情報システム開発契約のセキュリティ仕様作成のためのガイドライン の変更点
Top/情報システム開発契約のセキュリティ仕様作成のためのガイドライン
- 追加された行はこの色です。
- 削除された行はこの色です。
- 情報システム開発契約のセキュリティ仕様作成のためのガイドライン へ行く。
- 情報システム開発契約のセキュリティ仕様作成のためのガイドライン の差分を削除
#author("2020-11-08T14:52:38+09:00","","") #author("2020-12-22T12:41:33+09:00","","") [[FrontPage]] [[はじめに>#o5b32cd6]]~ [[本ガイドラインの策定の経緯とスコープ>#k9b3bf82]]~ [[対象システム>#w030b242]]~ [[サイバー攻撃の実態>#ra8ee63d]]~ [[サイバー攻撃に対する防御>#jc2e3113]]~ [[著作権表示、商標、ライセンス>#n1525cb3]] *はじめに [#o5b32cd6] 本ガイドラインは、重要インフラ、大企業基幹系の受託開発に際して、ユーザーとベンダーがセキュリティ仕様を策定する際の、脅威分析とその対策を検討するためのOS、デスクトッププアプリ、ブラウザーのセキュリティ設定を検討するためのガイドラインです。 ~ 脅威については、NIST(米国国立標準技術研究所)の委託を受け、世界中のCVEの採番を行っている非営利法人 MITRE の [[ATT&CK® Matrix for Enterprise>#h6966d32]] をベースに、日本国内で発生したインシデントで実際に使われ、かつ、実績の多いものをセキュリティプロジェクトチームの有識者が抽出したものです。また、脅威に対する対策は、MITRE ATT&CK Matrix for Enterprise の推奨する緩和策に加え、以下のガイドラインの緩和策を参照しています。 -[[米国国防総省 Security Technical Implementation Guides (STIG)>米国国防総省 Security Technical Implementation Guides]] -[[米国 Center for Internet Security Benchmarks>Center for Internet Security Benchmarks]] -[[Microsoft® Security Baseline 及び Security Configuration Framework>Microsoft Security Baseline 及び Security Configuration Framework]] また、OS等のセキュリティ設定ではカバーしきれない、SQLインジェクション攻撃やアプリケーションの構成の不備に起因する脆弱性対策を行うものとして、OWASP の Application Security Verification Standard (ASVS:アプリケーションセキュリティ検証標準) V4 と Java Spring Framework セキュアコーディングガイドラインを参考例として例示しました。 本ガイドラインとセキュアコーディングを合わせることで、より強靭なシステムの要件定義が可能となり、後工程でのセキュリティ実装がより具体的になると期待できます。~ ''重要'':攻撃者と彼らが生み出す脅威は日々、進化を遂げています。本ガイドラインは過去の実績のある脅威に対する緩和策の提案であり、このガイドラインを適用することでサイバー攻撃の被害をゼロにすることが保証されるわけではありません。~ 本ガイドラインを参考に、定期・不定期でシステム固有の脅威に対するリスクを認識し、そのリスクの緩和に向けた検討を続けることを強く推奨します。 ~ **本ガイドラインの策定の経緯とスコープ [#k9b3bf82] ***経緯 [#x5b6fad7] 2020年4月の改正民法(債権法)施行に伴い、経済産業省の「情報システム・モデル取引・契約書」の改訂作業を独立行政法人情報処理推進機構社会基盤センターモデル取引・契約書見直し検討部会が実施しました。この見直しに際し、セキュリティ関連に特化して、「モデル取引・契約書」改定版あるいは追補版に盛り込むべき内容を検討し、その結果を提案することを目指しセキュリティ検討プロジェクトチームが設置され、その議論においてユーザーとベンダーがセキュリティ仕様を策定する際の、検討のためのたたき台として一定のセキュリティ設定を提示すべきとなり、本ガイドラインが作成されました。~ セキュリティ検討プロジェクトチームメンバー:~ https://www.ipa.go.jp/ikc/about/committee-01.html#model_wg1pt~ ***想定している読者とプロセス [#la3d080e] -重要インフラ・大企業基幹系システム開発に携わる方 ***対象となるプロセス [#ia0b5ca0] -[[共通フレーム2013 (SLCP-JCF2013):https://www.ipa.go.jp/files/000027415.pdf]] の以下のプロセス --2.2要件定義プロセス --2.3システム開発プロセス --2.4ソフトウェア実装プロセス --2.6保守プロセス --3.1運用プロセス ***スコープ [#x565561e] セキュリティ仕様は、物理的、技術的、人的な側面を持ちます。このガイドラインは情報システム開発契約における、技術的なセキュリティ仕様の検討を支援しますが、情報の物理的保護対策や、データーセンターなどへの侵入の物理的保護については触れていません。また、重要な情報を入力する際のショルダーハッキングを防止するなどの人的な対策についても触れていません。これらの仕様の検討は以下をご参考下さい。 -[[「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」内閣サイバーセキュリティセンター令和元年版:https://www.nisc.go.jp/active/general/sbd_sakutei.html]] -[[「組織における内部不正防止ガイドライン」IPA 2017年版:https://www.ipa.go.jp/files/000057060.pdf]] **本ガイドラインの改訂について [#b851f732] 日々、攻撃者は脆弱性を発見し、新たな攻撃手法やユーザーを騙すテクニックを開発しています。従って、防御のためのセキュリティ設定も日々、進化することが求められます。MITRE ATT&CKは四半期に1回、主に新たな攻撃手法の追加の改訂がされるため、本ガイドラインもATT&CKの改訂に応じて、対応策や設定値を追加していく予定です。 また、対応策や設定によって、システムへの不具合や運用に影響が及ぼすことがあります。