DISAのアプリケーションセキュリティおよび開発STIG、V6R1コンプライアンスレポート
このレポートは、DISAのアプリケーションセキュリティおよび開発STIG、V6R1コンプライアンス問題をアプリケーション上で発見した結果を表示します。アプリケーションセキュリティおよび開発セキュリティ技術実装ガイド(STIG)は、アプリケーション開発ライフサイクル全体を通して使用されるセキュリティガイダンスを提供します。国防情報システム局(DISA)は、アプリケーション開発プロセスの早い段階でこれらのガイドラインを使用することを推奨しています。
概要
アプリケーションセキュリティおよび開発(ASD)セキュリティ技術実装ガイド(STIG)は、国防総省(DoD)情報システムのセキュリティを向上させるツールとして発行されています。
対象情報
アプリケーションセキュリティおよび開発STIGは、ネットワーク経由で接続されるエンタープライズアプリケーションのセキュリティに関するガイドラインを提供します。これには、クライアントアプリケーション、HTML、およびJava、JavaScript、.NET、クラウド、RESTfulベース、およびSOA指向のWebサービスなどの技術を使用するブラウザベースのアプリケーションが含まれます。STIGは、すべてのDoDが開発、設計、管理するアプリケーションおよびシステムに対して必須であり、これにより管理者や開発者がアプリケーションのセキュリティコントロールを設定および維持することができます。
対象エンティティ
DoD指令(DoDI)8500.01は、すべてのDoD情報技術がサイバーセキュリティポリシー、標準、およびアーキテクチャに準拠する必要があることを規定しています。DISAは、制御相関識別子(CCI)、セキュリティ要求ガイド(SRG)、セキュリティ技術実装ガイド(STIG)、およびモバイルコードリスクガイドラインを作成および維持する責任を負い、これがDoDのサイバーセキュリティ原則、標準、および検証手順に準拠していることを確認します。これは、DoDI 8500.01によって承認されています。
AppScanとアプリケーションセキュリティおよび開発STIG
AppScanコンプライアンスレポートは、スキャンされたアプリケーションの現在のセキュリティ状態によって引き起こされるコンプライアンス問題を理解し、特定するのに役立ちます。このコンプライアンスレポートは、STIG要求IDを使用してSTIG要求を参照します。また、コンプライアンスレポートには、STIGに記載されている要求の深刻度レベルも含まれています:
- カテゴリI(CAT I) - 機密性、可用性、または完全性の喪失に直接的かつ即時に繋がる脆弱性。
- カテゴリII(CAT II) - 機密性、可用性、または完全性の喪失に繋がる可能性のある脆弱性。
- カテゴリIII(CAT III) - 機密性、可用性、または完全性の保護手段を劣化させる脆弱性。
セクション | 説明 |
---|---|
V-222425, SV-222425r508029_rule: CAT I | アプリケーションは、適用されるアクセス制御ポリシーに従って、論理的な情報およびシステムリソースへの承認されたアクセスのみを強制する必要があります。 |
V-222430, SV-222430r849431_rule: CAT I | アプリケーションは、過度なアカウント権限を使用せずに実行される必要があります。 |
V-222522, SV-222522r508029_rule: CAT I | アプリケーションは、組織のユーザー(または組織のユーザーに代わって行動するプロセス)を一意に識別し、認証する必要があります。 |
V-222542, SV-222542r508029_rule: CAT I | アプリケーションは、パスワードの暗号化表現のみを保存する必要があります。 |
V-222596, SV-222596r849486_rule: CAT I | アプリケーションは、送信される情報の機密性および完全性を保護する必要があります。 |
V-222601, SV-222601r849491_rule: CAT I | アプリケーションは、隠しフィールドに機密情報を保存してはなりません。 |
V-222602, SV-222602r561263_rule: CAT I | アプリケーションは、クロスサイトスクリプティング(XSS)脆弱性から保護する必要があります。 |
V-222604, SV-222604r508029_rule: CAT I | アプリケーションは、コマンドインジェクションから保護する必要があります。 |
V-222607, SV-222607r508029_rule: CAT I | アプリケーションは、SQLインジェクションに対して脆弱であってはなりません。 |
V-222608, SV-222608r508029_rule: CAT I | アプリケーションは、XML指向の攻撃に対して脆弱であってはなりません。 |
V-222609, SV-222609r864578_rule: CAT I | アプリケーションは、入力処理の脆弱性に対して脆弱であってはなりません。 |
V-222612, SV-222612r864579_rule: CAT I | アプリケーションは、オーバーフロー攻撃に対して脆弱であってはなりません。 |
V-222662, SV-222662r864444_rule: CAT I | デフォルトのパスワードは変更されなければなりません。 |
V-222642, SV-222642r849509_rule: CAT I | 設計者は、アプリケーションが認証データを埋め込んでいないことを確認します。 |
V-222388, SV-222388r849416_rule: CAT II | アプリケーションは、セッションが終了したときに一時記憶とクッキーをクリアする必要があります。 |
