DISAのアプリケーションセキュリティおよび開発STIG、V5R3準拠レポート

このレポートは、お客様のアプリケーションに見つかったDISAのアプリケーションセキュリティおよび開発STIG、V5R3のコンプライアンス問題を表示しています。「Application Security and Development Security Technical Implementation Guide (STIG)」は、アプリケーション開発のライフ・サイクルを通じて使用するセキュリティー・ガイダンスを提供します。国防情報システム局 (DISA: Defense Information Systems Agency) は、アプリケーション開発プロセスのなるべく早い時期にこのガイドラインを現場で使用することを推奨しています。

サマリー

アプリケーションのセキュリティと開発 (ASD) セキュリティ技術実装ガイド (STIG) は、国防総省 (DoD) 情報システムのセキュリティを改善するツールとして発行されます。

対象情報

アプリケーションのセキュリティと開発 Stig は、クライアントアプリケーション、HTML、さまざまな Web 技術を使用したブラウザベースのアプリケーションを含む、ネットワーク経由で接続されたエンタープライズアプリケーションを保護するためのガイドラインを提供します。STIG は、DoD が開発、設計、管理するすべてのアプリケーションと、DoD ネットワークに接続されたシステムに必須です。管理者と開発者がアプリのセキュリティ制御を構成および保守するのに役立ちます。

対象組織

DoDI 8500.01 は、すべての DoD 情報技術がサイバーセキュリティのポリシー、標準、アーキテクチャに準拠することを要求しています。DISA は、制御相関識別子 (CCI)、セキュリティ要件ガイド (SRG)、セキュリティ技術実装ガイド (STIG)、モバイルコードリスクガイドラインの作成と維持を行い、これらがDoD のサイバーセキュリティの原則、標準、検証手順に確実に準拠するようにします。これは DoDI 8500.01 で許可されています。

AppScan と Application Security and Development STIG

AppScan 準拠性レポートは、スキャンしたアプリケーションの現在のセキュリティ状態による準拠性の問題を理解し、特定するのに役立ちます。このコンプライアンス・レポートでは、STIG 要件 ID を使用して STIG 要件を参照します。また、コンプライアンス・レポートには、STIG 要件の重大度レベルが含まれています。

