MyJVN >> 共通セキュリティ設定一覧CCE概説 (パスワード編)
共通セキュリティ設定一覧CCEは、SCAP の構成要素の1つであり、 PCの「設定上のセキュリティ問題」を解決するための共通的なセキュリティ設定一覧です。
本ページでは、CCE(Common Configuration Enumeration)で規定されているセキュリティ項目について、 パスワード設定に関連する項目の解説を MyJVN セキュリティ設定チェッカでの確認方法を交えて紹介します。 利用者のPCのセキュリティ設定値とCCEの具体的な内容と対策手順を参照して確認することで、 CCEについてより理解が深められます。また、パスワード設定における各公的機関が 推奨しているセキュリティ設定値と利用者自身のPCの設定を見比べることで、セキュリティ設定の 見直しに役立てることができます。
CCEのより詳しい解説については、共通セキュリティ設定一覧CCE概説を参照してください。
■ 共通セキュリティ設定識別子(CCE)の概要
共通セキュリティ設定一覧CCEは、 米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様SCAP(Security Content Automation Protocol)の構成要素のひとつで、 『設定上のセキュリティ問題』を解決するために、コンピュータの設定に関するセキュリティ項目に一意の番号(設定項目識別子、CCE-ID)を付与する仕様です。
セキュリティ項目には、ユーザの権限、パスワード設定を含む「監査とアカウントのポリシー」、サーバプログラムの稼働や権限設定を含む「ネットワーク・サービス」などがあります。 例えば、Windows XP と Windows Vista のパスワード設定に関連した項目には、表1 のように、パスワードの長さ(何文字以上など)、パスワードの有効期間、パスワードの履歴管理(同じパスワードを連続して使えない回数)などがあります。
設定に関するセキュリティ項目には、Windows XPとWindows Vista毎に、CCE識別番号が割り当てられています。 推奨値は、基準とするセキュリティ設定ガイドによって決まります。 ここでは、米国国防情報システム局(DISA)、米国連邦政府共通デスクトップ基準(FDCC: Federal Desktop Core Configuration)、ならびに、マイクロソフトのセキュリティ設定ガイドで推奨されている値を示します。
表1. パスワード関連項目を対象としたCCE識別番号と推奨値
| CCE-ID | セキュリティ項目 | セキュリティ設定ガイド | |||
|---|---|---|---|---|---|
| XP | Vista | DISA(*a) |
FDCC(*b) |
マイクロソフト |
|
CCE-2981-9 |
CCE-2883-7 |
パスワードの最低文字数設定 (パスワードの長さ) |
14文字以上 |
12文字以上 |
8文字以上 |
CCE-2920-7 |
CCE-2967-8 |
パスワードの有効期間 |
60日以下 |
60日以下 |
90日以下 |
CCE-2994-2 |
CCE-2323-4 |
パスワードの履歴管理 (同じパスワードを連続して使えない回数) |
24個以上 |
24個以上 |
24個以上 |
CCE-2439-8 |
CCE-3240-9 |
パスワードの変更禁止期間 |
1日以上 |
1日以上 |
1日以上 |
CCE-2986-8 |
CCE-3177-3 |
ログオンできなくなるまでのパスワード入力失敗回数(アカウントのロックアウトのしきい値) |
3回以内 |
5回以内 |
50回以内 |
CCE-2466-1 |
CCE-2715-1 |
パスワード入力失敗回数のリセットまでの期間 (ロックアウトカウントのリセット) |
60分以上 |
15分以上 |
15分以上 |
CCE-2928-0 |
CCE-2363-0 |
ログオン不可状態からの復旧時間 (ロックアウト期間) |
ロックアウト期間を永久 |
15分以上 |
15分以上 |
CCE-2980-1 |
CCE-3050-2 |
スクリーンセーバーが起動するまでの時間 (スクリーンセーバーのタイムアウト) |
15分以下 |
15分以下 |
- |
CCE-4500-5 |
CCE-4290-3 |
パスワード付きスクリーンセーバー |