V-222391, SV-222391r849419_rule: CAT II | ユーザーアクセス認証を必要とするアプリケーションは、ユーザーが開始した通信セッションに対してログオフ機能を提供する必要があります。 |
V-222396, SV-222396r508029_rule: CAT II | アプリケーションは、リモートアクセスセッションの機密性を保護するために、DoD承認の暗号化を実装する必要があります。 |
V-222397, SV-222397r508029_rule: CAT II | アプリケーションは、リモートアクセスセッションの完全性を保護するために、暗号化メカニズムを実装する必要があります。 |
V-222406, SV-222406r508029_rule: CAT II | アプリケーションは、セッションインデックスがプライバシーデータに関連付けられている場合、メッセージが暗号化されることを確認する必要があります。 |
V-222429, SV-222429r849430_rule: CAT II | アプリケーションは、特権を持たないユーザーが実施した場合、実装されたセキュリティ対策や安全対策を無効化、回避、または変更することを防止する必要があります。 |
V-222513, SV-222513r864575_rule: CAT II | アプリケーションは、パッチ、サービスパック、またはアプリケーションコンポーネントが、組織によって承認された証明書を使用してデジタル署名されていることを確認することなく、インストールを防止する機能を持っている必要があります。 |
V-222515, SV-222515r508029_rule: CAT II | アプリケーション脆弱性評価が実施されなければなりません。 |
V-222517, SV-222517r849455_rule: CAT II | アプリケーションは、承認されたソフトウェアプログラムの実行を許可するために、許可例外を伴う全拒否ポリシー(ホワイトリスト)を使用する必要があります。 |
V-222518, SV-222518r508029_rule: CAT II | アプリケーションは、不要な機能を無効にするように設定されなければなりません。 |
V-222523, SV-222523r508029_rule: CAT II | アプリケーションは、特権アカウントへのネットワークアクセスに多要素(代替トークン)認証を使用する必要があります。 |
V-222524, SV-222524r849458_rule: CAT II | アプリケーションは、個人認証情報(PIV)認証情報を受け入れる必要があります。 |
V-222525, SV-222525r849459_rule: CAT II | アプリケーションは、個人認証情報(PIV)認証情報を電子的に確認する必要があります。 |
V-222576, SV-222576r508029_rule: CAT II | アプリケーションは、セッションCookieにセキュアフラグを設定する必要があります。 |
V-222577, SV-222577r508029_rule: CAT II | アプリケーションは、セッションIDを公開してはなりません。 |
V-222579, SV-222579r508029_rule: CAT II | アプリケーションは、セッション固定攻撃に対する保護を提供するシステム生成のセッション識別子を使用する必要があります。 |
V-222581, SV-222581r508029_rule: CAT II | アプリケーションは、URLに埋め込まれたセッションIDを使用してはなりません。 |
V-222582, SV-222582r508029_rule: CAT II | アプリケーションは、セッションIDを再利用または再生成してはなりません。 |
V-222593, SV-222593r864576_rule: CAT II | XMLベースのアプリケーションは、XMLフィルター、パーサーオプション、またはゲートウェイを使用してDoS攻撃を緩和する必要があります。 |
V-222594, SV-222594r561257_rule: CAT II | アプリケーションは、DoS攻撃を自分自身または他の情報システムに対して開始する能力を制限する必要があります。 |
V-222600, SV-222600r849490_rule: CAT II | アプリケーションは、ユーザーに不要な情報を開示してはなりません。 |
V-222603, SV-222603r508029_rule: CAT II | アプリケーションは、クロスサイトリクエストフォージェリ(CSRF)脆弱性から保護する必要があります。 |
V-222606, SV-222606r508029_rule: CAT II | アプリケーションは、すべての入力を検証する必要があります。 |
V-222610, SV-222610r508029_rule: CAT II | アプリケーションは、攻撃者に悪用される情報を開示せず、必要な修正措置のための情報のみを提供するエラーメッセージを生成する必要があります。 |
V-222614, SV-222614r849497_rule: CAT II | セキュリティ関連のソフトウェアの更新およびパッチは最新の状態に保たれる必要があります。 |
V-222642, SV-222642r508029_rule: CAT II | アプリケーションには、埋め込まれた認証データが含まれてはなりません。 |
V-222656, SV-222656r864438_rule: CAT II | アプリケーションは、エラーハンドリングの脆弱性に対して脆弱であってはなりません。 |
V-222667, SV-222667r864449_rule: CAT II | DoS攻撃に対する保護が実施されなければなりません。 |