DISAのアプリケーションセキュリティと開発STIG、V6R3コンプライアンスレポート
このレポートは、DISAのアプリケーションセキュリティおよび開発STIG、バージョン6、リリース3に対するアプリケーションのコンプライアンス問題を表示します。「Application Security and Development Security Technical Implementation Guide (STIG)」は、アプリケーション開発のライフ・サイクルを通じて使用するセキュリティー・ガイダンスを提供します。国防情報システム局 (DISA: Defense Information Systems Agency) は、アプリケーション開発プロセスのなるべく早い時期にこのガイドラインを現場で使用することを推奨しています。
概要
アプリケーションセキュリティおよび開発(ASD)セキュリティ技術実装ガイド(STIG)は、国防総省(DoD)の情報システムのセキュリティを向上させるためのツールとして発行されています。
対象となる情報
ネットワークを介して接続されているすべての企業アプリケーションに適用されるように設計されたアプリケーションセキュリティおよび開発STIGです。デスクトップコンピュータにインストールされたクライアントアプリケーションには、リモートシステムへのネットワーク接続を確立するものが含まれています。また、HTMLおよびブラウザベースのアプリケーションには、Java、JavaScript、.NET、クラウド、RESTfulベース、SOA指向のWebサービスを含む多数のWeb技術とアーキテクチャが含まれています。
このガイドは、DoDが開発、設計、管理するすべてのエンタープライズアプリケーションおよびシステムで、DoDネットワークに接続されているものに対する必須要件です。エンタープライズアプリケーション(EA)は、組織の使命の遂行や目標、タスクの達成を支援するために組織が使用するアプリケーションまたはソフトウェアとして定義されます。一部のEAは、さまざまな冗長性やフォールトトレランスの度合いで単一のシステム上にホストされることがありますが、多くは通常、複雑でスケーラブル、ミッションクリティカルであり、複数のシステムに分散しています。管理職は、独自の基準や運用状況に基づいて、アプリケーションをミッションクリティカルとして指定し、EAステータスに値すると判断することもできます。STIGは、関連する製品STIGまたは技術SRGが既に存在する場合、スクリプト、管理用またはその他のファイアウォール、またはアプリケーション管理インターフェースを持つ他のネットワークデバイスに適用することを意図していません。これらの要件は、アプリケーション開発プログラムマネージャー、アプリケーションデザイナー/開発者、情報システムセキュリティマネージャー(ISSM)、情報システムセキュリティオフィサー(ISSO)、およびシステム管理者(SA)が、アプリケーションのセキュリティコントロールを設定および維持するのを支援することを目的としています。
対象事業体
DoD指令(DoDI)8500.01は、「DoD情報を受信、処理、保存、表示、または送信するすべてのITは、適用可能なDoDのサイバーセキュリティポリシー、標準、およびアーキテクチャと一致するように構成される」と要求しています。また、国防情報システム局(DISA)には、「NSA/CSSの支援を受け、利害関係者からの入力を使用し、可能な限り自動化を活用して、DoDのサイバーセキュリティポリシー、標準、アーキテクチャ、セキュリティコントロール、および検証手順と一致し、実装する制御相関識別子(CCI)、セキュリティ要件ガイド(SRG)、セキュリティ技術実装ガイド(STIG)、およびモバイルコードリスクカテゴリと使用ガイドを開発および維持する」ことが任務とされています。この文書は、DoDI 8500.01の権限の下で提供されています。
AppScan とアプリケーションセキュリティおよび開発STIG
このAppScanコンプライアンスレポートは、スキャンされたアプリケーションの現在のセキュリティ体制に起因する可能性のあるコンプライアンス問題を理解し、特定するのに役立ちます。このコンプライアンス・レポートでは、STIG 要件 ID を使用して STIG 要件を参照します。また、コンプライアンス・レポートには、STIG 要件の重大度レベルが含まれています。これは、STIG で次のように示されています。
- 機密性、可用性、または完全性の損失を直接的かつ即座に引き起こす脆弱性。
- 機密性、可用性、または完全性の損失を引き起こす可能性のある脆弱性。
- 機密性、可用性、または完全性の損失を防ぐための対策を低下させるいかなる脆弱性も含むカテゴリーIII(CAT III)。
| セクション | 説明 |
|---|---|
| V-222425、SV-222425r508029_rule: CAT I | アプリケーションは、適用されるアクセス制御ポリシーに従って、情報およびシステムリソースへの論理アクセスに対する承認された認可を強制する必要があります。 |
| V-222430、SV-222430r849431_rule:CAT I | アプリケーションは過剰なアカウント権限を持たずに実行されなければなりません。 |
| V-222522、SV-222522r508029_rule: CAT I | アプリケーションは、組織のユーザー(または組織のユーザーを代表して行動するプロセス)を一意に識別し、認証する必要があります。 |
| V-222542、SV-222542r508029_rule: CAT I | アプリケーションは、パスワードの暗号化された表現のみを保存する必要があります。 |
| V-222596、SV-222596r849486_rule: CAT I | アプリケーションは、送信される情報の機密性と完全性を確保しなければなりません。 |
| V-222601、SV-222601r849491_rule: CAT I | アプリケーションは隠しフィールドに機密情報を保存してはなりません。 |
| V-222602、SV-222602r561263_rule: CAT I | アプリケーションはクロスサイトスクリプティング(XSS)脆弱性から保護する必要があります。 |
| V-222604、SV-222604r508029_rule: CAT I | アプリケーションはコマンドインジェクションから保護する必要があります。 |
| V-222607、SV-222607r508029_rule: CAT I | アプリケーションはSQLインジェクションに対して脆弱であってはならない。 |
| V-222608、SV-222608r508029_rule: CAT I | アプリケーションはXML指向の攻撃に対して脆弱であってはなりません。 |
| V-222609、SV-222609r864578_rule: CAT I | アプリケーションは入力処理に関する脆弱性を持ってはなりません。 |
