ポータルのショートカット NAVERクラウドプラットフォームのマニュアル

System Security Checkerのご紹介

機能

System Security Checkerは顧客が作成したサーバのオペレーティングシステムとアパッチ(Apache)のセキュリティ設定を点検し、セキュリティの観点から適切な値で設定できるように案内します。

特徴

KISAのセキュリティ設定ガイドとNAVERのセキュリティ設定ポリシーに基づいて、利便性とセキュリティ上の安全性すべてを高められる項目を中心に選別して点検します。それぞれの項目はセキュリティ上重要な設定を点検し、脆弱な場合は正しく設定できるようにガイドを提供します。

期待効果

System Security Checkerを利用してセキュリティ設定を点検し、ガイドに従って設定を修正すれば、サーバのセキュリティ性の向上を期待できます。例えば、ユーザーのパスワードの長さを8文字以上にし、最大の使用期間を90日以下に設定すると、外部攻撃者のブルートフォースアタックによるサーバへの侵入を事前に防ぐことができます。 このように比較的簡単ないくつかの設定のみでサーバのセキュリティ性を向上させ、サービスをより安全に作ることができます。

ご利用の前に

Q. System Security Checkerとは何ですか？

• System Security Checkerは顧客のVMで駆動できるAgentを提供します。顧客が希望するサーバまたは時点にAgentをダウンロードして直接検査を実行する方式のシステムです。
• System Security Checkerは顧客が作成したサーバのセキュリティ設定を点検します。基本設定をセキュリティの観点から適切な値に設定できるように案内します。

Q. サーバを点検するにはどんな権限が必要ですか？

• サーバを点検するためには管理者(root)権限が必要です。一部の重要なシステムファイルを確認するためには管理者権限が必要ですので、必ず管理者権限でエージェントを実行してください。

Q. System Security Checkerの検査範囲について教えてください。

• 顧客が使用するサーバのオペレーティングシステム(Windows, Linux)
• 顧客が活用するWAS(Apache, Tomcat, Nginx)の設定

Q. System Security Checkerはどのように使いますか？

• 次の手順に従って点検を行います。

  

• コンソールにアクセスおよび利用の申込み: MC Consoleにアクセス、[Security > Security Checker > System Security Checker]メニューで'利用のお申込み'をクリック、規約に同意および申込み

• 点検するVMにターミナルアクセス: アクセスガイドに従ってサーバに直接ターミナルアクセス
• エージェントのダウンロード: 点検に必要なエージェントを直接ダウンロード
• エージェントの実行: エージェントを実行すると、自動でサーバのセキュリティ設定を点検
• 結果の確認: MC Consoleにアクセス、[Security > Security Checker > System Security Checker]メニューで点検結果を確認

Q. 点検時間はどのくらいかかりますか？

• 通常最大5秒を超えません。
• 点検が正常に終了しなかった場合は60秒以降は強制終了するように設計されています。強制終了の時間は基本60秒であり、-t(--timeout)オプションで秒単位で設定できます。

Q. 一度点検してから、再び実行したらエージェントが実行できません。

• 5分(300秒)以内に同じ点検対象を繰り返して点検すると、次のようなエラーメッセージが出力されます。
  • Project Execution Time Interval (linux) : 5 min (over 300 seconds)
• しばらく待って5分が過ぎた後、再び点検を行ってください。

Q. 利用を解除すると、以前点検した結果は見られません。

• 利用の申込みの後の点検結果のみを表示するように設計されています。以前の点検結果を確認したい場合は利用解除を慎重に決めてください。

  

点検方法

Linuxの点検方法

Step 1. コンソールにアクセスおよび利用の申込み

• MC Consoleにアクセス: https://console.ncloud.com

  

• 左側のメニュー領域で'System Security Checker'商品メニューをクリック

  • 左側のメニューに商品名が見えない場合、次のようにProducts & Servicesで該当の商品名の左にある星印をクリックしてお気に入りに追加

    

• 利用のお申込みをクリック

  

Step 2. 点検する対象のVMにアクセス

• Linuxサーバアクセスガイド
• 現在はLinux 64 bit OSのみをサポートします。(32 bitは今後サポートする予定)

