#author("2020-03-26T14:21:41+09:00","default:hagiken","hagiken")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)]]~
[[MITRE ATT&CKによる設定対策(絞り込み済み)>情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)#s054f661]]
*・メールに添付されたマルウェアファイルやリンクをユーザーが実行する [#kb44d445]
**戦術 [#q7cb5d79]
悪意あるプログラムの実行
**必要なアクセス許可 [#vaf94cb0]
User
**概説 [#z35b1e1e]
悪意あるプログラム(マルウェア)の侵入経路の大半は電子メールです。メールの添付ファイルを開くか、メール本文に埋め込まれたリンクをクリックすることで、マルウェアがPC本体のメモリにダウンロードされ活動を開始します。
この攻撃はユーザーがファイルやリンクをクリックするところから始まるため、定期的な教育は非常に有効です。最新の手口を[[フィッシング対策協議会:https://www.antiphishing.jp/]]などから入手し、最新の手口などを共有してください。
**緩和の方針 [#hb8b4dab]
最新のフィッシングメールのユーザートレーニング、その他は、[[・悪意のあるファイルを添付したフィッシングメール]]
を参考にします。
**運用やNetworkが変更された場合の影響の有無 [#kaf5a769]
重要な情報資産があるサーバーや端末でメールに添付されたOffice文書やPDF文書の閲覧を行うと、この攻撃のリスクが高まります。
**優先すべき措置 [#u89220de]
最新のフィッシングメールの手口を入手し、ユーザーと共有してください。
**ユーザー運用管理責任 [#baef6118]
***リスクの受容 [#i3289022]
電子メールを閲覧する端末、サーバーでは、[[・悪意のあるファイルを添付したフィッシングメール]]での対策を実施しない場合、リスクを受容する必要があります。
また、ZeroDayなどの未知の脆弱性を使った特定個人を狙う標的型攻撃が想定される場合で、守るべき資産の漏洩、改ざんを受けても被害が軽微と想定される場合は、受容するものとし、保険での損害賠償を検討します。
***啓発・教育 [#m5d8cc91]
[[・悪意のあるファイルを添付したフィッシングメール]]と同等。
***利用規定 [#g00eda40]
[[・悪意のあるファイルを添付したフィッシングメール]]と同等。
**情報システム設計開発部門・運用部門(ベンダー代行を含む) [#bef3bdd6]
***NWデザイン [#y305984a]
[[・悪意のあるファイルを添付したフィッシングメール]]と同等。
***アクセスコントロール [#ad400325]
[[・悪意のあるファイルを添付したフィッシングメール]]と同等。
***フィルタリング [#l43fc384]
[[・悪意のあるファイルを添付したフィッシングメール]]と同等。
***ロール運用 [#h85586ef]
[[・悪意のあるファイルを添付したフィッシングメール]]と同等。
***仮想端末運用 [#j7ea040a]
[[・悪意のあるファイルを添付したフィッシングメール]]と同等。
***エンドポイント対策 [#d5ebd9b7]
[[・悪意のあるファイルを添付したフィッシングメール]]と同等。
**受託開発ベンダー管理責任 [#l55faf78]
***セキュアコーディング [#db6a2b17]
[[・悪意のあるファイルを添付したフィッシングメール]]と同等。
***開発環境管理 [#he0cdb48]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
***サプライチェーン正常性維持" [#f029ea30]
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