| V-222612、SV-222612r864579_rule: CAT I | アプリケーションはオーバーフロー攻撃に対して脆弱であってはならない。 |
| V-222662、SV-222662r864444_rule:CAT I | デフォルトのパスワードは必ず変更しなければなりません。 |
| V-222642、SV-222642r849509_rule: CAT I | デザイナーは、アプリケーションに埋め込まれた認証データが含まれていないことを確実にします。 |
| V-222388、SV-222388r849416_rule: CAT II | アプリケーションは、セッションが終了した際に一時ストレージとクッキーをクリアする必要があります。 |
| V-222391、SV-222391r849419_rule: CAT II | ユーザーアクセス認証を必要とするアプリケーションは、ユーザーが開始した通信セッションに対してログオフ機能を提供する必要があります。 |
| V-222396、SV-222396r508029_rule: CAT II | アプリケーションは、リモートアクセスセッションの機密性を保護するために、DoD(国防総省)承認の暗号化を実装しなければなりません。 |
| V-222397、SV-222397r508029_rule: CAT II | アプリケーションは、リモートアクセスセッションの整合性を保護するために、暗号化メカニズムを実装する必要があります。 |
| V-222406、SV-222406r508029_rule: CAT II | アプリケーションは、SessionIndexがプライバシーデータに関連付けられている場合、メッセージが確実に暗号化されていることを保証する必要があります。 |
| V-222429、SV-222429r849430_rule: CAT II | アプリケーションは、特権のないユーザーが、実装されたセキュリティ保護策や対策を無効化、回避、または変更する特権機能を実行することを防止する必要があります。 |
| V-222513、SV-222513r864575_rule: CAT II | アプリケーションは、組織によって認識され承認された証明書を使用してデジタル署名されていることが確認されない限り、パッチ、サービスパック、またはアプリケーションコンポーネントのインストールを防止する機能を備えていなければなりません。 |
| V-222515、SV-222515r508029_rule: CAT II | アプリケーションの脆弱性評価を実施しなければなりません。 |
| V-222517、SV-222517r849455_rule: CAT II | アプリケーションは、許可されたソフトウェアプログラムの実行を許可するために、すべてを拒否し、例外によって許可する(ホワイトリスト)ポリシーを採用する必要があります。 |
| V-222518、SV-222518r508029_rule: CAT II | アプリケーションは、重要でない機能を無効にするように設定する必要があります。 |
| V-222523、SV-222523r508029_rule: CAT II | アプリケーションは多要素認証を使用しなければなりません(代替案。ネットワークアクセスのための特権アカウントに対するトークン認証。 |
| V-222524、SV-222524r849458_rule: CAT II | アプリケーションはパーソナルアイデンティティ認証(PIV)資格情報を受け入れる必要があります。 |
| V-222525、SV-222525r849459_rule: CAT II | アプリケーションは、個人識別認証(PIV)資格情報を電子的に検証しなければなりません。 |
| V-222576、SV-222576r508029_rule: CAT II | アプリケーションはセッションクッキーにセキュアフラグを設定する必要があります。 |
| V-222577、SV-222577r508029_rule: CAT II | アプリケーションはセッションIDを公開してはなりません。 |
| V-222579、SV-222579r508029_rule: CAT II | アプリケーションは、セッション固定攻撃を防ぐために、システム生成のセッション識別子を使用する必要があります。 |
| V-222581、SV-222581r508029_rule: CAT II | アプリケーションは、URLに埋め込まれたセッションIDを使用してはなりません。 |
| V-222582、SV-222582r508029_rule: CAT II | アプリケーションはセッションIDを再利用したり、リサイクルしたりしてはなりません。 |
| V-222593、SV-222593r864576_rule: CAT II | XMLベースのアプリケーションは、XMLフィルター、パーサーオプション、またはゲートウェイを使用してDoS攻撃を軽減する必要があります。 |
| V-222594、SV-222594r561257_rule: CAT II | アプリケーションは、自身または他の情報システムに対するサービス拒否(DoS)攻撃を実行する能力を制限する必要があります。 |
| V-222600、SV-222600r849490_rule: CAT II | アプリケーションはユーザーに対して不必要な情報を開示してはなりません。 |
| V-222603、SV-222603r508029_rule: CAT II | アプリケーションはクロスサイトリクエストフォージェリ(CSRF)の脆弱性から保護する必要があります。 |
| V-222606、SV-222606r508029_rule: CAT II | アプリケーションはすべての入力を検証する必要があります。 |
| V-222610、SV-222610r508029_rule: CAT II | アプリケーションは、敵対者に悪用される可能性のある情報を明らかにすることなく、是正措置に必要な情報を提供するエラーメッセージを生成する必要があります。 |
| V-222614、SV-222614r849497_rule: CAT II | セキュリティ関連のソフトウェアの更新とパッチは、常に最新の状態に保つ必要があります。 |
| V-222642、SV-222642r508029_rule: CAT II | アプリケーションには埋め込み認証データを含めてはいけません。 |
| V-222656、SV-222656r864438_rule: CAT II | アプリケーションはエラーハンドリングの脆弱性にさらされないようにしなければなりません。 |
| V-222667、SV-222667r864449_rule: CAT II | DoS攻撃に対する保護策を実施する必要があります。 |
関連情報
DoDアプリケーションセキュリティと開発STIGについて詳しく知りたい方は、セキュリティ技術実装ガイド(STIGs)– DoDサイバーエクスチェンジをご覧ください。