トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・ファイルとディレクトリの探索 のバックアップ(No.13)

情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
MITRE ATT&CKに基づく詳細設定対策

戦術:情報の探索

概説

悪意のあるプログラム(マルウェア)や攻撃者はファイルやディレクトリ、ネットワーク共有を探索し、特定の情報を検索する場合があります。また、ターゲットとなる端末やサーバーに感染するか、他の行動を試みる場合があります。これは複合機での文書共有なども含まれます。

緩和の方針

この手法は、システムの標準機能を悪用しているため、予防的設定が困難なため、多角的な緩和策を講じる必要があります。

  • 端末でのディレクトリ共有、ファイル共有は攻撃側の水平展開を容易にするため、ファイルサーバー、NASでの共有に切り替えます。
  • 重要な情報資産は暗号化し、特定のユーザーだけがアクセスできるように設定します。
  • 不要なポートを閉じ、脆弱なプロトコルの使用を禁止します。
  • ログの監査によって探索の検出を検討します。
  • 複合機では、ID、パスワードを設定し、権限のないアクセスを禁止します。

運用やNetworkが変更された場合の影響の有無

脆弱なプロトコルの許可や、ポートの公開は、攻撃を受けるリスクが高まります。 重要な情報資産が不適切なセグメントに設置されることで、攻撃者に検知されるリスクが高まります。

優先すべき措置

端末のドライブの共有を停止し、ファイルサーバー、NAS等でアクセス権を設定した上でファイル共有を実施しログの取得と分析をします。 重要な情報資産を暗号化し、特定のユーザーだけがアクセスできるように権限を設定します。

ユーザー運用管理責任

リスクの受容

ログ保存、分析コストが高い場合は、重要な情報資産の暗号化を行い受容します。 なお、端末でのディレクトリ共有、ファイル共有は水平展開のリスクが高いため受容は推奨できません。

啓発・教育

  • 対象:重要な情報資産にアクセスできる担当者
    • 誤操作や運用変更によって発生するリスクと防御策を共有します。

29.6.3 管理規程

以下の規程の整備を検討します。

  • 重要資産管理規程。
  • ログ監査を行う場合
    コマンドラインインターフェース、スクリプトの監査規定。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

・コマンドラインインターフェースの監査・PowerShellの悪用・悪意あるスクリプティングの実行 を参照してください。

ネットワークデザイン

重要情報資産を特定セグメントに設置し、必要最低限のプロトコルだけを許可し、不要なポートはすべて閉じます。

アクセスコントロール

重要資産にアクセスできるユーザーの権限(読み取り、書き込み、実行、削除等)を設定し、文書化します。 ダイナミックアクセス制御 の導入を検討します。

ダイナミック アクセス制御:シナリオの概要:
https://docs.microsoft.com/ja-jp/windows-server/identity/solution-guides/dynamic-access-control--scenario-overview

重要資産に対するロールを設計し設定します 。

日本ネットワークセキュリティ協会 エンタープライズロール管理解説書:
https://www.jnsa.org/result/2013/Role-Management-v1.pdf

フィルタリング

  • 必要最低限のプロトコルだけを許可し、不要なポートはすべて閉じます。

仮想端末運用

該当しません。

エンドポイント対策

該当しません。

受託開発ベンダー管理責任

セキュアコーディング

該当しません。

開発環境管理

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。

サプライチェーン正常性維持"

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。