トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

情報システム開発契約のセキュリティ仕様作成のためのガイドライン のバックアップ(No.2)


FrontPage

対象システム

本ガイドラインは、以下の環境を対象とします。

  • Server OS: Windows Server 2016 以上
  • Client OS: Windows 10 (1903) 以上
  • ドメイン: Active Directory
  • Office: Office 2016/2019 (バージョン16)
  • その他:
    • Windows 8.1, Windows Server 2012R2以降に実装されたセキュリティ機能は、Windows 8.1, Windows Server 2012R2で動作しませんが、本ガイドラインの適用で、限定的ではありますが、脅威に対する緩和策となるものもあります。
  • 対象外:
    • サポートが終了している Windows 7、Windows Server 2008/2008R2は本ガイドラインの対象外となります。
    • 重要 サポートの終了しているOS、アプリケーションの使用は、被害を被るだけでなく、第三者にインシデントを起こす原因となる可能性が高いため、すぐに使用を中止し、ネットワークから切り離すこと検討してだください。

利用上の注意

本ガイドラインを適用した際に、以下のネットワーク接続や共有ができなくなることがあります。事前の調査、検証をお勧めします。

SMBv1 の禁止

SMBv1 は脆弱性が報告されており、この脆弱性を利用したランサムウェアの被害が発生しています。このため本ガイドラインでは、使用を禁止する設定がなされています。この設定を実施した場合、古いNAS やファイルサーバー、複合機などに接続できない場合があります。

SSL3.0、TLS1.0、TLS1.1 の禁止

SSL3.0、TLS1.0、TLS1.1 は脆弱性が報告されており、主要ブラウザーベンダーは2020年上半期までにサポートを終了する旨の告知をしています。このため、本ガイドラインでは、使用を禁止する設定がなされています。~この設定をした場合、組織内、組織外のWebサーバーとの接続ができない場合があります。

・攻撃ベクトルの研究

攻撃は様々な手法が存在しており、2020年3月現在、MITRE ATT&CK で330もの攻撃手法が確認されています。一方で、現時点でも多くの攻撃者グループが良く使う手法と、既に脆弱性対策が施され利用されない、もしくは、頻度の少ない攻撃手法も存在します。本ガイドラインでは、有識者の知見に基づきこの攻撃手法を絞り込んでいますが、これらの攻撃手法は初期侵入から情報漏洩に至るまでで、様々な役割と連携を果たします。・攻撃ベクトルの研究では、代表的なマルウェアの攻撃ベクトルを紹介します。(本稿は適宜、更新します。)

設定対策に必要な措置

セキュリティ対策は、OS、アプリケーションの設定、ネットワークデザイン、運用によって緩和策が有効であったり、場合によっては無効になるケースが存在します。そのため、すべての設定対策が効果を発揮するための基本的な措置が必要です。

MITRE ATT&CKによる設定対策(絞り込み済み)

戦術手法緩和策
初期侵入・悪意のあるファイルを添付したフィッシングメールアンチウイルスの適用
ネットワーク侵入防止システムの適用
厳格なWebベースのコンテンツ制限
ユーザートレーニング
悪意あるプログラムの実行・コマンドラインインターフェースの悪用ホワイトリスト
監査(イベントログ)
・PowerShellの悪用コード署名
機能やプログラムの無効化または削除
特権アカウント管理
・Windowsタスクスケジューラ at, schtasks の悪用監査(イベントログ)
オペレーティングシステムの構成
特権アカウント管理
ユーザーアカウント管理
・悪意あるスクリプティングの実行アプリケーションの分離とサンドボックス化
機能やプログラムの無効化または削除
・悪意あるWindowsサービスの実行特権アカウント管理
厳格なファイルとディレクトリのアクセス許可制限
・メールに添付されたマルウェアファイルやリンクをユーザーが実行する実行防止
ネットワーク侵入防止システムの適用
厳格なWebベースのコンテンツ制限
ユーザートレーニング
永続化・不正なWindowsサービスの追加ユーザーアカウント管理
・レジストリRunキーやスタートアップフォルダの悪用簡単に軽減できない
防御の回避・ファイル削除簡単に軽減できない
・難読化されたファイルまたは情報アンチウイルスの適用
機能やプログラムの無効化または削除
・悪意あるスクリプティングの実行アンチウイルスの適用
認証情報アクセス・認証情報のダンプActive Directoryの構成
情報の収集
オペレーティングシステムの構成
パスワードポリシー
特権アカウント管理
特権プロセスの整合性確保
ユーザートレーニング
・脆弱性を悪用した認証情報アクセスアプリケーションの分離とサンドボックス化
脆弱性保護プログラムの利用
脅威インテリジェンスプログラム
ソフトウェアアップデート
情報の探索・アカウントの探索オペレーティングシステムの構成
・ファイルとディレクトリの探索簡単に軽減できない
・ネットワークサービスのスキャン機能やプログラムの無効化または削除
ネットワーク侵入防止システムの適用
ネットワークのセグメント化
・システム情報の探索簡単に軽減できない
・システムのネットワーク設定の探索簡単に軽減できない
・システムユーザーの探索簡単に軽減できない
水平展開・Pass the Hashパスワードポリシー
特権アカウント管理
ソフトウェアアップデート
ユーザーアカウント制御
ユーザーアカウント管理
情報の収集・ローカルシステムからのデータ収集簡単に軽減できない
・ネットワーク共有ドライブからのデータ収集簡単に軽減できない
外部からの指令統制・一般的に利用されるポートの悪用ネットワーク侵入防止システムの適用
ネットワークのセグメント化
・標準アプリケーションレイヤプロトコル(HTTP,SMTPなど)ネットワーク侵入防止システムの適用
持ち出し・データの圧縮ネットワーク侵入防止システムの適用
・データの暗号化簡単に軽減できない

著作権表示

このページからリンクされているグループポリシーの説明は、米国Microsoft Corporation. の著作物が含まれています。

商標

Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。 その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。

LICENSE

© 2020 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.