Security Center の Baseline Check を利用した中国サイバーセキュリティ法のサイバーセキュリティ等級保護2.0対策

作成日:2019/11/08この記事は最終更新日から2年以上が経過しています。

Security Center の Baseline Check を利用した中国サイバーセキュリティ法のサイバーセキュリティ等級保護2.0対策

はじめに

中国でビジネスを行っている方にとって、中国サイバーセキュリティ法は情報が少なく困っている方が多いと思います。
今日はそのような方にとって役立ちそうなプロダクトをご紹介します。
なお、Security Center は日本サイトではローンチされていないため、試してみるには International サイトになります。

Security Center の Baseline Check とは

Alibaba Cloud の Security Center は ECS、SLBなどのAlibaba Cloudプロダクト、または Alibaba Cloud 外部のサーバを管理し、セキュリティコンプライアンスを高めることが出来るのプロダクトです。
Security Center を利用すると脆弱性やOSレイヤーのセキュリティ設定など細かく管理することができます。
その Security Center の Enterprise エディション(有償)機能には、Baseline Check というセキュリティに関するチェック項目を一括で管理するためのポリシー設定があります。

Security Center Baseline Check Overview

img


サイバーセキュリティ法のサイバーセキュリティ等級保護2.0 とは

Alibaba Cloud も取得しているセキュリティ認証でこちらのロゴをご存知でしょうか。

img

こちらの認証は中国独自のセキュリティ認証でMLPS(The Multi-Level Protection Scheme)と呼ばれるものです。
2007年に始まったMLPSは、情報システムの重要性に応じてセキュリティレベルを5段階に分類し、いずれかの認証を取得させるものです。(数字が大きいほど重要性が高いシステム)

例えば、Alibaba Cloud だとMLPSレベル3、AliPayのような金融サービスだとMLPSレベル4といった具合です。
これまでは一部のIT事業者などが取得する認証でしたが、2018年6月に「サイバーセキュリティ等級保護条例(案)」(意見募集稿)が出たことで、中国国内でビジネスを行う全ての事業者に適用が求められることになっています。

旧来のMLPSからの発展になるので、 MLPS2.0 もしくは サイバーセキュリティ等級保護2.0 と呼ばれています。

img

まだ確定はしていないですが、このサイバーセキュリティ等級保護2.0 は 2019年12月 施行予定になります。


Security Center における対策例

Security Center の Baseline Check に話を戻します。
Baseline Check は自分でセキュリティチェックのポリシー設定することが可能ですが、最初から Alibaba Cloud が用意しているポリシーテンプレートがあります。
この中でサイバーセキュリティ等級保護レベルに応じたチェック項目が用意されているので、システムのセキュリティチェックがとても簡単になります。

左メニュー Baseline Chack → Manage Policies をクリック

img

+Create Policy をクリック

img

各OS毎にサイバーセキュリティ等級保護2.0のレベル2もしくはレベル3のセキュリティコンプライアンスのポリシーが用意されています。

img

あとはこのポリシーを作って、セキュリティチェックを実施。
もしリスクがあれば解決方法まで提案してくれます。

例)セキュリティリスク一覧

img

例)特定のセキュリティリスクの解決方法

img


チェック結果を表示させる

せっかくポリシーを作成して実行しても、デフォルトでは実行結果が表示されません。
表示させるためには、Manage Policiesから、[Medium] のポリシーも表示させるように変更します。
これで サイバーセキュリティ等級保護2.0のBaseline Checkの実行結果が表示されます。

img


チェック項目

検証チェック項目
2つのポリシーで検証をしてみました。

- CentOS Linux 7 Baseline for China classified protection of cybersecurity-Level II
- CentOS Linux 7 Baseline for China classified protection of cybersecurity-Level III

※レベル1のポリシーはなかったです。

おそらくほとんどの日系企業はレベル1かレベル2の等級になると思います。
そのため、レベル2のBaseline Checkをやっておけば十分ではないかと思います。
参考までに以下にそれぞれのチェック項目を書いておきます。

CentOS Linux 7 Baseline for China classified protection of cybersecurity-Level II

