情報セキュリティ

共通セキュリティ設定一覧CCE概説

最終更新日:2015年7月22日

独立行政法人 情報処理推進機構
セキュリティセンター

CCE(Common Configuration Enumeration)
~セキュリティ設定項目を識別するための共通の識別子~

  • ENGLISH
  • パスワード編 共通セキュリティ設定一覧CCE概説 (パスワード編)

共通セキュリティ設定一覧CCE(Common Configuration Enumeration)(*1)は、『設定上のセキュリティ問題』を解決するために、コンピュータのセキュリティ設定項目に一意の番号(設定項目識別子)を付与する仕様です。

CCEは、米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様SCAP(Security Content Automation Protocol)(*2)の構成要素のひとつです。米国政府の支援を受けた非営利団体のMITRE社(*3)が中心となり仕様策定を進めており、2007年8月に、Windows 2000、Windows XPとWindows Server 2003を対象とした533件のセキュリティ設定項目から構成された最初の原案が公開されました。2007年7月にリリースされたバージョン4.0では914件に拡大された後、2007年12月にリリースされたバージョン5以降、アプリケーション・プラットフォーム別にセキュリティ設定項目がまとめられるようになりました。

CCEでは、コンピュータのベースラインのセキュリティを確保するために必要となる設定項目を一覧として提供していますので、CCEは、セキュリティ設定項目に、問題のない設定が施されているかどうかをチェックするためのチェックリストとして使用することができます。また、ベンダ、セキュリティ専門家、管理者、ユーザ等の間で、アプリケーション・プラットフォーム毎のセキュリティ設定項目について共通の言葉で議論できるようになります。

本資料はMITRE社から2008年7月28日に公開されたCCE Creation Process、および2010年4月28日に公開されたCCEバージョン5.2対応のCCE Listを基に作成しました。詳細は、MITRE社のCCE Creation ProcessCCE Listを参照して下さい。

1.CCE識別番号(CCE-ID)

共通セキュリティ設定一覧CCEでは、『設定上のセキュリティ問題』を解決するために、コンピュータのセキュリティ設定項目に一意の番号であるCCE識別番号を付与します。このCCE識別番号は、「CCE-番号-チェック番号」で構成されており、番号は任意に付与され、チェック番号はLuhnアルゴリズムを用いたCCE識別番号の検証用として付与されます。

セキュリティ設定項目については、CCE Working GroupがOSベンダと協力しながら、既存のセキュリティ設定ガイドや監査ツールを元に、セキュリティ設定項目の作成を行なっています。参照されているセキュリティ設定ガイドとしては、マイクロソフトのWindows Server 2008セキュリティガイド、Microsoft Office 2007セキュリティガイド、米国インターネット・セキュリティー・センター(CIS: Center for Internet Security)(*4)のベンチマーク資料、米国国立標準技術研究所(NIST: National Institute of Standards and Technology)(*5)のセキュリティ設定ガイド、米国国家安全保障局(NSA: National Security Agency)(*6)のセキュリティ設定ガイド、米国国防情報システム局(DISA: Defense Information Systems Agency)(*7)のセキュリティ技術の実装ガイドがあります。

セキュリティ設定項目には、ユーザの権限、パスワード設定を含む「監査とアカウントのポリシー」、サーバプログラムの稼働や権限設定を含む「ネットワーク・サービス」などがあります。例えば、Windows XPのパスワード設定に関連した項目には、パスワードの長さ(何文字以上など)、パスワードの有効期間、パスワードの履歴管理(同じパスワードを連続して使えない回数)があります。これら関連項目について、米国連邦政府共通デスクトップ基準(FDCC: Federal Desktop Core Configuration)、米国国防情報システム局(DISA)ならびに、マイクロソフトのセキュリティ設定ガイドで推奨されている値を表1に示します。