  • カテゴリ I (カテゴリ I) - 不正利用が直接的かつ即時に機密性、利用可能性、完全性を損失するすべての脆弱性。
  • カテゴリ II (カテゴリ II)- 不正利用されると、機密性、利用可能性、または完全性が失われる可能性があるすべての脆弱性。
  • カテゴリー III (CAT III) - 存在していると、機密性、可用性、または整合性の喪失に対する保護手段を低下させる何らかの脆弱性。
Note: このコンプライアンスレポートの結果はカテゴリレベル別に整理されます (および各カテゴリレベル内では時間順にソートされます)。
Table 1. セクションと説明
セクション 説明
V-222425、SV-222425r508029_rule: カテゴリ I アプリケーションは、適用可能なアクセス制御ポリシーに従って、情報とシステムリソースへの論理アクセスに対する承認済みの承認を強制する必要があります。
V-222430、SV-222430r849431_rule: カテゴリ I アプリケーションは、過剰なアカウント許可なしで実行する必要があります。
V-222522、SV-222522r508029_rule: カテゴリ I アプリケーションは、組織のユーザー (または組織のユーザーの代わりに動作するプロセス) を一意に識別して認証する必要があります。
V-222542、SV-222542r508029_rule: カテゴリ I アプリケーションは、パスワードの暗号表現のみを保存する必要があります。
V-222596、SV-222596r849486_rule: カテゴリ I アプリケーションは、送信される情報の機密性と完全性を保護する必要があります。
V-222601、SV-222601r849491_rule: カテゴリ I アプリケーションは、非表示フィールドに機微な情報を保存してはなりません。
V-222602、SV-222602r561263_rule: カテゴリ I アプリケーションは、クロスサイトスクリプト (XSS) の脆弱性から保護する必要があります。
V-222604、SV-222604r508029_rule: カテゴリ I アプリケーションはコマンドインジェクションから保護する必要があります。
V-222607、SV-222607r508029_rule: カテゴリ I アプリケーションは、SQL インジェクションに対して脆弱であってはなりません。
V-222608、SV-222608r508029_rule: カテゴリ I アプリケーションは、 XML 指向の攻撃に対して脆弱であってはなりません。
V-222609、SV-222609r864578_rule: カテゴリ I アプリケーションは、入力処理の脆弱性の対象にしてはなりません。
V-222612、SV-222612r864579_rule: カテゴリ I アプリケーションは、オーバーフロー攻撃に対して脆弱であってはなりません。
V-222662、SV-222662r864444_rule: カテゴリ I デフォルトパスワードは変更する必要があります。
V-222642、SV-222642r849509_rule: カテゴリ I Designer は、アプリケーションに埋め込み認証データが含まれていないことを確認します。
V-222388、SV-222388r849416_rule: カテゴリ II アプリケーションは、セッションが終了したときに、一時ストレージと Cookie をクリアする必要があります。
V-222391、SV-222391r849419_rule: カテゴリ II ユーザーアクセス認証を必要とするアプリケーションは、ユーザーが開始した通信セッションに対してログオフ機能を提供する必要があります。
V-222396、SV-222396r508029_rule: カテゴリ II アプリケーションは、リモートアクセスセッションのプライバシーを保護するために、DoD 承認の暗号化を実装する必要があります。
V-222397、SV-222397r508029_rule: カテゴリ II アプリケーションは、リモートアクセスセッションの完全性を保護するために暗号化メカニズムを実装する必要があります。
V-222406、SV-222406r508029_rule: カテゴリ II アプリケーションは、Session Index がプライバシーデータに関連付けられている時、メッセージが暗号化されるようにする必要があります。
V-222429、SV-222429r849430_rule: カテゴリ II アプリケーションは、実装されているセキュリティ保護/対策の無効化、回避、変更を含む、特権のある機能を実行する非特権ユーザーを防止する必要があります。
V-222513、SV-222513r864575_rule: カテゴリ II アプリケーションは、組織によって認識され承認された証明書を使用してデジタル署名されていることの確認なしで、パッチ、サービスパック、アプリケーションコンポーネントをインストールすることを防止する機能を持っている必要があります。
V-222515、SV-222515r508029_rule: カテゴリ II アプリケーションの脆弱性評価を実施する必要があります。
V-222517、SV-222517r849455_rule: カテゴリ II アプリケーションは、すべて拒否、例外で許可 (ホワイトリスト) ポリシーを使用して、許可されたソフトウェアプログラムの実行を許可する必要があります。
V-222518、SV-222518r508029_rule: カテゴリ II 必須以外の機能を無効にするようにアプリケーションを構成する必要があります。
V-222523、SV-222523r508029_rule: カテゴリ II アプリケーションでは多要素 (Alt.Token) 特権アカウントへのネットワークアクセス用の認証。Token) 特権アカウントへのネットワークアクセス用の認証。
V-222524、SV-222524r849458_rule: カテゴリ II アプリケーションは、Personal ID 確認 (PIV) の資格情報を受け入れる必要があります。
V-222525、SV-222525r849459_rule: カテゴリ II アプリケーションでは、Personal ID 確認 (PIV) 資格情報を電子的に確認する必要があります。
V-222576、SV-222576r508029_rule: カテゴリ II アプリケーションは、セッション Cookie に安全フラグを設定する必要があります。
V-222577、SV-222577r508029_rule: カテゴリ II アプリケーションはセッション ID を公開してはなりません。
V-222579、SV-222579r508029_rule: カテゴリ II アプリケーションは、セッション固定から保護するシステム生成のセッション識別子を使用しなければなりません。
V-222581、SV-222581r508029_rule: カテゴリ II アプリケーションでは、URL 埋め込みセッション ID を使用してはなりません。
V-222582、SV-222582r508029_rule: カテゴリ II アプリケーションはセッション ID を再利用または再利用してはなりません。
V-222593、SV-222593r864576_rule: カテゴリ II XML ベースのアプリケーションは、XML フィルタ、パーサーオプション、ゲートウェイを使用して、DoS 攻撃を軽減する必要があります。
V-222594、SV-222594r561257_rule: カテゴリ II アプリケーションは、それ自身または他の情報システムに対してサービス拒否 (DoS) 攻撃を開始する機能を制限する必要があります。
V-222600、SV-222600r849490_rule: カテゴリ II アプリケーションは、ユーザーに不要な情報を公開してはなりません。
V-222603、SV-222603r508029_rule: カテゴリ II アプリケーションは、クロスサイトリクエストフォージェリ (CSRF) の脆弱性から保護する必要があります。
V-222606、SV-222606r508029_rule: カテゴリ II アプリケーションはすべての入力を有効にする必要があります。
V-222610、SV-222610r508029_rule: カテゴリ II アプリケーションは、攻撃者に悪用される可能性がある情報を公開することなく、修正アクションをゼロにするために必要な情報を提供するエラーメッセージを生成する必要があります。
V-222614、SV-222614r849497_rule: カテゴリ II セキュリティ関連のソフトウェアの更新とパッチは、最新の状態に保つ必要があります。
V-222642、SV-222642r508029_rule: カテゴリ II アプリケーションには、埋め込み認証データを含めることはできません。
V-222656、SV-222656r864438_rule: カテゴリ II アプリケーションは、エラー処理の脆弱性にさらされてはなりません。
V-222667、SV-222667r864449_rule: カテゴリ II DoS 攻撃に対する保護を実装する必要があります。