トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・ローカルシステムからのデータ収集 のバックアップ(No.11)


情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
MITRE ATT&CKに基づく詳細設定対策

戦術:情報の収集

概説

攻撃者は、ローカルシステムから機密データを収集することがあります。コマンドラインインターフェースを使い、目的のファイルを探します。収集したデータは外部にアップロードしたり、バックドアを設置しファイルを窃取します。

緩和の方針

  • この手法はシステム機能の悪用に基づいているため、予防的設定は困難です。そのため、暗号化やライツマネジメントなどを用いて、漏洩等の影響を最小限にすることを検討します。

運用やNetworkが変更された場合の影響の有無

  • ファイルやフォルダーのアクセス権限が Everyone であると窃取されるリスクが高まります。定期的に重要資産に対するアクセス権の監査を実施してください。

優先すべき措置

  • 重要資産の暗号化、ライツマネジメントの導入を検討します。
  • コマンドラインインターフェースの実行ログ、PowerShell のスクリプトブロックのログを取得し、検出を強化します。
  • Endpoint Detection and Response の導入を検討します。
  • 資産の重要度に応じてSIEMの導入を検討します。

ユーザー運用管理責任

リスクの受容

  • 基本的に防御が困難なため、この手法のリスクは受容し、漏洩しても実質的に情報が悪用されないことを検討します。

啓発・教育

  • 対象:すべての端末利用者
    • 重要な情報資産に対しては、パスフレーズを使った暗号化設定などに対する理解を求めてください。

管理規程

  • 重要資産に対する監査規程。
  • コマンドラインインターフェースの監査規程。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

・コマンドラインインターフェースの監査 を参照。

NWデザイン

  • 該当なし。

アクセスコントロール

  • 重要なデータのあるフォルダーのアクセス権を適切に設定します。

フィルタリング

  • 該当なし。

ロール運用

  • 該当なし。

仮想端末運用

  • 該当なし。

エンドポイント対策

  • アンチウイルスソフトの更新、1日1回のクイックスキャン、週1回以上の完全スキャンの実施をします。
  • Endpoint Detection and Response の導入を検討します。

受託開発ベンダー管理責任

セキュアコーディング

  • 該当なし。

開発環境管理

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。