Step 3. エージェントのダウンロード

• VMで実行されるエージェントをダウンロード

  # wget http://ossc.ncloud.com:10080/download/ncp_secuagent.tar.gz
  

Step 4. Agentの実行

root権限で点検を行わなければなりません。

• Agentの圧縮を解除

  # tar xvzf ncp_secuagent.tar.gz
  ncp_secuagent
  

• Agentを実行

  # ./ncp_secuagent
  [Project : linux] => Success
  
  Apacheの点検の際は次のようにオプションを追加
  # ./ncp_secuagent -p apache
  Tomcatの点検の際は次のようにオプションを追加
  # ./ncp_secuagent -p tomcat
  Nginxの点検の際は次のようにオプションを追加
  # ./ncp_secuagent -p nginx
  

  • Successで結果が表示されたら、点検が正常に終了される

• 使用可能なオプション

  • -h [ --help ] ヘルプを出力
  • -v [ --version ] エージェントのバージョンを出力
  • -d [ --debug ] デバッグのためのメッセージを出力
  • -t [ --timeout ] arg (default : 60 sec), 1秒単位で設定可能であり、timeout時間内に点検が終了しなかった場合は強制終了
  • -p [ --project ] arg (finance, apache, tomcat, nginx) - Apache, Tomcatまたは、Nginxのセキュリティ設定を点検
    • finance : 金融保安院の電子金融基盤施設基準のLinux OSセキュリティ設定点検をサポート

Step 5. 結果の確認

• MC Console [Security > Security Checker > System Security Checker]メニューで点検された結果を確認

  

• Reportで点検結果がBadの項目のみを確認したい場合

  • '詳細結果および措置'で赤いボックスで表示された部分の'点検結果'を'Bad'に選択してから検索ボタンをクリック

    

  • 画面の下の'Report'ボタンをクリックすると、'Bad'項目のみReportに出力される

• 危険度が'Critical'である項目のみを確認したい場合

  • '詳細結果および措置'で'危険度'を'Critical'に選択してから検索ボタンをクリック
  • 画面の下の'Report'ボタンをクリックすると、危険度が'Critical'である項目のみReportに出力される

Step 6. 詳細レポート

• 'レポート'ボタンをクリックすると、詳細レポートを確認

• 詳細レポートでは点検項目全体を確認することもでき、Step 5のように特定の条件を満足させる項目のみを確認することもできる

  

Windowsの点検方法

Step 1. コンソールへのアクセスおよび利用の申込み

• MC Consoleにアクセス: https://console.ncloud.com
• 左側のメニュー領域で'System Security Checker'商品のメニューをクリック

• 利用のお申込みをクリック

  

Step 2. 点検する対象のVMにアクセス

• Windowsサーバアクセスガイド
• 現在はWindows 64 bit OSのみをサポートします。(32 bitは今後サポートする予定)

Step 3. エージェントのダウンロード

• VMで実行されるエージェントをダウンロード

• インターネットブラウザで次のURLにアクセスしてダウンロード

  # http://ossc.ncloud.com:10080/download/ncp_secuagent.zip
  

• 圧縮を解除

Step 4. Agentの実行

• ncp_secuagentファイルがあるディレクトリで'shift + マウス右クリック'

• ポップアップメニューで'コマンドウィンドウをここで開く(W)'をクリック

  

• Agentを実行

    cmd> ncp_secuagent.exe
    [project : windows] => Success
  

  

• 次のようなメッセージが出力されると、点検が終了した状態

    [project : windows] => Success
  

• 使用可能なオプション

  • -h [ --help ] ヘルプを出力
  • -v [ --version ] エージェントのバージョンを出力
  • -d [ --debug ] デバッグのためのメッセージを出力
  • -t [ --timeout ] arg (default : 60 sec), 1秒単位で設定可能であり、timeout時間内に点検が終了しなかった場合は強制終了

Step 5. 結果の確認

• MC Console [Security > Security Checker > System Security Checker]メニューで点検された結果を確認

本商品はグローバルリージョンサービスとしても提供されます。

Global Region使用ガイド