• Remove unnecessary default accounts if possible, otherwise change all default accounts with strong passwords.
• The number of privileged processes running should be reduced to the minimum. The assignment of privileges should be carefully handled.
• Default file permissions and privileges should be reviewed periodically, and set to restrictive values.
• Use a strong password for the system administrator account. The password should be regularly changed.
• Standardise and minimise the number of OS versions and software to make installation and maintenance more manageable.
• Install OS upgrades regularly and apply latest OS patches, especially those related to security issues.
・可能であれば不要なデフォルトのアカウントを削除し、そうでなければ、すべてのデフォルトアカウントを強力なパスワードで変更します。
・実行中の特権プロセスの数は最小限にしなければなりません。権限の割り当ては慎重に行わなければなりません。
・デフォルトのファイルのパーミッションと権限を定期的に見直し、制限を設定します。
・システム管理者アカウントには強力なパスワードを使用してください。パスワードは定期的に変更する必要があります。
・インストールとメンテナンスを管理しやすくするために、OSのバージョンやソフトウェアを標準化して、数を最小限に抑えます。
・定期的にOSのアップグレードをインストールして、最新のOSパッチ、特にセキュリティ上の問題に関連するものを適用します。
SECURITY RISK ASSESSMENT AND AUDIT
Security risk assessment should be performed periodically, after major changes and prior to implementation. It is required to be performed at least once every two years. It targets at reviewing the existing security measures and identifying for any potential security vulnerabilities.
A security audit can be a general review on existing security policies or a technical review by the use of various security assessment tools that should be used with considerable care to scan the host systems and the networks for security vulnerabilities. It targets at ensuring that the current protection mechanism complies with the existing security policy.
セキュリティ・リスクの診断と監査
セキュリティ・リスクの診断は、大きな変更の後と、実施の前に定期的に行われなければいけません。少なくとも2年に一回は実施する必要があります。診断では既存のセキュリティ方針を確認し、その脆弱性を発見することを目的とします。
セキュリティ監査では既存のセキュリティ方針を全体的に確認することもあれば、さまざまな監査ツールを用いてホストやネットワークの脆弱性を時間をかけて詳細に確認することもあります。既存のセキュリティ対策が、現行のセキュリティ方針に沿ったものであることを確実にすることが目的です。
• Audit scope and objectives should be clearly defined to ensure that all target network components are included.
• Technical audit review should be performed prior to implementation. Host based scanning is necessary for each host in the gateway, especially for the running services and file permissions.
• Firewall policy should be thoroughly audited for its rules and allowed services.
• Password mechanisms should be checked and assured for effectiveness.
• After audit, testing results and data should be removed from the network components and stored securely.
• Access should be controlled to prevent unauthorised persons from accessing the scanning tools.
• 監査の範囲と目的が明確に定まっており、対象となるネットワーク部分が確実に含まれること
• 技術的な監査は、実施の前に行われること。ホストのスキャンは、ゲートウェイ上の全ホスト(特にサービスの実行ファイル承認を行うもの)に対して実施が必要
• ファイヤーウォールのルールと許可されるサービスについて入念な監査が行われること
• パスワード方針の有効性が確認されること
• 監査後は、テストの結果とデータがネットワーク上から隔離され、安全な場所に保管されること
• 権限を持たない人のアクセスを防ぐため、スキャン・ツールへのアクセスは管理されること
