コモンクライテリアの設定

Common Securityの証明書がDeep Security 20に発行されました。コモンクライテリア は、コンピュータセキュリティ認証の国際標準です。このトピックでは、コモンクライテリア評価保証レベル2以上の認定を受けた構成(CC EAL2 +)でDeep Securityを配置する方法について説明します。 Deep Security 20 Security Target のドキュメントと組み合わせて使用します。

Deep Security 20の証明書レポートおよびDeep Security 20のセキュリティ対象への直接リンクは、次の場所にあります。

Deep Security 20証明書レポート

Deep Security 20 Security Target

コモンクライテリア標準の一部として、 Deep Securityの管理者は組織のセキュリティポリシーと手順を十分に理解し、 Deep Securityの使用方法に関するトレーニングを受け、このガイドに記載されたガイダンスに従ってDeep Securityを設定できることが求められます。この記事とDeep Security 20の残りのドキュメントを参照してください。

CC EAL2 +認証済みの設定を配信するには、次の手順に従います。特に明記されていないかぎり、すべての手順が必須です。

手順1: Deep Securityのインストール

このヘルプセンターの他のセクションの手順に従って、通常どおりにDeep Securityソフトウェアをインストールして設定します。Common Criteria認定の設定で配信するには、 Deep Security Download Centerから評価済みのソフトウェアバージョンをダウンロードしてインストールします。

インストール時には、次のことを確認してください。

  • Deep Security Manager、そのデータベース、 Deep Security Virtual Appliance、ESXiサーバ、vCenter、vShield Manager、およびNSX Managerを格納する施設は、すべて物理的に安全です。
  • Deep Security Managerは、他の主要なアプリケーションがインストールされたコンピュータで実行されておらず、組織のベストプラクティスに従って強化されています。
  • Deep Security Managerコンピュータは、受信および送信トラフィックが厳格に制御される隔離されたネットワークセグメント内に配置されます。
  • Managerコンピュータにアクセスできるのは、正しい管理権限を持つ許可されたユーザのみです。
  • エージェントとRelayコンピュータにアクセスできるのは、許可されたユーザのみです。
  • この環境は、信頼性が高く安全なドメインネームサーバ(DNS)サービスとネットワークタイムプロトコル(NTP)サービスを提供します。
  • VMware仮想インフラストラクチャ(ESXiサーバ、vCenter、vShield Manager、NSX Manager)は十分に強固で、盗難から保護されています。
  • Deep Security Virtual Applianceの管理インタフェースは、隔離された内部のみのネットワーク上に存在します(アクセスが制限されます)。
  • Deep Security Virtual Applianceは、 不正プログラム対策 のみを提供します。 侵入防御 (IPS)などの他のモジュールが必要な場合は、 Deep Security AgentとApplianceをコンバインモードで使用します。Agentレスによる保護またはコンバインモードの保護の選択を参照してください。
  • ドメインネームサーバ(DNS)の応答時間は妥当です。Deep Securityには、DNS応答時間が非常に遅い場合に一部の不正プログラムが検出されないという既知の問題があります。

コモンクライテリアの設定では、日本語に対するShift JIS(Shift_JIS)文字エンコードの使用はサポートされていません。

このトピックの残りの手順では、コモンクライテリアが評価された設定に到達するために、初期インストールおよび設定に対して行う必要のある変更について説明します。

手順2:FIPSモードを有効にする

Deep SecurityがFIPS 140モードで動作するように設定する必要があります。手順については、「 FIPS 140のサポート 」を参照してください。かなりの数の手順、制限、および要件があります。たとえば、 Deep Security Scanner (SAP Netweaverとの統合) はサポートされていません。 FIPSのすべての手順、制限、および要件が適用されます。

FIPS 140のサポート ページに記載されているタスクを完了するほかに、次のことも実行する必要があります。

  • SQL ServerでTLSをバージョン1.2に制限します。詳細については、「 KB3135244-TLS 1.2 support for Microsoft SQL Server from Microsoft」を参照してください。
  • 保護対象のOSでFIPSモードを有効にします。 WindowsでFIPSモードを有効にする手順については、MicrosoftのFIPS 140検証を参照してください。

手順3:不正アクセスを防ぐためにDeep Securityを強化する

Deep Securityコンポーネントを強化して、脆弱性の影響を軽減し、不正アクセスを防止する必要があります。システムを強化するには、以下のリンクに従ってください。これらのタスクの一部は、FIPSモードの設定時に完了している場合があります。

必須の強化タスク:

オプションの強化タスク:

手順4:強力なパスワードポリシーを適用する

強力なパスワードポリシーを適用する必要があります。詳細については、 ユーザパスワードルールの適用 を参照してください。ポリシーには、少なくとも次の特性が必要です。

  • ユーザパスワードの最小文字数 は、初期設定の8文字以上である必要があります。
  • ログオン失敗の許容回数 (ロックアウト前) は初期設定の5回を超えてはなりません。

手順5:従来のAPIを無効にする

次の手順に従って、SOAPおよびステータス監視APIを無効にする必要があります。

  1. [ Deep Security Manager]で、[管理]→[システム設定]→[詳細] の順にクリックします。
  2. [SOAP WebサービスAPI]セクションで、[無効]を選択します。
  3. [ステータス監視API]セクションで、[無効]を選択します。
  4. 保存 をクリックします。

手順6:アラートのメール通知を設定する

すべての通知の送信先メールアドレスを設定する必要があります。 アラートのメール通知を設定する」を参照してください。初期設定では、アラートごとにDeep Security Managerからメール通知が送信されます。初期設定のアラート通知は無効にしないでください。

次の手順(動作確認済みの設定での運用)

認定された設定でDeep Securityを使用するには、次のことを確認してください。

  • 追加ユーザ
    のアカウントを作成する

    管理アカウント(初期設定ではMasterAdmin)は、 Deep Security Managerのインストール時に作成されたものです。追加のユーザ用に新しいアカウントを作成し、 Deep Securityのインストールを担当する元の管理者のみがMasterAdminアカウントをバックアップとして使用するようにします。その他のアカウントは、継続的な管理および設定タスクに使用します。

  • Deep Security Managerのコマンドラインインターフェイス (dsm_c)の使用を停止します

    このインタフェースは、Managerの初期インストールおよび設定では使用できますが、CC EAL2 +認証の設定には含まれていないため、以降は使用しないでください。

  • Deep Security Agentのコマンドラインインタフェース (dsa_controlおよびdsa_query)の使用を停止します。

    これらのインタフェースは、 エージェントの初期インストール時および設定時に許可されますが、CC EAL2 +認証の設定には含まれないため、その後は使用しないでください。

  • 通常の操作中はDeep Security Virtual Applianceをシャットダウンしないでください。

    不明な理由でアプライアンスがオフラインのように見える場合は、常に原因を調査してください。