HOME情報セキュリティ情報セキュリティ対策脆弱性対策共通セキュリティ設定一覧CCE概説

本文を印刷する

情報セキュリティ

共通セキュリティ設定一覧CCE概説

最終更新日:2015年7月22日
独立行政法人 情報処理推進機構
セキュリティセンター
ENGLISH

CCE(Common Configuration Enumeration)
~セキュリティ設定項目を識別するための共通の識別子~

共通セキュリティ設定一覧CCE(Common Configuration Enumeration)(*1)は、『設定上のセキュリティ問題』を解決するために、コンピュータのセキュリティ設定項目に一意の番号(設定項目識別子)を付与する仕様です。

CCEは、米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様SCAP(Security Content Automation Protocol)(*2)の構成要素のひとつです。米国政府の支援を受けた非営利団体のMITRE社(*3)が中心となり仕様策定を進めており、2007年8月に、Windows 2000、Windows XPとWindows Server 2003を対象とした533件のセキュリティ設定項目から構成された最初の原案が公開されました。2007年7月にリリースされたバージョン4.0では914件に拡大された後、2007年12月にリリースされたバージョン5以降、アプリケーション・プラットフォーム別にセキュリティ設定項目がまとめられるようになりました。

CCEでは、コンピュータのベースラインのセキュリティを確保するために必要となる設定項目を一覧として提供していますので、CCEは、セキュリティ設定項目に、問題のない設定が施されているかどうかをチェックするためのチェックリストとして使用することができます。また、ベンダ、セキュリティ専門家、管理者、ユーザ等の間で、アプリケーション・プラットフォーム毎のセキュリティ設定項目について共通の言葉で議論できるようになります。

本資料はMITRE社から2008年7月28日に公開されたCCE Creation Process、および2010年4月28日に公開されたCCEバージョン5.2対応のCCE Listを基に作成しました。詳細は、MITRE社のCCE Creation ProcessCCE Listを参照して下さい。

1.CCE識別番号(CCE-ID)

共通セキュリティ設定一覧CCEでは、『設定上のセキュリティ問題』を解決するために、コンピュータのセキュリティ設定項目に一意の番号であるCCE識別番号を付与します。このCCE識別番号は、「CCE-番号-チェック番号」で構成されており、番号は任意に付与され、チェック番号はLuhnアルゴリズムを用いたCCE識別番号の検証用として付与されます。

セキュリティ設定項目については、CCE Working GroupがOSベンダと協力しながら、既存のセキュリティ設定ガイドや監査ツールを元に、セキュリティ設定項目の作成を行なっています。参照されているセキュリティ設定ガイドとしては、マイクロソフトのWindows Server 2008セキュリティガイド、Microsoft Office 2007セキュリティガイド、米国インターネット・セキュリティー・センター(CIS: Center for Internet Security)(*4)のベンチマーク資料、米国国立標準技術研究所(NIST: National Institute of Standards and Technology)(*5)のセキュリティ設定ガイド、米国国家安全保障局(NSA: National Security Agency)(*6)のセキュリティ設定ガイド、米国国防情報システム局(DISA: Defense Information Systems Agency)(*7)のセキュリティ技術の実装ガイドがあります。

セキュリティ設定項目には、ユーザの権限、パスワード設定を含む「監査とアカウントのポリシー」、サーバプログラムの稼働や権限設定を含む「ネットワーク・サービス」などがあります。例えば、Windows XPのパスワード設定に関連した項目には、パスワードの長さ(何文字以上など)、パスワードの有効期間、パスワードの履歴管理(同じパスワードを連続して使えない回数)があります。これら関連項目について、米国連邦政府共通デスクトップ基準(FDCC: Federal Desktop Core Configuration)、米国国防情報システム局(DISA)ならびに、マイクロソフトのセキュリティ設定ガイドで推奨されている値を表1に示します。
-
表1. Windows XPのパスワード設定の関連項目を対象としたCCE識別番号と推奨値例
CCE-ID セキュリティ設定項目 FDCC(*a) DISA(*b) マイクロソフト
(*c)
CCE-2981-9 パスワードの最低文字数設定
(パスワードの長さ)
12文字以上 14文字以上 8文字以上
CCE-2920-7 パスワードの有効期間 60日以下 60日以下 90日以下
CCE-2994-2 パスワードの履歴管理
(同じパスワードを連続して使えない回数)
24個以上 24個以上 24個以上
CCE-2439-8 パスワードの変更禁止期間 1日以上 1日以上 1日以上
CCE-2986-8 ログオンできなくなるまでのパスワード入力失敗回数(アカウントのロックアウトのしきい値) 5回以内 3回以内 50回以内
CCE-2466-1 パスワード入力失敗回数のリセットまでの期間
(ロックアウトカウントのリセット)
15分以上 60分以上 15分以上
CCE-2928-0 ログオン不可状態からの復旧時間
(ロックアウト期間)
15分以上 ロックアウト期間を永久 15分以上
CCE-2980-1 スクリーンセーバーが起動するまでの時間
(スクリーンセーバーのタイムアウト)
15分以下 15分以下-
CCE-4500-5 パスワード付きスクリーンセーバー 要設定 要設定
(*a)2009年4月8日にNISTから公開されたFDCCバージョン1.2 Windows XPで規定されている推奨値です。
http://nvd.nist.gov/fdcc/FDCC-Settings-major-version-1.2.x.0.xls

