OS構成

BioStar Xのハードニング手順の最初のステップは、OSレベルのセキュリティベースラインを確保することです。 未パッチのOS、不要なサービス、脆弱な認証設定は、BioStar Xを含むすべてのサーバーワークロードの主要な攻撃経路になります。 このドキュメントの手順に従って、Windows Server環境を強化してください。

Windows Server LTSリリースの使用

サポート対象外、または古いWindowsバージョンでBioStar Xを実行すると、未修正の脆弱性にシステムがさらされます。 Microsoftは、セキュリティ更新、安定性の修正、10年以上のサポート（5年間の基本サポート + 5年間の延長サポート）を保証するWindows Server長期サポート（LTS）バージョンを提供しています。 LTSリリースを選択すると、BioStar Xサーバーは可能な限り長いセキュリティサポート期間を確保し、機能更新によるシステム停止を最小限に抑えられます。

管理者向け要約

• 必ず Windows Server LTSエディション（2019 または 2022）に BioStar X を展開してください。

• インストール後、OSバージョンを 確認 してください。

• サポート終了日より前に アップグレードを計画 してください。

• 自動更新を有効化 するか、WSUS/SCCM に接続してください。

• サポートされないソフトウェアを実行しないように、製品ライフサイクルを文書化 してください。

サポートバージョンの確認

Microsoftが現行サポートするLTS Windows Serverエディション（2026年5月時点）：

• Windows Server 2019 (LTS) — 基本サポート: 2024年1月まで / 延長セキュリティサポート: 2029年1月まで

• Windows Server 2022 (LTS) — 基本サポート: 2026年10月まで / 延長セキュリティサポート: 2031年10月まで

• Windows Server 2025 (LTS) — 基本サポート: 2029年11月まで / 延長セキュリティサポート: 2034年11月まで

注意

Semi-Annual Channel (SAC) リリースは寿命が短く、BioStar Xのような本番ワークロードには適さないため、避けてください。

現在のOSバージョンの確認

• Win + R キーを押してから winver を入力してください。 Enter キーを押すと、エディションとバージョンが表示されます。

• PowerShellで次のコマンドを実行して、OS名とバージョンを確認することもできます。

  PowerShell

  systeminfo | findstr /B /C:"OS Name" /C:"OS Version"

アップグレード計画

• Windows Server 2016以前を実行している場合は、移行を計画する必要があります。

• 2019または2022のLTSバージョンにアップグレードすると、セキュリティ更新と最新のTLSプロトコル（TLS 1.2/1.3）との互換性が確保されます。

ベストプラクティス

サポート対象OSで新しい仮想マシン（VM）またはサーバーを構築してください。 BioStar Xを新規インストールした後、構成とデータベースを移行してください。 これにより、ダウンタイムとリスクを最小限に抑えられます。

Windows Updateの構成確認

セキュリティパッチのために 自動更新 を有効にしてください。 または、Windows Server Update Services（WSUS）または System Center Configuration Manager（SCCM）を使用している場合は、ホストが正しく登録されていることを確認してください。

最新のWindows更新とセキュリティパッチの適用

本番展開前に最新のWindows更新とセキュリティパッチを適用し、既知の脆弱性からシステムを保護してください。

未パッチのWindowsサーバーは、ランサムウェア、リモートコード実行、権限昇格のExploitの 主要な攻撃経路 です。 最新のセキュリティ更新を適用すると、BioStar Xホストはすべての 既知の脆弱性 から保護された状態でライフサイクルを開始できます。

現在のパッチレベルの確認

• 最新のパッチ状態を確認するには、設定 → Windows Update を開き、更新の確認 をクリックしてください。

• PowerShellで最近インストールされた10件のパッチを確認するには、次のコマンドを実行してください。

  PowerShell

  Get-HotFix | Sort-Object -Descending InstalledOn | Select-Object -First 10

注意

最新パッチから30日以上経過している場合は、すぐに更新を実施してください。

更新プロセス

1. Windows Updateを手動で実行してください。

2. すべてのセキュリティ更新と重要な更新をインストールしてください。

   サーバーがまだ本番環境でなくても、先延ばしにせず最新パッチを適用することを推奨します。

3. 必要に応じてサーバーを再起動してください。

4. 『最新の状態です』と表示されるまで、更新とインストールを繰り返してください。

継続的なパッチ戦略

• 月次パッチ: Microsoftは毎月第2火曜日に新しいパッチを配布します。

• ステージング環境がある場合は、テスト後1〜2週間以内にパッチを適用してください。

• すぐにパッチを適用できない場合は、パッチが適用されるまで、ファイアウォール制限、インターネットアクセス遮断、強化された監視などの 補完的制御（Compensating controls）を適用してリスクを軽減してください。

不要なWindows機能の削除または無効化

有効になっているすべてのWindows機能は、サーバーの 攻撃面（Attack Surface）を増加 させます。 専用のBioStar Xホストでは、Print Spooler、Fax、IISなどのサービスはほとんど不要であり、重大な脆弱性（例: PrintNightmare）の履歴があります。

