OS Hardening

OSハードニング（OS Hardening）とは、オペレーティングシステムのセキュリティを強化するために、不要な機能・サービス・設定を無効化または削除し、攻撃対象面（Attack Surface）を最小限に縮小するプロセスです。デフォルトのOS設定は利便性や互換性を優先しているため、そのままの状態ではセキュリティ上の弱点が多数存在します。

ハードニングの対象は多岐にわたり、不要なサービスやデーモンの停止、未使用ポートの閉鎖、デフォルトアカウントの無効化、ファイルシステムのパーミッション強化、カーネルパラメータの調整、監査ログの有効化などが含まれます。これらの作業はCIS Benchmarks（Center for Internet Security）やDISA STIGs（Security Technical Implementation Guides）などの業界標準に基づいて体系的に実施されます。

OSハードニングは一度実施すれば完了するものではなく、継続的なプロセスとして運用する必要があります。新たな脆弱性の発見、OSのアップデート、業務要件の変更に応じて、ハードニング設定を定期的にレビュー・更新し、構成管理ツールやコンプライアンススキャナーを活用して設定のドリフト（意図しない変更）を検出・修正する体制が重要です。

CIS Benchmarksによる標準化

CIS Benchmarksは、Center for Internet Securityが提供するOS・ミドルウェアのセキュリティ構成ガイドラインです。Windows Server、Ubuntu、Red Hat Enterprise Linux、macOSなど主要なOSごとに詳細な推奨設定が定義されており、各項目はLevel 1（基本的なセキュリティ要件）とLevel 2（高度なセキュリティ要件）に分類されています。

CIS Benchmarksに準拠することで、組織は業界標準に基づいた一貫性のあるハードニングを実現できます。また、PCI DSS、HIPAA、SOC 2などの各種コンプライアンス要件との対応関係も明示されており、規制対応の基盤としても活用されます。

Windowsハードニングの主要項目

• ローカルセキュリティポリシーの強化：パスワードポリシー（長さ・複雑性・有効期限）、アカウントロックアウトポリシー、監査ポリシーの適切な設定
• 不要なサービスの無効化：Remote Registry、Windows Remote Management、Print Spooler（不要な場合）、SMBv1など
• AppLockerまたはWDACの導入：実行可能なアプリケーションをホワイトリスト方式で制御
• BitLockerによるディスク暗号化：TPMと連携した起動前認証の有効化
• Credential Guardの有効化：仮想化ベースのセキュリティ（VBS）により認証情報をハイパーバイザーレベルで保護
• LSA Protection：Local Security Authority（LSA）プロセスを保護モードで実行し、メモリダンプによるクレデンシャル窃取を防止

Linuxハードニングの主要項目

• SELinuxまたはAppArmorの有効化：Mandatory Access Control（MAC）によるプロセスのアクセス制御
• 不要なSUIDビットの除去：権限昇格に悪用されるSUID/SGIDプログラムの特定と除去
• カーネルパラメータの調整：ASLR（アドレス空間配置のランダム化）の有効化、コアダンプの無効化、SYN Cookie の有効化
• SSH設定の強化：rootログインの禁止、パスワード認証の無効化（公開鍵認証のみ）、Protocol 2の強制
• ファイルシステムの制限：/tmpパーティションのnoexec/nosuidマウント、不要なファイルシステム（cramfs、freevxfs等）のモジュール無効化

自動化ツールと構成管理

大規模環境でのOSハードニングには、構成管理ツールによる自動化が不可欠です。Ansible、Puppet、Chef、SaltStackなどのツールを使用して、ハードニング設定をコードとして定義（Infrastructure as Code）し、全サーバーに一括適用できます。CIS Benchmarksに対応したAnsibleロールやPuppetモジュールがコミュニティから公開されており、これらを活用することで効率的なハードニングが可能です。

さらに、OpenSCAPやInSpecなどのコンプライアンススキャナーを定期的に実行し、ハードニング設定が維持されているかを自動的に検証します。構成ドリフトが検出された場合は構成管理ツールにより自動修復するか、アラートを発報して手動対応するフローを構築します。

コンテナ環境とクラウドにおけるハードニング

コンテナ環境では、ホストOS・コンテナランタイム・コンテナイメージの各レイヤーでハードニングが必要です。ホストOSには最小限の構成（コンテナ実行に必要なコンポーネントのみ）を使用し、Container-Optimized OS（Google）やBottlerocket（AWS）のような専用OSの採用を検討します。

クラウド環境では、AWS Systems Manager、Azure Policy、Google Cloud Security Command Centerなどのネイティブツールを活用して、OSハードニングのコンプライアンスを継続的に監視します。ゴールデンイメージ（ハードニング済みのベースイメージ）をCI/CDパイプラインで自動生成・テストする仕組みを構築することが推奨されます。

• 01
  CIS Benchmarksに基づくベースライン設定：OSごとのCIS Benchmarksを参照し、組織のセキュリティ要件に合わせてLevel 1またはLevel 2のベースラインを策定してください。すべての推奨項目を一律に適用するのではなく、業務影響を評価した上で適用項目を決定し、例外事項は文書化して管理しましょう。
• 02
  不要なサービス・ポート・プロトコルの無効化：OSにデフォルトで有効化されているサービスを棚卸しし、業務上不要なサービスを停止・無効化してください。特にSMBv1、Telnet、FTP、SNMP v1/v2cなどのレガシープロトコルは脆弱性が多く、優先的に無効化すべきです。
• 03
  最小権限の原則に基づくアカウント管理：デフォルトアカウント（Administrator、Guest、root等）を無効化またはリネームし、管理者権限は必要最小限のアカウントにのみ付与してください。sudoの設定では具体的なコマンドのみを許可し、NOPASSWD設定は避けましょう。
• 04
  監査ログと整合性監視の有効化：OSの監査ログ機能（Windows監査ポリシー、Linux auditd）を有効化し、ログイン試行、権限変更、ファイルアクセスなどの重要イベントを記録してください。AIDE、OSSEC、Tripwire等のファイル整合性監視（FIM）ツールを導入し、重要なシステムファイルの改ざんを検出しましょう。
• 05
  構成管理ツールによる自動適用と監査：AnsibleやPuppet等の構成管理ツールを使用してハードニング設定をコードとして管理し、全サーバーへの一括適用と構成ドリフトの自動検出・修復を実現してください。CI/CDパイプラインにOpenSCAPやInSpecを組み込み、デプロイ前のコンプライアンスチェックを自動化しましょう。
• 06
  ゴールデンイメージの作成と定期更新：ハードニング済みのOSベースイメージ（ゴールデンイメージ）を作成し、すべてのサーバーやVMの展開に使用してください。イメージは最新のセキュリティパッチとハードニング設定を含めて定期的に再構築し、古いイメージからの展開を禁止するポリシーを実施しましょう。