NIS2 指令の遵守
NIS2 指令 は、EU 全体のサイバーセキュリティに関する法律を規定しています。NIS2 は、EU 加盟国がサイバーセキュリティに関するベストプラクティスを導入し、増加するサイバー攻撃に対処することを奨励しています。NIS2 は、以前の Network and Information Security (NIS) 指令 の更新版です。
Plesk をベースに DNS ホスティングを提供しようとしており、見込み顧客が必要不可欠な組織または重要な組織 (エネルギー、輸送、医療分野の企業など) である場合は、Plesk を NIS2 準拠にする必要があります。
Plesk を NIS2 準拠にするには:
-
panel.ini ファイルに次の行を追加して、NIS2 互換モードをオンにします。
[actionLog] nis2compliant = true
このモードでは、DNS および認証関連の変更 (ログインの失敗や成功など) のログ記録を無効化することはできず、アクションログイベントを完全に削除することもできません。
-
NIS2 互換モードでは、Plesk は設定を変更する API リクエストをログに記録しますが、データを変更しない API リクエスト (GET リクエストなど) もログに記録することができます。これを有効にするには、 panel.ini ファイルに次の行を追加します。
[actionLog] api.includeImmutable = true
-
Plesk サーバの時刻と日付の設定が正しく、単一の参照時刻ソースと同期されていることを確認してください。時間関連の設定を制御および管理するには、 NTP Timesync 拡張を使用することをお勧めします。
-
必要なアカウントが多要素認証 (MFA) によって保護されていることを確認します。多要素認証 (MFA) 拡張を使用することをお勧めします。
-
panel.ini ファイルに次の行を追加して、Plesk API 経由のすべての接続を無効にします。
[api] enabled = false
これにより、MFA なしで Plesk を管理することができなくなります (たとえば、Plesk Mobile アプリは MFA をバイパスできます)。
Plesk API へのアクセスを提供する必要がある場合は、次の例のように特定の IP アドレスからのアクセスのみにすることをお勧めします。
[api] allowedIPs = 192.0.2.1,192.0.2.100
詳しくは、 Plesk API 経由のリモートアクセスを制限する を参照してください。
-
Plesk が強力なパスワードを使用していることを確認してください。詳しくは、 パスワード強度ポリシーをセットアップする を参照してください。
-
Fail2Ban が有効であり、事前設定済み jail の "ssh" および "plesk-panel" がアクティブ であることを確認します。これにより、Fail2Ban がシステムログでブルートフォース攻撃を監視するように構成されます。
-
顧客に DNSSEC を使用して DNS ゾーンに署名する機能を提供します。これを行うには、 DNSSEC 拡張を使用します (Web Pro および Web Host エディションでは無料で使用できます)。
-
ログブラウザ 拡張のバージョン 1.7.0 以降がインストールされていることを確認します。この拡張により、Plesk 管理者、リセラー、顧客が DNS および認証関連のイベントを監視できるようになります。
-
Plesk ログを不正な変更から保護するには、 ログのコピーを Plesk から独立した外部のログサーバにリダイレクトします。
注釈: Plesk はアクションログレコードをバックアップしますが、バックアップを復元してもアクションログレコードは上書きされません。アクションログレコードは、
backup_action-logプレフィックスが付いた別のファイルに保存されます (例:backup_action-log_2403281045.tzst (.zip))。Plesk 管理者のファイルにはすべてのレコードが含まれますが、顧客とリセラーのファイルには自身に関連するレコードのみが含まれます。Plesk バックアップからアクションログファイルを抽出する方法については、 こちら を参照してください。