目次

同じカテゴリの用語

• Lynis（ライニス）
• CIS Benchmark（シスベンチマーク）

STIG（スティグ）

英語表記: STIG (Security Technical Implementation Guide)

概要

詳細解説

サーバOSとセキュリティの文脈におけるSTIGの役割

私たちが日々利用するLinuxやWindowsといったサーバOSは、デフォルト設定のままでは、利便性を優先しているため、多くのセキュリティホール（脆弱性）を抱えているものです。このタクソノミー（サーバOS → セキュリティとハードニング → ハードニングベンチマーク）において、STIGが非常に重要になるのは、その「ベンチマーク」としての役割があるからです。

STIGの最大の目的は、サーバーが持つ攻撃対象領域（Attack Surface）を可能な限り最小化し、既知の脆弱性や設定ミスに起因するセキュリティリスクを排除することにあります。単なる推奨事項ではなく、これは「こう設定しなければならない」という強制力の高い基準として扱われます。

STIGの仕組みと構成要素

STIGは、単一の文書ではなく、対象となる技術（例：Windows Server 2022、Red Hat Enterprise Linux 9など）ごとに、膨大な数のセキュリティ設定項目を網羅したチェックリストの形式で提供されます。

1. リスクカテゴリ（CAT I, II, III）

STIGの特徴の一つは、設定項目がリスクの重大性に基づいて分類されている点です。

• CAT I (Category I): 最も重大なリスク。設定ミスが直ちにシステムやデータの機密性、完全性、可用性を損なう可能性がある項目です。例えば、管理者権限の不適切な設定などが該当します。これは絶対に修正しなければなりません。
• CAT II (Category II): 中程度のリスク。システムの運用に影響を与える可能性があり、潜在的な脅威となる項目です。
• CAT III (Category III): 軽微なリスク。セキュリティ体制を向上させるための推奨事項ですが、放置してもすぐに致命的な問題には繋がらない項目です。

このようにリスクを分類することで、システム管理者は限られたリソースの中で、どの設定を優先的にハードニングすべきか、明確な指針を得ることができるわけです。これは、セキュリティとハードニングの作業を効率的に進める上で、非常に役立つ仕組みだと感じます。

ハードニングベンチマークとしての厳格さ

STIGは、一般的なセキュリティガイドライン（例えば、CISベンチマークなど）と比較しても、その適用範囲と厳格さが際立っています。米国国防総省という、世界で最も機密性の高い情報を扱う組織が定めた基準であるため、その要求レベルは非常に高いです。

例えば、パスワードポリシー一つをとっても、文字数や複雑性に加えて、再利用の禁止期間や、ハッシュアルゴリズムの強度まで、細かく規定されています。この厳格さが、サーバーを真に堅牢化（ハードニング）するための「ベンチマーク」たる所以なのです。

サーバOSをSTIGに準拠させるプロセスは、単なる設定変更ではなく、OSの根幹に関わる部分まで踏み込む、徹底的なセキュリティ見直し作業となります。この作業を通じて、システムは外部からの攻撃に対して極めて強固な「要塞」へと変貌を遂げるのです。

具体例・活用シーン

STIGがサーバOSのセキュリティとハードニングにどのように貢献するかを、具体的な例と分かりやすい比喩で見てみましょう。

実践的な活用例：サーバーの不要なサービスの停止

Windows ServerやLinux Serverには、標準で多くのサービスや機能が搭載されていますが、そのすべてを業務で使うわけではありません。使われていないサービス（例：特定のプロトコル、リモート管理機能の一部）は、攻撃者にとって侵入の足がかりとなる「窓」になってしまいます。

STIGは、これらの不要なサービスを特定し、無効化または削除することを厳しく要求します。

• Windows Serverの場合: 使用しないレガシーなファイル共有プロトコルの無効化や、特定のネットワークポートのファイアウォールによる厳格な制限。
• Linux Serverの場合: 不要なデーモン（バックグラウンドプロセス）の停止や、SSH設定におけるルートログインの禁止と鍵認証の強制。