例: Internet Explorer、SMBv1、レガシーコンポーネント

1. 開始 → サーバー マネージャー → 管理 → 役割と機能の削除 を実行してください。

2. インストール済みの役割（例: ファイルサービス、IIS、印刷サービス）を確認してください。

3. BioStar Xに不要な役割を削除してください。

4. 管理ワークフローに必要な場合にのみ、.NET Framework機能 と デスクトップ エクスペリエンス を維持してください。

5. services.msc を開き、不要なサービス（Fax、Remote Registry、Bluetooth、SMBv1）を 無効 に設定してください。

ベストプラクティス

ホストをBioStar X専用として使用してください。 他のワークロードを実行しないでください。

Windows Defenderの有効化と最新状態の維持

Windows Defender（標準搭載のウイルス対策ソフト）は、マルウェアとランサムウェアから保護します。 無効にすると、ホストが脆弱になります。

1. 設定 → プライバシーとセキュリティ → Windows セキュリティ → ウイルスと脅威の防止 を開いてください。

2. 設定の管理 → リアルタイム保護 が有効であることを確認してください。

3. クラウド提供の保護 と 自動サンプル送信 が有効であることを確認してください。

4. セキュリティ インテリジェンス（定義とも呼ばれます）を最新に保ってください。 通常は Windows Update を通じて自動で実行されます。

注意

サードパーティのウイルス対策ソフトを使用する場合は、競合を防ぐために 1つのウイルス対策ソリューション のみが実行されていることを確認してください。

物理的な盗難防止のための BitLocker の有効化

攻撃者がサーバーに物理的にアクセスすると、（例: ディスク盗難、VMスナップショット、バックアップメディア）暗号化されていないドライブからクレデンシャル、ログ、バイオメトリクス情報などの機密データに直接アクセスできます。 BitLockerは、保存データを保護するためのフルディスク暗号化を提供します。

推奨事項

• 次のドライブでBitLockerを有効にしてください。

  • OSドライブ（C:）

  • BioStar Xデータベース、ログ、バックアップを保存するすべてのデータドライブ

• より強力な保護のために、可能な場合はTPM + PINを使用してください。

手順

1. コントロール パネル → システムとセキュリティ → BitLocker ドライブ暗号化 に移動してください。

2. 各ドライブで BitLocker を有効にする をクリックしてください。

3. 認証方法として TPM（既定）または TPM + PIN（推奨）を選択してください。

4. 回復キーを Active Directory/Azure AD（推奨）または セキュアボルト に保存してください。 ローカルに保存しないでください。

5. 暗号化方式として XTS-AES 256ビット（推奨）を選択してください。

6. 暗号化を開始します。

BitLocker状態の監視

次のコマンドを実行して、BitLockerの状態を確認してください。

PowerShell

Get-BitLockerVolume

情報

BitLockerは 保存データのみ を保護します。 データベース暗号化やTLS暗号化の代わりにはなりません。

安全な認証ポリシーの適用

脆弱なローカルアカウントやキャッシュされたクレデンシャルにより、サーバーは総当たり攻撃や権限昇格の対象になる可能性があります。

1. ローカル セキュリティ ポリシー（secpol.msc）を開いてください。

2. アカウント ポリシー → パスワード ポリシー で、次のように構成してください。

   • 最小パスワード長: 12文字以上

   • パスワードは複雑さの要件を満たす必要があります: 有効

   • パスワードの最大使用期間: 90日

3. アカウント ポリシー → アカウント ロックアウト ポリシー で、次のように構成してください。

   • アカウント ロックアウトのしきい値: 5回の試行

4. 既定の Administrator アカウントを無効化するか、名前を変更してください。

5. RDPまたはリモート管理アクセスに多要素認証（MFA）を要求してください。

セキュリティベースライン用のグループポリシー設定の適用

Microsoftの Microsoft Security Compliance Toolkit（Security Compliance Toolkit、SCT）は、セキュリティベースラインに合わせた グループポリシー オブジェクト（Group Policy Objects、GPO）をダウンロードできるようにします。 このベースラインは、構成ミスのリスクを減らし、BioStar Xが強化されたWindows OSで実行されることを保証します。

1. Microsoft Security Compliance Toolkit をダウンロードしてください。

2. OSバージョン（Windows Server 2019 または 2022 Security Baseline）に合ったベースラインを選択してください。

3. グループ ポリシー管理コンソール にベースラインのグループポリシー オブジェクト（GPO）をインポートしてください。

   gpmc.msc を実行 → グループ ポリシー オブジェクト で右クリック → 設定のインポート をクリック

4. Active Directoryの BioStar XサーバーOU にベースラインのグループポリシー オブジェクト（GPO）をリンクしてください。

5. 重要な設定を確認してください。

   アカウント ロックアウト、監査ログ、ネットワーク セキュリティ（SMB署名、LDAP署名）、LSA保護

6. ステージングで先にテスト し、BioStar Xとの互換性を確認してから本番環境に展開してください。

不要なリモート デスクトップの無効化

リモート デスクトップ（RDP）は、総当たり攻撃やクレデンシャル窃取の一般的な攻撃ベクトルです。

不要な場合

システムのプロパティ → リモート → このコンピューターへのリモート接続を許可しない を選択してください。

必要な場合の強化

リモート デスクトップを使用する必要がある場合は、次の強化策を適用してリスクを軽減してください。

• VPNまたはLAN環境からのみ接続するように制限してください。

• Network Level Authentication（Network Level Authentication、NLA）を必須に設定してください。

• 既定のRDPポートを変更してください。 （3389 → カスタム）

• イベントログと通知を通じて監視してください。