要設定 |
要設定 |
- |
(*a)2010年4月23日に DISA から公開された Windows XP STIG, Version 6,
Release 1.17 で規定されている推奨値です。
http://iase.disa.mil/stigs/downloads/pdf/unclassified_Windows_XP_V6R1.17_STIG.pdf(*b)2009年4月8日に NIST から公開された FDCC バージョン 1.2 Windows XP で規定されている推奨値です。
http://nvd.nist.gov/fdcc/FDCC-Settings-major-version-1.2.x.0.xls(*c)マイクロソフト Security Compliance Manager の Windows XP SP3 用に提供されているベースラインドキュメント XPG-EC-Domain 1.0 (エンタープライズクライアント環境向け)で規定されているマイクロソフトの推奨値です。
■ MyJVN セキュリティ設定チェッカによるPC設定の確認
MyJVN セキュリティ設定チェッカを使用して、表1に掲載している、パスワード関連項目を確認してみましょう。 以下のステップを順番に選択し起動ボタンから実行することで、利用しているPCのパスワードの関連項目について、ローカルに設定されている状況を確認できます。(利用PCが、マイクロソフト Active Directory (※1) などで統合管理されている場合には、実行結果が正しく表示されない場合があります)
■ チェック方法の解説
チェック方法の解説では、MyJVN セキュリティ設定チェッカが、 共通セキュリティ設定一覧CCEで規定されているセキュリティ項目をどのようにチェックしているのかについて解説します。 OSのエディション(Windows XP Home Edition、Windows Vista Home Premium 等)によっては、ローカルセキュリティ設定を管理するツール(secpol.msc)が準備されていません。あらかじめご留意ください。
- パスワードの最低文字数設定(パスワードの長さ) (CCE-2981-9, CCE-2883-7)
Windows XP や Windows Vista ログインの際に使用するパスワードの長さについて、 指定された文字数以上のパスワードの長さのみを受入れるようポリシー設定されているかを確認します。
セキュリティ設定チェッカでは、ローカルセキュリティ設定を管理するツール(secpol.msc)の 「パスワードのポリシー」に設定されている「パスワードの長さ」の値を、セキュリティ設定ガイドで推奨されている値と比較しています。
- パスワードの有効期間 (CCE-2920-7, CCE-2967-8)
Windows XP や Windows Vista ログインの際に使用するパスワードの有効期間について、 指定された日数を上回る有効期間を受入れないようポリシー設定されているかを確認します。
セキュリティ設定チェッカでは、ローカルセキュリティ設定を管理するツール(secpol.msc)の 「パスワードのポリシー」に設定されている「パスワードの有効期間」の値を、セキュリティ設定ガイドで推奨されている値と比較しています。
- パスワードの履歴管理(同じパスワードを連続して使えない回数) (CCE-2994-2, CCE-2323-4)
Windows XP や Windows Vista ログインの際に使用するパスワードの履歴管理について、 同じパスワードを連続して使えない回数が、指定された回数以上となるようポリシー設定されているかを確認します。
セキュリティ設定チェッカでは、ローカルセキュリティ設定を管理するツール(secpol.msc)の 「パスワードのポリシー」に設定されている「パスワードの履歴を記録する」の値を、セキュリティ設定ガイドで推奨されている値と比較しています。
- パスワードの変更禁止期間 (CCE-2439-8, CCE-3240-9)
Windows XP や Windows Vista ログインの際に使用するパスワードの変更禁止期間について、 指定された日数を下回る期間を受入れないようポリシー設定されているかを確認します。
セキュリティ設定チェッカでは、ローカルセキュリティ設定を管理するツール(secpol.msc)の 「パスワードのポリシー」に設定されている「パスワードの変更禁止期間」の値を、セキュリティ設定ガイドで推奨されている値と比較しています。