これらの手順は、まさに攻撃対象領域を削ぎ落とす「ハードニング」の中核であり、STIGは管理者に対して具体的なコマンドや設定ファイルの内容まで指示してくれるため、非常に実用的です。

類推：軍事要塞の設計図としてのSTIG

STIGを理解する上で、ぜひ知っていただきたいのが「軍事要塞の設計図」という比喩です。

一般的なセキュリティガイドラインは、どちらかというと「家を建てる際の一般的な防犯対策マニュアル」のようなものです。鍵をしっかりかける、窓ガラスを割れにくいものにする、といった、広く推奨される対策が中心です。

しかし、STIGは違います。STIGは、敵のあらゆる攻撃（空爆、地上からの侵入、スパイ活動）を想定した「軍事要塞を建設するための極秘設計図」のようなものです。

この設計図には、次の詳細が記載されています。

1. 壁の厚さ（パスワード強度）: どのくらいの厚さのコンクリート（文字数、複雑性）が必要か。
2. 地下通路の封鎖（不要なサービスの停止）: 使わない裏口や隠し通路（デフォルトで有効なサービス）はすべてコンクリートで塞ぐ。
3. 見張り台の設置（ログ監視）: 誰がいつ、どこにアクセスしたか、すべて記録し、異常がないか常にチェックする。

このように、STIGに従ってサーバーを設定することは、単にセキュリティを高めるだけでなく、そのサーバーを「誰も容易に侵入できない要塞」に変える作業なのです。この徹底したアプローチこそが、サーバOSのハードニングベンチマークとしてSTIGが選ばれる理由だと、私は強く感じています。

資格試験向けチェックポイント

ITパスポート、基本情報技術者、応用情報技術者といった日本のIT資格試験では、STIGそのものが直接的に問われることはまだ少ないかもしれませんが、「セキュリティとハードニング」の概念を深く理解する上で非常に重要です。特に応用情報技術者試験や情報処理安全確保支援士試験では、関連知識として問われる可能性があります。

1. 概念理解とキーワードの定着

• ハードニング（堅牢化）: サーバーOSのセキュリティ強度を最大化するために、デフォルト設定を変更し、不要な機能を無効化する作業の総称として理解しておきましょう。STIGはそのための具体的な基準です。
• DISAと国防総省（DoD）: STIGの発行元が、軍事的なセキュリティ基準を扱う機関であること（DISA）を覚えておくと、その厳格さの理由が納得できます。
• ベンチマークとしての役割: STIGは、単なるガイドラインではなく、セキュリティ設定の「達成度を測る基準点」であることを認識してください。

2. 応用情報技術者試験での出題パターン予測

応用情報技術者試験では、「セキュリティポリシーの策定」や「リスクマネジメント」の文脈で、具体的なセキュリティ基準の適用について問われる可能性があります。

• 設問例: 「企業が業界標準以上のセキュリティレベルを達成するために、採用すべきベンチマークは何か、またそのベンチマークがリスク評価にどのように役立つか説明せよ。」→ この場合、STIGやCISベンチマークが回答の候補となり、特にSTIGのCAT分類（リスクレベル）を用いた優先順位付けが重要な論点となります。
• 重要ポイント: STIGが設定項目をCAT I, II, IIIに分類している理由（リスクベースの優先順位付け）を理解しておくことが、セキュリティ対策の計画立案に関する問題で役立ちます。

3. ITパスポート・基本情報技術者試験での対策

これらの初級・中級試験では、STIGという固有名詞よりも、「ハードニング」や「最小権限の原則」「攻撃対象領域の最小化」といった、より一般的なセキュリティ原則が問われます。STIGは、それらの原則を具体的に実現するための手段である、という位置づけで知識を整理しておくと、理解が深まります。

関連用語

• 情報不足

（解説）STIGは、セキュリティベンチマークの一種であるため、CISベンチマークやNIST SP 800シリーズ、あるいはITセキュリティ評価基準（ITSEC）などが関連用語として挙げられますが、本記事の執筆時点では、それらの用語に関する十分な情報が提供されていないため、明記を控えます。これらの用語は、STIGと比較することで、セキュリティ基準の多様性を理解するために非常に有用です。