Common Securityの証明書がDeep Security 20に発行されました。コモンクライテリア は、コンピュータセキュリティ認証の国際標準です。このトピックでは、コモンクライテリア評価保証レベル2以上の認定を受けた構成 (CC EAL2 +) でDeep Securityを配置する方法について説明します。Deep
Security 20 Security Targetのドキュメントと組み合わせて使用します。
Deep Security 20の証明書レポートおよびDeep Security 20のセキュリティ対象への直接リンクは、次の場所にあります。
 |
注意コモンクライテリア標準の一部として、 Deep Securityの管理者は組織のセキュリティポリシーと手順を十分に理解し、 Deep Securityの使用方法に関するトレーニングを受け、このガイドに記載されたガイダンスに従ってDeep
Securityを設定できることが求められます。この記事とDeep Security 20の残りのドキュメントを参照してください。
|
CC EAL2 +認証済みの設定を配信するには、次の手順に従います。特に明記されていないかぎり、すべての手順が必須です。
手順1: Deep Securityのインストール
このヘルプセンターの他のセクションの手順に従って、通常どおりにDeep Securityソフトウェアをインストールして設定します。Common Criteria認定の設定で配信するには、Deep Security Download Centerから評価済みのソフトウェアバージョンをダウンロードしてインストールします。
インストール時には、次のことを確認してください。
-
Deep Security Manager、そのデータベース、 Deep Security Virtual Appliance、ESXiサーバ、vCenter、vShield Manager、およびNSX Managerを格納する施設は、すべて物理的に安全です。
-
Deep Security Managerは、他の主要なアプリケーションがインストールされたコンピュータで実行されておらず、組織のベストプラクティスに従って強化されています。
-
Deep Security Managerコンピュータは、受信および送信トラフィックが厳格に制御される隔離されたネットワークセグメント内に配置されます。
-
Managerコンピュータにアクセスできるのは、正しい管理権限を持つ許可されたユーザのみです。
-
エージェントとRelayコンピュータにアクセスできるのは、許可されたユーザのみです。
-
この環境は、信頼性が高く安全なドメインネームサーバ(DNS)サービスとネットワークタイムプロトコル(NTP)サービスを提供します。
-
VMware仮想インフラストラクチャ(ESXiサーバ、vCenter、vShield Manager、NSX Manager)は十分に強固で、盗難から保護されています。
-
Deep Security Virtual Applianceの管理インタフェースは、隔離された内部のみのネットワーク上に存在します(アクセスが制限されます)。
-
Deep Security Virtual Applianceは、 不正プログラム対策 のみを提供します。 侵入防御 (IPS) などの他のモジュールが必要な場合は、 Deep Security AgentとApplianceをコンバインモードで使用します。Agentレスによる保護またはコンバインモードの保護の選択を参照してください。
-
ドメインネームサーバ(DNS)の応答時間は妥当です。Deep Securityには、DNS応答時間が非常に遅い場合に一部の不正プログラムが検出されないという既知の問題があります。
|
注意コモンクライテリアの設定では、日本語に対するShift JIS(Shift_JIS)文字エンコードの使用はサポートされていません。
|
このトピックの残りの手順では、コモンクライテリアが評価された設定に到達するために、初期インストールおよび設定に対して行う必要のある変更について説明します。
ステップ2:FIPSモードを有効にする
Deep SecurityをFIPS 140モードで動作するように構成する必要があります。手順については、FIPS 140サポートを参照してください。いくつかの手順、制限、および要件があります。たとえば、Deep Security Scanner (SAP Netweaverとの統合) はサポートされていません。すべてのFIPS手順、制限、および要件が適用されます。
FIPS 140サポートページに記載されているタスクを完了することに加えて、次のことも行う必要があります:
-
SQLサーバでTLSをバージョン1.2に制限します。詳細については、MicrosoftのKB3135244 - Microsoft SQLサーバのTLS 1.2サポートを参照してください。
-
保護されているOSでFIPSモードを有効にします。WindowsでFIPSモードを有効にする手順については、MicrosoftのFIPS 140 Validationを参照してください。
手順3: 不正アクセスを防ぐためにDeep Securityを強化する
Deep Securityコンポーネントを強化して、脆弱性の影響を軽減し、不正アクセスを防止する必要があります。システムを強化するには、以下のリンクに従ってください。これらのタスクの一部は、FIPSモードの設定時に完了している場合があります。
必須の強化タスク:
-
Deep Securityデータベースの強化― SQL Serverを使用している場合は、Microsoft SQL Server の保護を参照してください
-
Deep Securityリリースノート を確認して、セキュリティ関連の既知の問題を回避してください
オプションの強化タスク:
-
エージェントセルフプロテクション を有効または無効にします (オプションで有効にします)
手順4: 強力なパスワードポリシーを適用する
強力なパスワードポリシーを適用する必要があります。詳細については、ユーザパスワードルールの強制を参照してください。ポリシーには、少なくとも次の特性が必要です。
-
[ユーザパスワードの最小文字数]はデフォルトの8以上でなければなりません
-
[ログオン失敗の許容回数 (ロックアウト前)]はデフォルトの5以下でなければなりません
手順5: 従来のAPIを無効にする
次の手順に従って、SOAPおよびステータス監視APIを無効にする必要があります。
-
Deep Security Managerで、[管理]→[システム設定 > Advanced] をクリックします。
-
[SOAP WebサービスAPI]セクションで、[無効]を選択します。
-
[ステータス監視API]セクションで、[無効]を選択します。
-
[保存] をクリックします。
ステップ 6: アラートのメール通知の設定
すべての通知の送信先メールアドレスを設定する必要があります。 アラートのメール通知の設定を参照してください。初期設定では、アラートごとにDeep Security Managerからメール通知が送信されます。初期設定のアラート通知は無効にしないでください。
次の手順 (動作確認済みの設定での運用)
認定された設定でDeep Securityを使用するには、次のことを確認してください。
-
追加ユーザのアカウントを作成する管理アカウント(初期設定ではMasterAdmin)は、 Deep Security Managerのインストール時に作成されたものです。追加のユーザ用に新しいアカウントを作成し、 Deep Securityのインストールを担当する元の管理者のみがMasterAdminアカウントをバックアップとして使用するようにします。その他のアカウントは、継続的な管理および設定タスクに使用します。
-
Deep Security Managerのコマンドラインインターフェイス (dsm_c) の使用を停止しますこのインタフェースは、Managerの初期インストールおよび設定では使用できますが、CC EAL2 +認証の設定には含まれていないため、以降は使用しないでください。
-
Deep Security Agentのコマンドラインインタフェース (dsa_controlおよびdsa_query) の使用を停止しますこれらのインタフェースは、 エージェントの初期インストール時および設定時に許可されますが、CC EAL2 +認証の設定には含まれないため、その後は使用しないでください。
-
通常の操作中はDeep Security Virtual Applianceをシャットダウンしないでください。不明な理由でアプライアンスがオフラインのように見える場合は、常に原因を調査してください。