(*b)2010年4月23日にDISAから公開されたWindows XP STIG, Version 6, Release 1.17で規定されている推奨値です。
Windows XP Security Technical Implementation Guidepdf

(*c)マイクロソフトSecurity Compliance ManagerのWindows XP SP3用に提供されているベースラインドキュメントXPG-EC-Domain 1.0(エンタープライズクライアント環境向け)で規定されているMicrosoft推奨値です。

他のOS、例えば、Red Hat Enterprise Linux 5のパスワードに関連した項目には、項目数は異なるものの、パスワードの長さ(何文字以上など)、パスワードの有効期間があります。これら関連項目と、米国国家安全保障局(NSA)ならびに、米国インターネット・セキュリティー・センター(CIS)のセキュリティ設定ガイドで推奨されている値を表2に示します。
表2. Red Hat Enterprise Linux 5のパスワード設定に関連項目を対象とした
CCE識別番号と推奨値例
CCE-ID セキュリティ設定項目 NSA(*d) CIS(*e)
CCE-4154-1 パスワードの最低文字数設定(パスワードの長さ) 8文字以上 9文字以上
CCE-4092-3 パスワードの有効期間 60日以下 90日以下
CCE-4180-6 パスワードの変更禁止期間 7日以上 7日以上
CCE-3410-8ログオンできなくなるまでのパスワード入力失敗回数
(アカウントのロックアウトのしきい値)
5回以内 3回以内
CCE-3315-9 スクリーンセーバーが起動するまでの時間
(スクリーンセーバーのタイムアウト)
15分以下
(*d)2009年10月21日にNSAから公開されたGuide to the Secure Configuration of Red Hat Enterprise Linux 5 (Revision 3)で規定さ れている推奨値です。
Guide to the Secure Configuration of Red Hat Enterprise Linux 5pdf

(*e) 2009年6月にCISから公開されたSecurity Configuration Benchmark For Red Hat Enterprise Linux 5 (Version 1.1.2)で規定されている推奨値です。

2.CCE識別番号管理サイト

CCE識別番号の割り当ては2006年から始まり、2010年4月末日現在(Ver. 5.20100428)、次に示すアプリケーション・プラットフォームを対象としたセキュリティ設定項目にCCE識別番号が割り当てられています。
  • Microsoft Office 2007
  • Internet Explorer 7
  • Windows 7/Windows Vista/Windows XP/Windows 2000/Windows Server 2008/Windows Server 2003
  • Red Hat Enterprise Linux 5/Red Hat Enterprise Linux 4
  • Red Hat Enterprise Linux 5/Red Hat Enterprise Linux 4
  • Red Hat Enterprise Linux 5/Red Hat Enterprise Linux 4
  • Sun Solaris 10/Sun Solaris 9/Sun Solaris 8
  • AIX 5.3
  • HP-UX 11.23
  • MITRE社では、これまで割り当ててきたCCE識別番号をアプリケーション・プラットフォーム毎にエクセルシート形式で、CCE識別番号管理サイト(http://cce.mitre.org)から提供しています(図1、図2)。

(1)CCE識別番号(CCE ID)

セキュリティ設定項目に付与された一意の識別番号です。

(2) 設定項目の概要(CCE Description)

割り当てられたCCE識別番号に関するセキュリティ設定項目の概要で、セキュリティを確保するために必要となる設定項目が、どのような項目であるかという内容が記載されています。

(3) 設定値のタイプ(CCE Parameters)

セキュリティ設定項目に、どのような値を設定するかが記載されています。CCE-2920-7(パスワードの有効期間)の場合、設定値が日数で指定されることを示しています。