- ログオンできなくなるまでのパスワード入力失敗回数(アカウントのロックアウトのしきい値) (CCE-2986-8, CCE-3177-3)
Windows XP や Windows Vista ログインの際にログオンできなくなるまでのパスワード入力失敗回数について、 アカウントのロックアウトのしきい値として、指定された回数以内となるようポリシー設定されているかを確認します。
セキュリティ設定チェッカでは、ローカルセキュリティ設定を管理するツール(secpol.msc)の 「アカウント ロックアウトのポリシー」に設定されている「アカウントのロックアウトのしきい値」の値を、セキュリティ設定ガイドで推奨されている値と比較しています。
- パスワード入力失敗回数のリセットまでの期間(ロックアウトカウントのリセット) (CCE-2466-1, CCE-2715-1)
パスワード入力失敗回数のカウンタがロックアウトのしきい値に達した際に、 そのカウンタをリセットするまでの期間について、指定したリセット時間以上の値となるようポリシー設定されているかを確認します。 アカウント ロックアウトのしきい値を定義している場合は、このリセット時間をロックアウト期間と同じかそれ以下にします。
セキュリティ設定チェッカでは、ローカルセキュリティ設定を管理するツール(secpol.msc)の 「アカウント ロックアウトのポリシー」に設定されている「ロックアウトカウントのリセット」の値を、セキュリティ設定ガイドで推奨されている値と比較しています。
- ログオン不可状態からの復旧時間(ロックアウト期間) (CCE-2928-0, CCE-2363-0)
Windows XP や Windows Vista ログインの際にパスワード入力失敗回数のリセットまでの期間について、 ロックアウトされたアカウントが自動的にロック解除されるまでの期間として、指定期間以上となるようポリシー設定されているかを確認します。
セキュリティ設定チェッカでは、ローカルセキュリティ設定を管理するツール(secpol.msc)の 「アカウント ロックアウトのポリシー」に設定されている「ロックアウト期間」の値を、セキュリティ設定ガイドで推奨されている値と比較しています。
- スクリーンセーバーが起動するまでの時間(スクリーンセーバーのタイムアウト) (CCE-2980-1, CCE-3050-2)
スクリーンセーバーが起動するまでの時間として指定された時間以内に設定されているかを確認します。
セキュリティ設定チェッカでは、レジストリを管理するツール(regedit.exe)の 「HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaveTimeOut (ローカルセキュリティ設定の場合)」 に設定されている値を、セキュリティ設定ガイドで推奨されている値と比較しています。
- パスワード付きスクリーンセーバー (CCE-4500-5, CCE-4290-3)
スクリーンセーバー復帰時に、Windows XP や Windows Vista ログインのパスワードを入力させるよう設定されているかを確認します。
セキュリティ設定チェッカでは、レジストリを管理するツール(regedit.exe)の 「HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaverIsSecure (ローカルセキュリティ設定の場合)」 に設定されている値を、セキュリティ設定ガイドで推奨されている値と比較しています。
■ セキュリティ項目の設定方法
セキュリティ項目の設定方法では、MyJVN セキュリティ設定チェッカが、チェック対象としているセキュリティ項目の設定方法について解説します。 OSのエディション(Windows XP Home Edition、Windows Vista Home Premium 等)によっては、ローカルセキュリティ設定を管理するツール(secpol.msc)が準備されていません。あらかじめご留意ください。
- Windows XP
Windows XP の場合には、ローカルセキュリティ設定を管理するツール(secpol.msc) と「デスクトップの表示とテーマ」を使用します。
