・ローカルシステムからのデータ収集 の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• ・ローカルシステムからのデータ収集 へ行く。
• ・ローカルシステムからのデータ収集 の差分を削除

#author("2020-11-08T14:32:54+09:00","","")
#author("2020-11-09T10:28:00+09:00","","")
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
[[MITRE ATT＆CKに基づく詳細設定対策]]

*戦術：情報の収集[#z21ac47e]
-MITRE ATT&CK
--[[T1005 Data from Local System>https://attack.mitre.org/techniques/T1005/]]

*概説 [#l0f344d5]
攻撃者は、ローカルシステムから機密データを収集することがあります。コマンドラインインターフェースを使い、目的のファイルを探します。収集したデータは外部にアップロードしたり、バックドアを設置しファイルを窃取します。

*緩和の方針 [#rb177584]
-この手法はシステム機能の悪用に基づいているため、予防的設定は困難です。そのため、暗号化やライツマネジメントなどを用いて、漏洩等の影響を最小限にすることを検討します。

*運用やNetworkが変更された場合の影響の有無 [#l2fc0fe3]
-ファイルやフォルダーのアクセス権限が Everyone であると窃取されるリスクが高まります。定期的に重要資産に対するアクセス権の監査を実施してください。

*優先すべき措置 [#g83144ae]
-重要資産の暗号化、ライツマネジメントの導入を検討します。
-コマンドラインインターフェースの実行ログ、PowerShell のスクリプトブロックのログを取得し、検出を強化します。
-Endpoint Detection and Response の導入を検討します。
-資産の重要度に応じてSIEMの導入を検討します。
-侵入検知システム、Endpoint Detection and Response の導入を検討します。


*ユーザー運用管理責任 [#r9b7aee5]
**リスクの受容 [#ifffe164]
-基本的に防御が困難なため、この手法のリスクは受容し、漏洩しても実質的に情報が悪用されないことを検討します。


**啓発・教育 [#t3475c04]
-対象：すべての端末利用者
--重要な情報資産に対しては、パスフレーズを使った暗号化設定などに対する理解を求めてください。

**管理規程 [#t9f3210d]
以下の管理規程の整備を検討して下さい。
-重要資産に対する監査規程。
-コマンドラインインターフェースの監査規程。

*情報システム設計開発部門・運用部門（ベンダー代行を含む) [#kff7683e]
**ポリシー [#c2621fae]
[[・コマンドラインインターフェースの監査]] を参照。

**ネットワークデザイン、アクセスコントロール、フィルタリング[#w02fc5a4]
-重要なデータのあるフォルダーのアクセス権を適切に設定します。

**仮想端末運用 [#z0c4285f]
これは将来のためのプレースフォルダーです。

**エンドポイント対策 [#o9a67ac3]
侵入検知システム、Endpoint Detection and Responseの導入を検討します。

*受託開発ベンダー管理責任 [#jda0e08a]
**セキュアコーディング [#a2f41027]
該当しません。

**開発環境管理 [#t8f48fe7]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
**サプライチェーン正常性維持" [#q29b2c6f]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。