CCE-ID
セキュリティ設定項目
FDCC(*a)
DISA(*b)
マイクロソフト
(*c)
CCE-2981-9
パスワードの最低文字数設定
(パスワードの長さ)
12文字以上
14文字以上
8文字以上
CCE-2920-7
パスワードの有効期間
60日以下
60日以下
90日以下
CCE-2994-2
パスワードの履歴管理
(同じパスワードを連続して使えない回数)
24個以上
24個以上
24個以上
CCE-2439-8
パスワードの変更禁止期間
1日以上
1日以上
1日以上
CCE-2986-8
ログオンできなくなるまでのパスワード入力失敗回数(アカウントのロックアウトのしきい値)
5回以内
3回以内
50回以内
CCE-2466-1
パスワード入力失敗回数のリセットまでの期間
(ロックアウトカウントのリセット)
15分以上
60分以上
15分以上
CCE-2928-0
ログオン不可状態からの復旧時間
(ロックアウト期間)
15分以上
ロックアウト期間を永久
15分以上
CCE-2980-1
スクリーンセーバーが起動するまでの時間
(スクリーンセーバーのタイムアウト)
15分以下
15分以下
-
CCE-4500-5
パスワード付きスクリーンセーバー
要設定
要設定
-

表1. Windows XPのパスワード設定の関連項目を対象としたCCE識別番号と推奨値例

  1. (*a)
  2. (*b)
    2010年4月23日にDISAから公開されたWindows XP STIG, Version 6, Release 1.17で規定されている推奨値です。
  3. (*c)
    マイクロソフトSecurity Compliance ManagerのWindows XP SP3用に提供されているベースラインドキュメントXPG-EC-Domain 1.0(エンタープライズクライアント環境向け)で規定されているMicrosoft推奨値です。

他のOS、例えば、Red Hat Enterprise Linux 5のパスワードに関連した項目には、項目数は異なるものの、パスワードの長さ(何文字以上など)、パスワードの有効期間があります。これら関連項目と、米国国家安全保障局(NSA)ならびに、米国インターネット・セキュリティー・センター(CIS)のセキュリティ設定ガイドで推奨されている値を表2に示します。

CCE-ID
セキュリティ設定項目
NSA(*d)
CIS(*e)
CCE-4154-1
パスワードの最低文字数設定(パスワードの長さ)
8文字以上
9文字以上
CCE-4092-3
パスワードの有効期間
60日以下
90日以下
CCE-4180-6
パスワードの変更禁止期間
7日以上
7日以上
CCE-3410-8
ログオンできなくなるまでのパスワード入力失敗回数
(アカウントのロックアウトのしきい値)
5回以内
3回以内
CCE-3315-9
スクリーンセーバーが起動するまでの時間
(スクリーンセーバーのタイムアウト)
15分以下

表2. Red Hat Enterprise Linux 5のパスワード設定に関連項目を対象とした
CCE識別番号と推奨値例

  1. (*d)
    2009年10月21日にNSAから公開されたGuide to the Secure Configuration of Red Hat Enterprise Linux 5 (Revision 3)で規定さ れている推奨値です。
  2. (*e)
    2009年6月にCISから公開されたSecurity Configuration Benchmark For Red Hat Enterprise Linux 5 (Version 1.1.2)で規定されている推奨値です。

2.CCE識別番号管理サイト

CCE識別番号の割り当ては2006年から始まり、2010年4月末日現在(Ver. 5.20100428)、次に示すアプリケーション・プラットフォームを対象としたセキュリティ設定項目にCCE識別番号が割り当てられています。

  • Microsoft Office 2007
  • Internet Explorer 7
  • Windows 7/Windows Vista/Windows XP/Windows 2000/Windows Server 2008/Windows Server 2003
  • Red Hat Enterprise Linux 5/Red Hat Enterprise Linux 4
  • Red Hat Enterprise Linux 5/Red Hat Enterprise Linux 4
  • Red Hat Enterprise Linux 5/Red Hat Enterprise Linux 4
  • Sun Solaris 10/Sun Solaris 9/Sun Solaris 8
  • AIX 5.3
  • HP-UX 11.23
    MITRE社では、これまで割り当ててきたCCE識別番号をアプリケーション・プラットフォーム毎にエクセルシート形式で、CCE識別番号管理サイト(http://cce.mitre.org)から提供しています(図1、図2)。
  • 図1.CCE識別番号管理サイトでの情報提供
  • 図2.Windows XP用のCCEリスト

(1)CCE識別番号(CCE ID)

セキュリティ設定項目に付与された一意の識別番号です。

(2) 設定項目の概要(CCE Description)

