・ネットワークサービスのスキャン

Last-modified: 2020-11-07 (土) 14:25:26

Top/・ネットワークサービスのスキャン

情報システム開発契約のセキュリティ仕様作成のためのガイドライン
 MITRE ATT＆CKに基づく詳細設定対策

戦術：情報の探索 †

MITRE ATT&CK
- T1046 Network Service Scanning

↑

対象プラットフォーム †

Windows
Amazon Web Services (AWS)、Google Cloud Platform (GCP)、Microsoft Azure

↑

概説 †

攻撃者はリモートホストで実行されているサービスのリストを取得しようとする場合があります。併せて、リモートホストで実行されているソフトウェアの脆弱性を狙い侵入を試みることもあります。ネットワークサービスのスキャンは攻撃の前兆ともいえます。

↑

緩和の方針 †

スキャンは日常的に実施される可能性があることから、脆弱性の是正とスキャンの検出の観点から緩和を実施します。

↑

運用やNetworkが変更された場合の影響の有無 †

脆弱性対策を怠ることで、攻撃のリスクが高まります。不要なポートの公開は、脆弱性攻撃を受けるリスクが高まります。

↑

優先すべき措置 †

以下の措置を検討します。

重要資産が保存されている端末、サーバーに関連する脆弱性情報の収集と、脆弱性修正プログラムを適切に適用します。
侵入検知システムを使用しスキャンを検出、防止を検討します。
不要なポートとサービスを閉じ、定期的に監査します。

↑

ユーザー運用管理責任 †

↑

リスクの受容 †

脆弱性修正プログラムの早期適用や、侵入検知システムの導入が困難な場合は、情報資産の暗号化などの軽減策を講じ、攻撃のリスクを受容することを検討します。

↑

啓発・教育 †

該当しません。

↑

管理規定 †

以下の規程の整備を検討します。

脆弱性情報管理、脆弱性修正プログラム適用規程。
重要情報資産の監査規程。

↑

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

↑

ポリシー †

該当しません。

↑

モニタリング †

コマンドラインインターフェースから以下のコマンドを実行し、ListeningのTCPポートとプロセスを監査します。

c:\Windows\system32>netstat -ano

a すべての接続とリッスンポートを表示

nアドレスとポート番号を数値形式で表示

o 各接続に関連付けられたそれらを所有するプロセス ID を表示

↑

ネットワークデザイン、アクセスコントロール、フィルタリング †

重要情報資産を特定セグメントに設置し、必要最低限のプロトコルだけを許可し、不要なポートはすべて閉じます。
重要情報資産へのアクセスは必要最小限の許可されたユーザーとし、データは適切に暗号化、バックアップがなされている必要があります。

↑

仮想端末運用 †

これは将来のためのプレースフォルダーです。

↑

エンドポイント対策 †

侵入検知システム、Endpoint Detection and Responseの導入を検討します。

↑

受託開発ベンダー管理責任 †

↑

セキュアコーディング †

該当しません。

↑

開発環境管理 †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。例外はすべて文書化し、適切な監査を実施します。

↑

サプライチェーン正常性維持" †