項番チェック項目種類OS初期設定
1Ensure that each user has a unique user ID, does not use simple passwords, and changes the password periodically.Identity authenticationFailed
2Configure and enable measures of handling failed logons, including terminating the session, restricting the number of failed logons, and automatically terminating the session upon session timeout.Identity authenticationFailed
3Assign an account and permissions for each user.Access controlFailed
4Rename or delete the default account, and modify the default password of this account.Access controlFailed
5${hc.checklist.userpwd.del_expire_user.linux.item}Access controlFailed
6${hc.checklist.acl.user_min_pri.linux.item}Access controlFailed
7Enable Security Audit to audit important user activities and events of all users.Security auditFailed
8Make sure that an auditing log records the event date, time, user, event type, event status, and other related information.Security auditFailed
9Make sure only necessary components and applications are installed.Intrusion PreventionFailed
10${hc.checklist.defense.limit_terminal.centos7.item}Intrusion PreventionFailed
11Save and back up auditing logs periodically in case of unexpected data deletion, modification, or overwriting.Security auditPassed
12Disable unnecessary system services, default sharing, and vulnerable ports.Intrusion PreventionPassed
13Make sure that vulnerabilities can be detected and fixed.Intrusion PreventionPassed
14Install software to protect the system from malicious code, and update the software version and the malicious code library.Evil Code PreventionPassed
15Prevent authentication information eavesdropping during remote management of servers.Identity authenticationPassed

CentOS Linux 7 Baseline for China classified protection of cybersecurity-Level III

項番チェック項目種類OS初期設定
1Ensure that each user has a unique user ID, does not use simple passwords, and changes the password periodically.Identity authenticationFailed
2Configure and enable measures of handling failed logons, including terminating the session, restricting the number of failed logons, and automatically terminating the session upon session timeout.Identity authenticationFailed
3Assign an account and permissions for each user.Access controlFailed
4Rename or delete the default account, and modify the default password of this account.Access controlFailed
5${hc.checklist.userpwd.del_expire_user.linux.item}Access controlFailed
6${hc.checklist.acl.user_min_pri.linux.item}Access controlFailed
7${hc.checklist.acl.policy_defs.linux.item}Access controlFailed
8Make sure that an auditing log records the event date, time, user, event type, event status, and other related information.Security auditFailed
9Enable Security Audit to audit important user activities and events of all users.Security auditFailed
10Make sure only necessary components and applications are installed.Intrusion PreventionFailed
11${hc.checklist.defense.limit_terminal.centos7.item}Intrusion PreventionFailed
12Save and back up auditing logs periodically in case of unexpected data deletion, modification, or overwriting.Security auditPassed
13Disable unnecessary system services, default sharing, and vulnerable ports.Intrusion PreventionPassed
14Make sure that vulnerabilities can be detected and fixed.Intrusion PreventionPassed
15Install software to protect the system from malicious code, and update the software version and the malicious code library.Evil Code PreventionPassed
16Prevent authentication information eavesdropping during remote management of servers.Identity authenticationPassed
17Ensure that the audit process is not interrupted unexpectedly.Security auditPassed
18Access permissions determine a user's or a process' ability to access a specific file or database table.Access controlPassed
19Ensure that intrusions into your servers can be detected and alerts are triggered by high-risk intrusions.Intrusion PreventionPassed

一部メッセージが表示されていない項目ありますね。

最後に

以上のように、対応すべきセキュリティ項目を毎日チェックしてくれて解決方法まで提示してくれる Alibaba Cloud Security Center は、サイバーセキュリティ法対策として非常に有効なプロダクトになっています。
細かい部分を見ていくと Security Center 自体はまだまだ開発途中のプロダクトという印象ですが、これからがとても楽しみです。

吉村 真輝
この記事を書いた人
吉村 真輝
Github Icon
Alibaba Cloud プロフェッショナルエンジニア。中国xクラウドが得意。趣味は日本語ラップのDJ。
Close

Alibaba Cloudを始めてみましょう

ソフトバンクは、Alibaba Cloudのアカウント開設から、サービス展開までをお手伝いします。
Hatena
このページは参考になりましたか?