割り当てられたCCE識別番号に関するセキュリティ設定項目の概要で、セキュリティを確保するために必要となる設定項目が、どのような項目であるかという内容が記載されています。

(3) 設定値のタイプ(CCE Parameters)

セキュリティ設定項目に、どのような値を設定するかが記載されています。CCE-2920-7(パスワードの有効期間)の場合、設定値が日数で指定されることを示しています。

(4) 技術的なチェック機構(CCE Technical Mechanisms)

セキュリティ設定項目の内容についての技術的なチェック方法について記載されています。CCE-2920-7(パスワードの有効期間)の場合、ローカル/グループポリシー設定を利用することでチェックできることを示しています。

(5) 参考ガイド(References)

セキュリティ設定項目に関連する参照ガイドの一覧です。Windows XPでは、DISA Gold Disk for Windows XP、NSA Windows XP Security Guide、CIS Windows XP Professional Benchmark、NIST 800-68: Guidance for Securing Microsoft Windows XP Systems for IT Professional、FDCC Windows XP、FDCC Windows XP Firewallを参照しています。 Red Hat Enterprise Linux 5では、Guide to the Secure Configuration of Red Hat Enterprise Linux 5を参照しています。

3.セキュリティ設定ガイド

CCEで参照されている代表的なガイドは、セキュリティ設定のためのチェックリストやベンチマーク資料として、次に示す組織で整備されています。

3.1 米国国立標準技術研究所(NIST)

米国連邦政府として整備しているセキュリティチェックリストのデータベースです。このリポジトリには、連邦政府共通デスクトップ基準(FDCC)が含まれています。この他にも、データベース(Oracle、Microsoft SQL Server、MySQL)、OS(Mac OX、Debian、FreeBSD、HP-UX、IBM AIX、OpenVMS、openSUSE、Red Hat、Solaris、Windowsなど)、Webサーバ(Apache、Microsoft IIS、WebLogic)、ウイルス対策ソフト、アプリケーション(Microsoft Office)、ブラウザ(IE)、ルータ(Cisco)、仮想環境(VMware、Xen)、DNS、プリンタ(HP LaserJet、Kyocera)などが用意されています。

3.2 米国国防情報システム局(DISA)

米国国防情報システム局(DISA)が整備しているセキュリティチェックリストです。チェックリストとして、データベース(Oracle、Microsoft SQL Server)、OS(Windows、UNIX)、Webサーバ(Apache、Tomcat、Microsoft IIS、WebLogic)、ウイルス対策ソフト、バイオメトリックス、Bluetooth、無線、DNS、Storage Area Networkなどが用意されています。

3.3 米国国家安全保障局(NSA)

米国国家安全保障局(NSA)が整備しているセキュリティチェックリストです。チェックリストとして、データベース(Oracle、Microsoft SQL Server)、OS(Mac OX、Linux、Windows、Solaris)、Webサーバ(Microsoft IIS)、ルータ、IPv6、VoIP、無線などが用意されています。

3.4 米国インターネット・セキュリティー・センター(CIS)

米国インターネット・セキュリティー・センター(CIS)が整備しているセキュリティチェックリストです。チェックリストとして、データベース(Oracle、Microsoft SQL Server、MySQL)、OS(Mac OX、FreeBSD、HP-UX、IBM AIX、Red Hat、Windowsなど)、Webサーバ(Apache、Microsoft IIS)、仮想環境(VMware、Xen)、無線などが用意されています。

3.5 Microsoft

マイクロソフトが整備しているセキュリティ設定ガイドです。Windows Vista、Windows XP以外にも、Microsoft Office 2007などのセキュリティ設定ガイドがあります。また、各種設定ガイドは、Windows環境のベースラインのセキュリティ設定を管理するために、Microsoft Security Compliance Managerとしてツール化されています。

脚注

  1. (*1)
  2. (*2)
  3. (*3)
  4. (*4)
  5. (*5)
  6. (*6)
  7. (*7)

お問い合わせ先

IPA セキュリティセンター(IPA/ISEC)

  • E-mail

    vuln-inqアットマークipa.go.jp

更新履歴

  • 2015年7月22日

    参考情報を追加

  • 2014年3月20日

    参考情報を追加

  • 2010年11月4日

    パスワード編を公開しました。

  • 2010年6月24日

    掲載