(4) 技術的なチェック機構(CCE Technical Mechanisms)

セキュリティ設定項目の内容についての技術的なチェック方法について記載されています。CCE-2920-7(パスワードの有効期間)の場合、ローカル/グループポリシー設定を利用することでチェックできることを示しています。

(5) 参考ガイド(References)

セキュリティ設定項目に関連する参照ガイドの一覧です。Windows XPでは、DISA Gold Disk for Windows XP、NSA Windows XP Security Guide、CIS Windows XP Professional Benchmark、NIST 800-68: Guidance for Securing Microsoft Windows XP Systems for IT Professional、FDCC Windows XP、FDCC Windows XP Firewallを参照しています。 Red Hat Enterprise Linux 5では、Guide to the Secure Configuration of Red Hat Enterprise Linux 5を参照しています。

3.セキュリティ設定ガイド

CCEで参照されている代表的なガイドは、セキュリティ設定のためのチェックリストやベンチマーク資料として、次に示す組織で整備されています。

3.1 米国国立標準技術研究所(NIST)

米国連邦政府として整備しているセキュリティチェックリストのデータベースです。このリポジトリには、連邦政府共通デスクトップ基準(FDCC)が含まれています。この他にも、データベース(Oracle、Microsoft SQL Server、MySQL)、OS(Mac OX、Debian、FreeBSD、HP-UX、IBM AIX、OpenVMS、openSUSE、Red Hat、Solaris、Windowsなど)、Webサーバ(Apache、Microsoft IIS、WebLogic)、ウイルス対策ソフト、アプリケーション(Microsoft Office)、ブラウザ(IE)、ルータ(Cisco)、仮想環境(VMware、Xen)、DNS、プリンタ(HP LaserJet、Kyocera)などが用意されています。

3.2 米国国防情報システム局(DISA)

米国国防情報システム局(DISA)が整備しているセキュリティチェックリストです。チェックリストとして、データベース(Oracle、Microsoft SQL Server)、OS(Windows、UNIX)、Webサーバ(Apache、Tomcat、Microsoft IIS、WebLogic)、ウイルス対策ソフト、バイオメトリックス、Bluetooth、無線、DNS、Storage Area Networkなどが用意されています。

3.3 米国国家安全保障局(NSA)

米国国家安全保障局(NSA)が整備しているセキュリティチェックリストです。チェックリストとして、データベース(Oracle、Microsoft SQL Server)、OS(Mac OX、Linux、Windows、Solaris)、Webサーバ(Microsoft IIS)、ルータ、IPv6、VoIP、無線などが用意されています。

3.4 米国インターネット・セキュリティー・センター(CIS)

米国インターネット・セキュリティー・センター(CIS)が整備しているセキュリティチェックリストです。チェックリストとして、データベース(Oracle、Microsoft SQL Server、MySQL)、OS(Mac OX、FreeBSD、HP-UX、IBM AIX、Red Hat、Windowsなど)、Webサーバ(Apache、Microsoft IIS)、仮想環境(VMware、Xen)、無線などが用意されています。

3.5 Microsoft

マイクロソフトが整備しているセキュリティ設定ガイドです。Windows Vista、Windows XP以外にも、Microsoft Office 2007などのセキュリティ設定ガイドがあります。また、各種設定ガイドは、Windows環境のベースラインのセキュリティ設定を管理するために、Microsoft Security Compliance Managerとしてツール化されています。

脚注

(*1)CCE:Common Configuration Enumeration。セキュリティと関連する設定項目を識別するための共通の識別子。
CCE:Common Configuration Enumeration

(*2)SCAP(Security Content Automation Protocol):米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様。
SCAP(Security Content Automation Protocol)

(*3)MITRE Corporation:米国政府向けの技術支援や研究開発を行う非営利組織。
MITRE Corporation

(*4)CIS:Center for Internet Security:セキュリティ構築の不具合によるビジネスやイーコマースにおける組織のリスク軽減を支援する米国の非営利組織。
CIS:Center for Internet Security

(*5)国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
国立標準技術研究所

(*6)国家安全保障局。米国国防総省の諜報機関。
国家安全保障局

(*7)国防情報システム局。米国防総省の情報システム全般を管轄する機関。。
国防情報システム局

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター(IPA/ISEC) 寺田/斉藤
Tel:03-5978-7527 Fax:03-5978-7518
E-mail:電話番号:03-5978-7527までお問い合わせください。

更新履歴