Chaya の変更点
Top/Chaya
- 追加された行はこの色です。
- 削除された行はこの色です。
- Chaya は削除されています。
- Chaya の差分を削除
#author("2022-02-25T17:04:21+09:00;1970-01-01T18:00:00+09:00","","") [[・悪意のあるファイルを添付したフィッシングメール]] #author("2022-04-19T16:28:20+09:00","","") -電子メール、Web閲覧が許可される端末と、重要資産を有するシステム・端末の厳格な分離の検討。 ~ インターネットセグメントに接続可能な端末と、インターネットセグメントに接続できない重要資産を有するコンピュータの分離、アクセスコントロールの厳格化を検討します。 -インターネットセグメント接続可能端末は、添付ファイルの無害化、組み込みリンクの無害化の実施。~ アンチウイルスソフト、Endpoint Detection and Response、侵入検知システムの導入の検討を検討します。アプリケーションポリシーによる危険な拡張子( .scr、 .exe、 .pif、 .cplなど)の排除、圧縮ファイルや本文に埋め込まれたリンクの分析を行うサンドボックス等による添付ファイルの無害化、組み込みリンクの無効化を検討します。 *ユーザー運用管理責任 [#b6ef8f3c] **リスクの受容 [#bc0a2dcf] 守るべき資産が電子メールやWebサイトから適切に分離されており、守るべき資産が暗号化されていて、情報の漏洩、改ざんを受けても実質的な情報漏洩や暴露等の被害が軽微と想定される場合は受容します。 ただし、経営者、秘書、取締役、執行役、研究者、システム管理者など、日常的に重要資産に接している職務に対しては、リスクを受容すべきではありません。~ また、プログラム開発担当者はデバッグのために管理者権限が必要であり、悪用されやすいDebug用のコマンドを利用すること、Help Desk担当者は、ドメイン管理者権限を有することがあることから、最もリスクが高いといえます。 |180|||c |COLOR(WHITE):BGCOLOR(#44546A):CENTER:業務|COLOR(WHITE):BGCOLOR(#44546A):CENTER:特権|COLOR(WHITE):BGCOLOR(#44546A):CENTER:リスク受容のための条件例|h |プログラム開発担当者|Local Administrator|メールやWeb閲覧の分離、侵入監視、ログ監査、開発/HelpDesk業務で使用するアカウントと一般業務アカウントの分離、定期的なトレーニング| |Help Desk 担当者|Domain/Local Administrator|~| |システム管理者|Enterprise/Domain/Local Administrator|管理業務端末の分離、メールやWeb閲覧の分離、侵入監視、ログ監査、管理業務で使用するアカウントと一般業務アカウントの分離、定期的なトレーニング| |部門管理者(OUの委任)|OUのパスワードリセット、グループ管理、ドメイン参加等|~| |VBA/スクリプト利用者|標準ユーザー|VBA/スクリプト署名、侵入監視、ログ監査、定期的なトレーニング、Local Administrators に含めない| |役職者、研究者、秘書|標準ユーザー|侵入監視、ログ監査、定期的なトレーニング、Local Administrators に含めない| |上記以外の一般業務担当者|標準ユーザー|定期的なトレーニング、Local Administrators に含めない| **啓発・教育 [#lf58a54d] -すべての端末利用者 --フィッシング対策協議会から最新の手口を入手し、理解を求めてください。 --知らない・不明な・不審な・日本語がおかしいファイルを開かない、コンテンツの警告が出た場合は開かない・印刷せず、場合によっては、電話で発信者に確認を取るよう求めてください。~ ~ #ref(https://softwareisac.jp/ipa/image/data/word-c.jpg,left); 図:マクロが組み込まれたWord文書を開いた際の警告 ~ ~ --Office、PDF ビューワーの保護されたビュー(サンドボックス)の重要性の理解を求めてください。 -開発者、ヘルプデスク担当者 --"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターでの攻撃阻止の重要性の理解を求めてください。 --管理者権限でのインターネット接続、メール受信などのリスクを正しく認識させます。~ -重要資産にアクセスする経営者、秘書、研究者など --"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベクターでの攻撃阻止の重要性の理解を求めてください。重要資産保護のための暗号化の重要性について理解を求めてください。 **管理規程 [#e13c026d] 以下の管理規程の整備を検討して下さい。 -電子メールクライアント、Webブラウザの使用禁止する端末・サーバーの厳格な定義、これらの監査規程。 -確実なアップデートの実施と完全スキャンの強制のための、脆弱性アップデート及びアンチウイルス運用規程。 *情報システム設計開発部門・運用部門(ベンダー代行を含む) [#p90b50f3] **Windowsグループポリシー の設定実施[#z810a277] -13 ・レベル1セキュリティ構成(Windows 10)及び14 ・Windows Server 2016 Domain Controller の適用を検討して下さい。 -Microsoft Outlook 2016 の場合、マクロを悪用するフィッシングメール対策として以下のポリシーが存在します。 --[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティフォーム設定]>[Outlook セキュリティモード] を [有効] に設定し、オプション [Outlook セキュリティポリシー] を [Outlook セキュリティのグループ ポリシーを使用する] に設定します。 --[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティセンター]>[マクロのセキュリティ設定] を [有効] に設定し、オプション [セキュリティレベル] を [署名されている場合は警告を表示し、署名されていない場合は無効にする] に設定します。 --[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[添付ファイルのセキュリティ設定をユーザーが変更できないようにする] を [有効] に設定します。 --[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microsoft Outlook 2016]>[セキュリティ]>[セキュリティセンター]>[フィッシング詐欺の疑いがある電子メールメッセージのハイパーリンクを有効にする] を [無効] に設定します。 **モニタリング [#tc99cbca] 権限に応じて、以下のモニタリングを検討します。 -電子メールクライアント、Webブラウザを使用禁止する端末・サーバーで、以下の状況を確認します。 ~ --電子メールクライアントがインストールされていない。~ --Webブラウザが使用できない設定となっている。~ -OS、アプリケーションのアップデートの状況を確認します。 -アンチウイルスソフトのアップデートの状況を確認します。 -アプリケーションソフトのインストールの状況を確認します。