SYSTEM MANAGEMENT AND OPERATIONS
• User accounts should be properly managed and maintained.
• No users or staff are allowed to install or run web servers or mail servers for Internet access, without obtaining formal approval from the Headquater.
• All roles and responsibilities of staff performing system administration and management should be clearly defined, assigned and documented.
• Procedures should be well established and followed for the Internet gateway such as change and configuration management control procedures especially for firewalls, backup and recovery procedure, web content management procedure and other related ones.
・ユーザーアカウントは適切に管理維持すること。
・どのユーザーあるいはスタッフも本社の正式な許可なく、インターネットアクセスのためにウェブサーバーやメールサーバーをインストールまたは実行してはならない。
・システム運営・管理担当者の役割と責任の全ては明確に定義、割り当て、文書化されなければならない。
・特に、ファイヤー・ウォール、バックアップ、リカバリー手順、ウェブコンテンツ管理手順およびその他関連手順に対しての変更・コンフィギュレーション・マネジメント・コントロール手順などのインターネット・ゲートウェイに対する手順を十分に確立し従わなければならない。
![[deleted user]](https://secure.gravatar.com/avatar/695023b4efd563721d13716b1457bc73.png?d=identicon&mode=crop&r=PG&s=42)
• ユーザーアカウントは適切に管理・維持すべきである。
• 本部からの正式承認を得ない限りいかなるユーザーまたはスタッフもインターネットアクセス用ウェブサーバー或いはメールサーバーにインストールまたは運用をしてはならない。
• システム管理と運用を実施するスタッフの業務・責任範囲は明確に定義、任命かつ文書化すべきである。
• インターネットゲートウェイの変更及び構成管理コントロールのような手順、特にファイヤーウォール、バックアップと回復手順、ウェブコンテンツ手順そして他の関連手順は明瞭に確立され実施すべきである。
• Programs or software installed and run on the hosts should be of secured modes to prevent unintended alteration, and be applied with latest patches or updates.
• Administration for critical components should be performed directly from a locally attached terminal, otherwise, strong authentication such as tokens, smart cards, challenge-and-response or one-time passwords etc. should be employed.
• Regularly check online security news or archives, for latest technical advice on security incidents or vulnerabilities.
• Configuration should be reviewed and modified with respect to the latest environmental changes such as changing requirements, emerging security threats or vulnerabilities.
・重要機器の管理は、ローカル端末から直接実行されるか、さもなければトークン、スマートカード、チャレンジ&レスポンスや一回限りのパスワード等の強力な認証が採用されるべきである。
・セキュリティに関する出来事や脆弱性に対する最新の技術的な勧告の為に、オンラインのセキュリティニュースやアーカイブを定期的にチェックのこと。
・必要要件の変更、セキュリティ脅威の出現や脆弱性のような最新の環境変化に関して、設定が見直され、修正されるべきである。
• 重要装置の管理はそれに直接接続された端末から実施されるべきである。さもなければ、トークン、スマートカード、チャレンジ-レスポンスまたはワンタイムパスワード等の強力な認証を用いるべきである。
• セキュリティ事象や脆弱性に関する最新の技術助言を得るため定期的にオンラインセキュリティニュースやバックナンバーをチェックせよ。
• システム構成は変更要求、セキュリティ脅威の出現や脆弱性などの最新の環境変更に対応し検討かつ修正されるべきである。
• System welcome, greeting or error messages may disclose internal system information. Disable these messages whenever appropriate.
• If possible, install and use management tools or services to centralise system administration and installation, e.g. using software for site-wide installation of patches.
ACTIVE CONTENT AND COOKIES
Active content enables information servers to tailor their presentation script which is to be executed in the client side browser. Examples are Java applet and ActiveX.
Cookies are mechanisms used by the server side to maintain the state information of a client's browser when using stateless connection protocol such as HTTP.
・可能であれば、システム管理やインスタレーションを中央に集中させる為に、管理ツールやサービスをインストールして使用すること。言い換えれば、パッチをリンクからインストールするソフトウェア―を使用すること。
アクティブなコンテンツとクッキー
アクティブなコンテンツは情報サーバーがクライアント側のブラウザーで実行されるべきプレゼンテーション・スクリプトを調整可能にする。JavaアプレットやActiveXはその例である。
クッキーは、HTTPのような処理状態を把握することがない接続プロトコルを使用する時に、クライアントのブラウザーの状態情報を維持する為にサーバー側で使用される仕組みである。
• 可能であれば管理ツールあるいはシステム管理やインストールを集中管理するためのサービス(例:サイト全部の端末にパッチをインストールするソフトウェア)をインストールし使用せよ。
アクティブコンテンツとクッキー
アクティブコンテンツはインフォメーションサーバーがクライアントのブラウザ側で実行させる表示スクリプト適合動作を可能にする。例としてJavaアプレットやActiveXがある。
クッキーはサーバー側で使用されるメカニズムで、HTTPのようなステートレス接続を使用する場合クライアント側ブラウザの状態情報を維持するためのものです。
Excellent!