[ローカルセキュリティ設定] を開くには、[スタート] ボタンをクリックし、[ファイル名を指定して実行(R)] ボックスに「secpol.msc」と入力します。 次に、ナビゲーション ウィンドウで、[アカウント ポリシー] をダブルクリックして、[パスワードのポリシー] をクリックします。パスワードのポリシーでは、表1の推奨値を参考にして、次の4項目を設定します。
- パスワードの長さ: CCE-2981-9
- パスワードの変更禁止期間: CCE-2439-8
- パスワードの有効期間: CCE-2920-7
- パスワードの履歴を記録する: CCE-2994-2
[アカウント ロックアウトのポリシー] では、表1の推奨値を参考にして、次の3項目を設定します。
- アカウントのロックアウトのしきい値: CCE-2986-8
- ロックアウト カウントのリセット: CCE-2466-1
- ロックアウト期間: CCE-2928-0
「ロックアウト期間」は「リセット」の時間と同じかそれ以上に設定します。また、ロックアウト期間を 0 に設定すると、管理者が明示的にロックを解除するまでアカウントはロックアウトされますので、注意してください。
スクリーンセーバーについては、コントロールパネルから、[デスクトップの表示とテーマ]を選択した後、[スクリーンセーバーを選択する]をクリックします。スクリーンセーバーでは、表1の推奨値を参考にして、次の2項目を設定します。
- スクリーンセーバーが起動するまでの時間(スクリーンセーバーのタイムアウト): CCE-2980-1
[待ち時間(W)] にスクリーンセーバーが起動するまでの時間を指定します。 - パスワード付きスクリーンセーバー: CCE-4500-5
パスワード付きスクリーンセーバーを有効にする場合には、[□ パスワードによる保護(P)]のボックスにチェックを付けます。
なお、セキュリティ項目の設定操作にあたっては、次の資料を参考にしてください。
- Windows Vista
Windows Vista の場合には、ローカル セキュリティ ポリシーを管理するツール(secpol.msc) と「デスクトップのカスタマイズ」を使用します。
[ローカル セキュリティ ポリシー] を開くには、[スタート] ボタンをクリックし、[検索] ボックスに「secpol.msc」と入力して、[secpol] をクリックします。次に、ナビゲーション ウィンドウで、[アカウント ポリシー] をダブルクリックして、[パスワードのポリシー] をクリックします。パスワードのポリシーでは、表1の推奨値を参考にして、次の4項目を設定します。
- パスワードの長さ: CCE-2883-7
- パスワードの変更禁止期間: CCE-3240-9
- パスワードの有効期間: CCE-2967-8
- パスワードの履歴を記録する: CCE-2323-4
[アカウント ロックアウトのポリシー] では、表1の推奨値を参考にして、次の3項目を設定します。
- アカウントのロックアウトのしきい値: CCE-3177-3
- ロックアウトカウントのリセット: CCE-2715-1
- ロックアウト期間: CCE-2363-0
「ロックアウト期間」は「リセット」の時間と同じかそれ以上に設定します。また、ロックアウト期間を 0 に設定すると、管理者が明示的にロックを解除するまでアカウントはロックアウトされますので、注意してください。
スクリーンセーバーについては、コントロールパネルから、[デスクトップのカスタマイズ]を選択した後、[個人設定] 項目内の[スクリーンセーバー]をクリックします。スクリーンセーバーでは、表1の推奨値を参考にして、次の2項目を設定します。
- スクリーンセーバーが起動するまでの時間(スクリーンセーバーのタイムアウト): CCE-3050-2
[待ち時間(W)] にスクリーンセーバーが起動するまでの時間を指定します。 - パスワード付きスクリーンセーバー: CCE-4290-3
パスワード付きスクリーンセーバーを有効にする場合には、[□ 再開時にログオン画面に戻る(R)]のボックスにチェックを付けます。
なお、セキュリティ項目の設定操作にあたっては、次の資料を参考にしてください。
- 参考情報
※1:マイクロソフト Active Directory を使用したセキュリティ項目の設定操作にあたっては、次の資料を参考にしてください。
[更新履歴]
2010年11月04日 共通セキュリティ設定一覧CCE概説 (パスワード編) を公開.
