Security Center の Baseline Check を利用した中国サイバーセキュリティ法のサイバーセキュリティ等級保護2.0対策

こんにちは。 ソリューションアーキテクトの吉村です。

中国でビジネスを行っている方にとって、中国サイバーセキュリティ法は情報が少なく困っている方が多いと思います。
今日はそのような方にとって役立ちそうなプロダクトをご紹介します。
なお、Security Center は日本サイトではローンチされていないため、試してみるには International サイトになります。


Security Center の Baseline Check とは

Alibaba Cloud の Security Center は ECS、SLBなどのAlibaba Cloudプロダクト、または Alibaba Cloud 外部のサーバを管理し、セキュリティコンプライアンスを高めることが出来るのプロダクトです。
Security Center を利用すると脆弱性やOSレイヤーのセキュリティ設定など細かく管理することができます。
その Security Center の Enterprise エディション(有償)機能には、Baseline Check というセキュリティに関するチェック項目を一括で管理するためのポリシー設定があります。

Security Center Baseline Check Overview

Alibaba Cloud Security Center




サイバーセキュリティ法のサイバーセキュリティ等級保護2.0 とは

Alibaba Cloud も取得しているセキュリティ認証でこちらのロゴをご存知でしょうか。
DJCP sample

こちらの認証は中国独自のセキュリティ認証でMLPS(The Multi-Level Protection Scheme)と呼ばれるものです。
2007年に始まったMLPSは、情報システムの重要性に応じてセキュリティレベルを5段階に分類し、いずれかの認証を取得させるものです。(数字が大きいほど重要性が高いシステム)
例えば、Alibaba Cloud だとMLPSレベル3、AliPayのような金融サービスだとMLPSレベル4といった具合です。
これまでは一部のIT事業者などが取得する認証でしたが、2018年6月に「サイバーセキュリティ等級保護条例(案)」(意見募集稿)が出たことで、中国国内でビジネスを行う全ての事業者に適用が求められることになっています。

旧来のMLPSからの発展になるので、 MLPS2.0 もしくは サイバーセキュリティ等級保護2.0 と呼ばれています。 MLPSとは

まだ確定はしていないですが、このサイバーセキュリティ等級保護2.0 は 2019年12月 施行予定になります。




Security Center における対策例

Security Center の Baseline Check に話を戻します。 Baseline Check は自分でセキュリティチェックのポリシー設定することが可能ですが、最初から Alibaba Cloud が用意しているポリシーテンプレートがあります。 この中でサイバーセキュリティ等級保護レベルに応じたチェック項目が用意されているので、システムのセキュリティチェックがとても簡単になります。

左メニュー Baseline Chack → Manage Policies をクリック Alibaba Cloud Securty Center

+Create Policy をクリック Alibaba Cloud Security Center Create Policy

各OS毎にサイバーセキュリティ等級保護2.0のレベル2もしくはレベル3のセキュリティコンプライアンスのポリシーが用意されています。 Alibaba Cloud Security Center Create policy 2

あとはこのポリシーを作って、セキュリティチェックを実施。 もしリスクがあれば解決方法まで提案してくれます。

例)セキュリティリスク一覧 Alibaba Cloud Security Center Risk list

例)特定のセキュリティリスクの解決方法 Alibaba Cloud Security Center Risk resolution




チェック結果を表示させる

せっかくポリシーを作成して実行しても、デフォルトでは実行結果が表示されません。 表示させるためには、Manage Policiesから、[Medium] のポリシーも表示させるように変更します。 これで サイバーセキュリティ等級保護2.0のBaseline Checkの実行結果が表示されます。 Alibaba Cloud Security Center you must check this




チェック項目

検証チェック項目 2つのポリシーで検証をしてみました。

  • CentOS Linux 7 Baseline for China classified protection of cybersecurity-Level II
  • CentOS Linux 7 Baseline for China classified protection of cybersecurity-Level III

