーティングシステム、アプリケーション、ネットワーク機器、仮想化およびクラウド、等に対応しており、厳しいセキュリティ基準を満たすサポートをしています。
  • セキュリティの重要度に応じて「High」「Medium」、「Low」の3つレベルに分かれており、セキュリティリスクや脆弱性の影響度に応じてランク付けされています。

STIGの目的

STIGは、情報システムのセキュリティを強化し、脆弱性を最小限に抑えることを目的としています。

具体例として以下があります。

  • 脅威の軽減
    • 情報システムが直面する潜在的な脅威を特定し、それに対する具体的なセキュリティ対策を提示します。
  • 標準化
    • セキュリティ設定に関する標準を提供することで、情報システムのセキュリティが一貫して管理されることを促進します。
    • 複数のシステムが同じセキュリティ要件を満たすことになり、管理も容易になります。
  • リスク評価
    • STIGを適用することで、システムやアプリケーションのリスクを評価し、必要な対策を講じることができます。

STIGの種類

STIGにはさまざま種類のガイドラインが存在します。主要なものを紹介します。

  • オペレーションSTIG
    • Windows、Linuxなどの主要なオペレーティングシステム向けのセキュリティガイドライン
  • アプリケーションSTIG
    • 特定のアプリケーションやソフトウェアに関するセキュリティ推奨事項に関するガイドライン
  • データベースSTIG
    • Oracle DatabaseやMicrosoft SQL Serverなどのデータベース管理システムに対するセキュリティ設定に関するガイドライン
  • ネットワーク機器STIG
    • ルーターやスイッチなど、ネットワーク機器のセキュリティベストプラクティスに関するガイドライン
  • 仮想およびクラウドSTIG
    • クラウド環境やバーチャルマシンに関するセキュリティ基準に関するガイドライン

STIGの実施方法

STIGの実施について解説します。

現状評価

まずは現状のシステムの環境を評価します。

システムの設定や脆弱性を把握し、どこに、どのSTIGを適用するのかについて判断します。

手順の導入

設定変更することによる現環境への影響を事前に検討したうえで、該当するSTIGを参考にし、必要なセキュリティ設定を適用します。

テストと確認

設定変更後、システムは想定した動きをしているか、セキュリティ要件は満たせたか、などを確認するために試験を実施します。

また、必要に応じて再評価を行います。

継続的な監視と更新

悪意のある攻撃は日々新しいものがどんどん生まれます。それに伴い、STIGも更新されていきます。

そのため、システムや状態の変化を応じて継続的に監視を行い、定期的に設定の見直しが必要です。

STIG実施の注意事項

STIGはあくまでセキュリティのガイドラインであり、一般企業では、すべてを適用しなければならないといった要件はありません。

また、STIGを適用したことによって、アプリケーションが想定通りに動作をしなくなる可能性もあります。

そのため、STIGを実施する際には十分に現環境への影響を検討し、精査して実施する必要があります。

STIGの最新動向

近年、クラウドコンピューティングや仮想化技術の発展が進む一方で、サイバーセキュリティの脅威もますます多様化しています。

それに伴い、STIGもその内容が常に更新され続けいています。

企業や組織は、最新のSTIGを参照しセキュリティ対策を講じることが不可欠です。

最後に

STIGは、情報システムのセキュリティを強化するための重要なガイドラインであり、特に政府機関や防衛産業においてその重要性は高まっています。

企業や組織が安心して活動できるよう、STIGを積極的に活用し、セキュリティ対策を講じていくことが求められます。

また、似たようなセキュリティのガイドラインとして、NISTという機関が発行しているSP 800シリーズのガイドラインがあります。

これらは異なる目的とアプローチを持つ2つのセキュリティガイドラインです。それぞれの役割に応じて、相互に補完し合う関係にあります。STIGを実施する際には合わせてNIST SP800も一緒に参照してみてはいかがでしょうか。

NIST SP800についてはこちらのブログで解説しています。興味ある方はぜひご参照ください。

blog.jbs.co.jp

セキュリティはますます複雑化していますが、正しい知識と方法を持っていれば、効果的にリスクを管理し、組織の活力を守ることができます。

ぜひ、もう一度、環境を見直し、STIGの実施をご検討ください。

執筆担当者プロフィール
米澤 拓馬

米澤 拓馬(日本ビジネスシステムズ株式会社)

ハイブリッドクラウドグループの米澤です。ハイブリッドということもあり普段の業務ではクラウドとオンプレミスの両方を対応しております。趣味は、映画とNBAの鑑賞です。最近はゴルフをはじめまして、週末は打ちっぱなしに行き、練習の日々です。

担当記事一覧