こうした特定環境でのセキュリティ設定に対する不具合の情報は、ITに依存する社会全体にとって有益で重要な情報と考えることができます。こうした観点から、設定における課題や代替策についても改訂版に追加してく予定です。 &br; 改訂作業は、セキュリティプロジェクトチームの事務局を担当した、一般社団法人コンピュータソフトウェア協会 Software ISACで実施します。&br; ご意見、ご提案、改良すべき点などのご提案をお待ちしております。以下までご連絡ください。皆様のご協力をお願い申し上げます。 一般社団法人コンピュータソフトウェア協会(Computer Software Association of Japan) 〒107-0052 東京都港区赤坂1-3-6 赤坂グレースビル TEL:03-3560-8440/FAX:03-3560-8441 https:// www.csaj.jp/committee/security/softwareisac.html https://www.softwareisac.jp/ipa/ *対象システム [#w030b242] 本ガイドラインは、以下の環境を対象とします。~ -Server OS: Windows Server 2016 以上 -Client OS: Windows 10 (1903) 以上 -ドメイン: Active Directory -Office: Office 2016/2019 (バージョン16) -その他: --Windows 8.1, Windows Server 2012R2以降に実装されたセキュリティ機能は、Windows 8.1, Windows Server 2012R2で動作しませんが、本ガイドラインの適用で、限定的ではありますが、脅威に対する緩和策となるものもあります。&br; アンチウイルスソフトの一般的な運用は実施済みであること前提としています。 -対象外: --サポートが終了している Windows 7、Windows Server 2008/2008R2は本ガイドラインの対象外となります。 --''重要'' サポートの終了しているOS、アプリケーションの使用は、被害を被るだけでなく、第三者にインシデントを起こす原因となる可能性が高いため、すぐに使用を中止し、ネットワークから切り離すこと検討してだください。 **利用上の注意 [#e8e33c42] 本ガイドラインを適用した際に、以下のネットワーク接続や共有ができなくなることがあります。事前の調査、検証をお勧めします。 ***SMBv1 の無効化 [#wbf4f53b] [[SMBv1 の脆弱性>https://docs.microsoft.com/ja-jp/security-updates/securitybulletins/2017/ms17-010]]が報告されており、2017年にはこの脆弱性を利用した WannaCry と呼ばれるランサムウェアの被害が発生しています。このため本ガイドラインでは、グループポリシーでSMBv1を無効化する設定を推奨しています。この設定を実施した場合、一部のSMBv2以上のプロトコルに対応していない古い NAS やファイルサーバー、複合機などに接続できない場合があります。なお、Windows 10では SMBv1 は廃止されています。 ***SSL3.0、TLS1.0、TLS1.1 の無効化 [#tcc3c052] SSL3.0、TLS1.0、TLS1.1 は脆弱性が報告されており、主要ブラウザーベンダーは2020年上半期までにサポートを終了する旨の告知をしています。このため、本ガイドラインでは、使用を無効化する設定を推奨しています。 この設定をした場合、組織内、組織外のWebサーバーとの接続ができない場合があります。。 *サイバー攻撃の実態 [#ra8ee63d] ***[[・攻撃ベクトルの研究]] [#z751e201] 攻撃は様々な手法が存在しており、2020年3月現在、MITRE ATT&CK で330もの攻撃手法が確認されています。本項では、代表的なマルウェアの攻撃ベクトルを紹介します。 *サイバー攻撃に対する防御 [#jc2e3113] サイバー攻撃に対する防御は大きくセキュアコーディングで守るものと、OSやアプリケーションの設定で守るものに判別できます。また、取り扱う情報資産の重要度に応じて様々な設定が考えられますが、ここでは、最低限検討すべき設定や運用と、重要な情報資産を防御するための積極的な設定や運用を解説します。 **セキュアコーディング [#iee4d7f1] ***[[OWASP ASVS 4.0]] [#idc91956] OWASP Application Security Verification Standard 4.0.1 と、Java Spring Fremwork のセキュアコーディングガイドラインについて解説しています。 **最低限検討すべきデフォルト緩和策 [#z2ce0dad] ***[[最低限検討すべきデフォルト緩和策 端末編]] [#w900cad6] マルウェアの侵入経路の大半は、端末での電子メール添付ファイルやWebリンクです。本項では、最低限検討すべき端末での効果的な設定や運用方法を提案しています。 ***[[最低限検討すべきデフォルト緩和策 セキュリティ仕様・Webアプリケーション編]] [#gdfe8211] Webアプリケーションのコンポーネントの脆弱性や弱いセキュリティ設定は攻撃の的になります。本項では、最低限検討すべきセキュリティやWebアプリケーションの仕様を提案しています。 **詳細な緩和策 [#v48c59a0] ***[[詳細設定対策に必要な措置]] [#z6e8d891] セキュリティ対策は、OS、アプリケーション、ネットワーク、運用と幅広い対応が必要です。本項では、OS、プロトコル、パスワードといった基本的な設定事項について解説しています。 ***[[MITRE ATT&CKに基づく詳細設定対策]] [#xcc304a0] 本項では、MITRE ATT&CK に基づき、実際に発生し、かつ、頻繁に利用されている手法を絞り込み、それぞれの脅威に対して、効果的かつ具体的な設定対策を解説しています。 *著作権表示、商標、ライセンス [#n1525cb3] このページからリンクされているグループポリシーの説明は、米国Microsoft Corporation. の著作物が含まれています。 Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。~ その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。~ © 2020 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.