※レベル1のポリシーはなかったです。

おそらくほとんどの日系企業はレベル1かレベル2の等級になると思います。 そのため、レベル2のBaseline Checkをやっておけば十分ではないかと思います。 参考までに以下にそれぞれのチェック項目を書いておきます。

CentOS Linux 7 Baseline for China classified protection of cybersecurity-Level II

項番 チェック項目 種類 OS初期設定
1 Ensure that each user has a unique user ID, does not use simple passwords, and changes the password periodically. Identity authentication Failed
2 Configure and enable measures of handling failed logons, including terminating the session, restricting the number of failed logons, and automatically terminating the session upon session timeout. Identity authentication Failed
3 Assign an account and permissions for each user. Access control Failed
4 Rename or delete the default account, and modify the default password of this account. Access control Failed
5 ${hc.checklist.userpwd.del_expire_user.linux.item} Access control Failed
6 ${hc.checklist.acl.user_min_pri.linux.item} Access control Failed
7 Enable Security Audit to audit important user activities and events of all users. Security audit Failed
8 Make sure that an auditing log records the event date, time, user, event type, event status, and other related information. Security audit Failed
9 Make sure only necessary components and applications are installed. Intrusion Prevention Failed
10 ${hc.checklist.defense.limit_terminal.centos7.item} Intrusion Prevention Failed
11 Save and back up auditing logs periodically in case of unexpected data deletion, modification, or overwriting. Security audit Passed
12 Disable unnecessary system services, default sharing, and vulnerable ports. Intrusion Prevention Passed
13 Make sure that vulnerabilities can be detected and fixed. Intrusion Prevention Passed
14 Install software to protect the system from malicious code, and update the software version and the malicious code library. Evil Code Prevention Passed
15 Prevent authentication information eavesdropping during remote management of servers. Identity authentication Passed



CentOS Linux 7 Baseline for China classified protection of cybersecurity-Level III

項番 チェック項目 種類 OS初期設定
1 Ensure that each user has a unique user ID, does not use simple passwords, and changes the password periodically. Identity authentication Failed
2 Configure and enable measures of handling failed logons, including terminating the session, restricting the number of failed logons, and automatically terminating the session upon session timeout. Identity authentication Failed
3 Assign an account and permissions for each user. Access control Failed
4 Rename or delete the default account, and modify the default password of this account. Access control Failed
5 ${hc.checklist.userpwd.del_expire_user.linux.item} Access control Failed
6 ${hc.checklist.acl.user_min_pri.linux.item} Access control Failed
7 ${hc.checklist.acl.policy_defs.linux.item} Access control Failed
8 Make sure that an auditing log records the event date, time, user, event type, event status, and other related information. Security audit Failed
9 Enable Security Audit to audit important user activities and events of all users. Security audit Failed
10 Make sure only necessary components and applications are installed. Intrusion Prevention Failed
11 ${hc.checklist.defense.limit_terminal.centos7.item} Intrusion Prevention Failed
12 Save and back up auditing logs periodically in case of unexpected data deletion, modification, or overwriting. Security audit Passed
13 Disable unnecessary system services, default sharing, and vulnerable ports. Intrusion Prevention Passed
14 Make sure that vulnerabilities can be detected and fixed. Intrusion Prevention Passed
15 Install software to protect the system from malicious code, and update the software version and the malicious code library. Evil Code Prevention Passed
16 Prevent authentication information eavesdropping during remote management of servers. Identity authentication Passed
17 Ensure that the audit process is not interrupted unexpectedly. Security audit Passed
18 Access permissions determine a user's or a process' ability to access a specific file or database table. Access control Passed
19 Ensure that intrusions into your servers can be detected and alerts are triggered by high-risk intrusions. Intrusion Prevention Passed



一部メッセージが表示されていない項目ありますね。

以上のように、対応すべきセキュリティ項目を毎日チェックしてくれて解決方法まで提示してくれる Alibaba Cloud Security Center は、サイバーセキュリティ法対策として非常に有効なプロダクトになっています。 細かい部分を見ていくと Security Center 自体はまだまだ開発途中のプロダクトという印象ですが、これからがとても楽しみです。