・ネットワークサービスのスキャン のバックアップ(No.3)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ・ネットワークサービスのスキャン へ行く。
  • 1 (2019-11-13 (水) 17:34:58)
  • 2 (2019-11-14 (木) 12:33:00)
  • 3 (2019-11-15 (金) 09:57:51)
  • 4 (2020-02-09 (日) 16:28:59)
  • 5 (2020-03-19 (木) 14:55:05)
  • 6 (2020-03-24 (火) 13:55:00)
  • 7 (2020-03-26 (木) 14:27:59)
  • 8 (2020-07-25 (土) 16:31:15)
  • 9 (2020-08-12 (水) 12:54:50)
  • 10 (2020-10-27 (火) 15:58:01)

---

IPAセキュリティPT評価版?

・ネットワークサービスのスキャン †

戦術 †

情報の探索。

対象プラットフォーム †

• Linux
• Windows
• macOS
• AWS、GCP、Azure

必要なアクセス許可 †

• User
• Administrator
• SYSTEM

概説 †

攻撃者はリモートホストで実行されているサービスのリストを取得しようとする場合があります。併せて、リモートソフトウェアの脆弱性を狙うこともあります。
クラウド環境では他のクラウドホストのサービスや、オンプレミス側のサービスを識別することがあります。

緩和の方針 †

潜在的な悪用を防ぐため、不要なポートとサービスを閉じます。また、重要な情報資産を保護するため、適切なネットワークセグメントを設定します。

運用やNetworkが変更された場合の影響の有無 †

不要なポートの公開は、脆弱性攻撃を受けるリスクが高まります。
重要な情報資産が不適切なセグメントに設置されることで、攻撃者に検知されるリスクが高まります。

優先すべき措置 †

不要なポートとサービスを閉じ、重要な情報資産に対して適切なネットワークセグメントを設定します。

ユーザー運用管理責任 †

リスクの受容 †

重要な情報資産を守られたネットワークセグメントに設置できない場合は、保険等での損害賠償を検討します。

啓発・教育 †

該当なし。

利用規定 †

脆弱性情報管理、パッチ適用規程。 重要情報資産の監査。

情報システム設計開発部門・運用部門（ベンダー代行を含む) †

ポリシー †

該当なし。

NWデザイン †

重要情報資産を特定セグメントに設置し、必要最低限のプロトコルだけを許可する。管理のための通信は暗号化されている必要がある。

アクセスコントロール †

重要情報資産へのアクセスは必要最小限の許可されたユーザーとし、データは適切に暗号化、バックアップがなされている必要がある。

フィルタリング †

侵入検知システムの導入。

ロール運用 †

該当なし。

仮想端末運用 †

該当なし。

エンドポイント対策 †

侵入検知システムの導入。 アンチウイルスの導入。 Endpoint Detection and Responseの導入。

受託開発ベンダー管理責任 †

セキュアコーディング †

該当なし。

開発環境管理 †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持" †

ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

---

お名前:
題名: