SYSTEM MANAGEMENT AND OPERATIONS
• User accounts should be properly managed and maintained.
• No users or staff are allowed to install or run web servers or mail servers for Internet access, without obtaining formal approval from the Headquater.
• All roles and responsibilities of staff performing system administration and management should be clearly defined, assigned and documented.
• Procedures should be well established and followed for the Internet gateway such as change and configuration management control procedures especially for firewalls, backup and recovery procedure, web content management procedure and other related ones.
システム管理・運営
・ユーザーアカウントは適切に管理維持すること。
・どのユーザーあるいはスタッフも本社の正式な許可なく、インターネットアクセスのためにウェブサーバーやメールサーバーをインストールまたは実行してはならない。
・システム運営・管理担当者の役割と責任の全ては明確に定義、割り当て、文書化されなければならない。
・特に、ファイヤー・ウォール、バックアップ、リカバリー手順、ウェブコンテンツ管理手順およびその他関連手順に対しての変更・コンフィギュレーション・マネジメント・コントロール手順などのインターネット・ゲートウェイに対する手順を十分に確立し従わなければならない。
• Programs or software installed and run on the hosts should be of secured modes to prevent unintended alteration, and be applied with latest patches or updates.
• Administration for critical components should be performed directly from a locally attached terminal, otherwise, strong authentication such as tokens, smart cards, challenge-and-response or one-time passwords etc. should be employed.
• Regularly check online security news or archives, for latest technical advice on security incidents or vulnerabilities.
• Configuration should be reviewed and modified with respect to the latest environmental changes such as changing requirements, emerging security threats or vulnerabilities.
・ホストにインストールされ、実行されるプログラムやソフトウェアは、意図しない変更を防止する為、セーフモードでかつ最新のパッチやアップデートが適用されるべきである。
・重要機器の管理は、ローカル端末から直接実行されるか、さもなければトークン、スマートカード、チャレンジ&レスポンスや一回限りのパスワード等の強力な認証が採用されるべきである。
・セキュリティに関する出来事や脆弱性に対する最新の技術的な勧告の為に、オンラインのセキュリティニュースやアーカイブを定期的にチェックのこと。
・必要要件の変更、セキュリティ脅威の出現や脆弱性のような最新の環境変化に関して、設定が見直され、修正されるべきである。
• System welcome, greeting or error messages may disclose internal system information. Disable these messages whenever appropriate.
• If possible, install and use management tools or services to centralise system administration and installation, e.g. using software for site-wide installation of patches.
ACTIVE CONTENT AND COOKIES
Active content enables information servers to tailor their presentation script which is to be executed in the client side browser. Examples are Java applet and ActiveX.
Cookies are mechanisms used by the server side to maintain the state information of a client's browser when using stateless connection protocol such as HTTP.
・システムの歓迎、挨拶やエラーメッセージは、内部のシステム情報をさらすことがある。適切な場合は、これらのメッセージを無効にすること。
・可能であれば、システム管理やインスタレーションを中央に集中させる為に、管理ツールやサービスをインストールして使用すること。言い換えれば、パッチをリンクからインストールするソフトウェア―を使用すること。
アクティブなコンテンツとクッキー
アクティブなコンテンツは情報サーバーがクライアント側のブラウザーで実行されるべきプレゼンテーション・スクリプトを調整可能にする。JavaアプレットやActiveXはその例である。
クッキーは、HTTPのような処理状態を把握することがない接続プロトコルを使用する時に、クライアントのブラウザーの状態情報を維持する為にサーバー側で使用される仕組みである。