#author("2020-08-12T12:47:41+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)]]~
[[MITRE に基づく詳細設定対策]]
*戦術:情報の探索[#ne7a9a3d]
-MITRE ATT&CK
--[[T1083 File and Directory Discovery>https://attack.mitre.org/techniques/T1083/]]
*概説 [#f01be767]
攻撃者はファイルやディレクトリ、ネットワーク共有を探索し、特定の情報を検索する場合があります。ターゲットとなる端末やサーバーに感染するか、他の行動を試みる場合があります。
*緩和の方針 [#f3ebab46]
-この手法は、システムの標準機能を悪用しているため、予防的設定が困難です。
-重要な情報資産は暗号化し、特定のユーザーだけがアクセスできるように設定します。
-不要なポートを閉じ、脆弱なプロトコルの使用を禁止します。
-ログの監査によって探索の検出を検討しますが、端末の台数が多い場合は検出コストが高くなるため、前項の措置を講じた上で、検出できないリスクは受容することも検討します。
*運用やNetworkが変更された場合の影響の有無 [#dfa27bc6]
-脆弱なプロトコルの許可や、ポートの公開は、攻撃を受けるリスクが高まります。
-重要な情報資産が不適切なセグメントに設置されることで、攻撃者に検知されるリスクが高まります。
*優先すべき措置 [#pb4a7e02]
-不要なポートとサービスを閉じ、重要な情報資産に対して適切なネットワークセグメントを設定します。
-重要な情報資産を暗号化し、特定のユーザーだけがアクセスできるように権限を設定します。
*ユーザー運用管理責任 [#nbab198d]
**リスクの受容 [#d4a44aec]
-ログ保存、分析コストが高い場合は、受容します。
**啓発・教育 [#g98a0818]
-重要な情報資産にアクセスできる担当者に対して、誤操作や運用変更によって発生するリスクを共有し、防御策を講じます。
**利用規定 [#r3f7a6ac]
-重要資産管理規程。
-(ログ監査を行う場合)コマンドラインインターフェースの監査規定。
*情報システム設計開発部門・運用部門(ベンダー代行を含む) [#p85eb837]
**ポリシー [#lb3b6caa]
-[[・コマンドラインインターフェースの監査]]
**NWデザイン [#i0dcfdfe]
-重要情報資産を特定セグメントに設置し、必要最低限のプロトコルだけを許可し、不要なポートはすべて閉じます。
**アクセスコントロール [#i6394e1b]
-重要資産にアクセスできるユーザーの権限(読み取り、書き込み、実行、削除等)を設定し、文書化します。
**フィルタリング [#h1d4d8b3]
-必要最低限のプロトコルだけを許可し、不要なポートはすべて閉じます。
**ロール運用 [#t87935ec]
-重要資産に対するロールを設計し設定します。
--特定非営利活動法人 日本ネットワークセキュリティ協会 エンタープライズロール管理解説書: https://www.jnsa.org/result/2013/Role-Management-v1.pdf
**仮想端末運用 [#wcc0ae5b]
-該当なし。
**エンドポイント対策 [#t00f4ae9]
-該当なし。
*受託開発ベンダー管理責任 [#d19717ce]
**セキュアコーディング [#n6fea11b]
-該当なし。
**開発環境管理 [#td7aba53]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
**サプライチェーン正常性維持" [#fddebbd1]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
