情報システム開発契約のセキュリティ仕様作成のためのガイドライン
・ネットワークサービスのスキャン
をテンプレートにして作成
開始行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:情報の探索[#f445a5bb]
-MITRE ATT&CK
--[[T1046 Network Service Scanning>https://attack.mitre.o...
**対象プラットフォーム [#tdf093f8]
-Windows
-Amazon Web Services (AWS)、Google Cloud Platform (GCP)、...
*概説 [#l3617029]
攻撃者はリモートホストで実行されているサービスのリストを...
*緩和の方針 [#s7513ab5]
スキャンは日常的に実施される可能性があることから、脆弱性...
*運用やNetworkが変更された場合の影響の有無 [#s279dd84]
脆弱性対策を怠ることで、攻撃のリスクが高まります。不要な...
*優先すべき措置 [#iae4e395]
以下の措置を検討します。
-重要資産が保存されている端末、サーバーに関連する脆弱性情...
-侵入検知システムを使用しスキャンを検出、防止を検討します。
-不要なポートとサービスを閉じ、定期的に監査します。
*ユーザー運用管理責任 [#wdbe75f2]
**リスクの受容 [#y2adb615]
脆弱性修正プログラムの早期適用や、侵入検知システムの導入...
**啓発・教育 [#jbc6c5c5]
該当しません。
**管理規定 [#edc19052]
以下の規程の整備を検討します。
-脆弱性情報管理、脆弱性修正プログラム適用規程。
-重要情報資産の監査規程。
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**ポリシー [#kd302119]
該当しません。
**モニタリング [#xccb0ece]
コマンドラインインターフェースから以下のコマンドを実行し...
>c:\Windows\system32>netstat -ano~
-a すべての接続とリッスン ポートを表示~
-nアドレスとポート番号を数値形式で表示~
-o 各接続に関連付けられたそれらを所有するプロセス ID を表...
**ネットワークデザイン、アクセスコントロール、 フィルタリ...
-重要情報資産を特定セグメントに設置し、必要最低限のプロト...
-重要情報資産へのアクセスは必要最小限の許可されたユーザー...
**仮想端末運用 [#fa64dca5]
これは将来のためのプレースフォルダーです。
**エンドポイント対策 [#y6300570]
侵入検知システム、Endpoint Detection and Responseの導入を...
*受託開発ベンダー管理責任 [#ta18c9ff]
**セキュアコーディング [#s9331cff]
-該当しません。
**開発環境管理 [#y6fd94a7]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
**サプライチェーン正常性維持" [#i7bd1cff]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
終了行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:情報の探索[#f445a5bb]
-MITRE ATT&CK
--[[T1046 Network Service Scanning>https://attack.mitre.o...
**対象プラットフォーム [#tdf093f8]
-Windows
-Amazon Web Services (AWS)、Google Cloud Platform (GCP)、...
*概説 [#l3617029]
攻撃者はリモートホストで実行されているサービスのリストを...
*緩和の方針 [#s7513ab5]
スキャンは日常的に実施される可能性があることから、脆弱性...
*運用やNetworkが変更された場合の影響の有無 [#s279dd84]
脆弱性対策を怠ることで、攻撃のリスクが高まります。不要な...
*優先すべき措置 [#iae4e395]
以下の措置を検討します。
-重要資産が保存されている端末、サーバーに関連する脆弱性情...
-侵入検知システムを使用しスキャンを検出、防止を検討します。
-不要なポートとサービスを閉じ、定期的に監査します。
*ユーザー運用管理責任 [#wdbe75f2]
**リスクの受容 [#y2adb615]
脆弱性修正プログラムの早期適用や、侵入検知システムの導入...
**啓発・教育 [#jbc6c5c5]
該当しません。
**管理規定 [#edc19052]
以下の規程の整備を検討します。
-脆弱性情報管理、脆弱性修正プログラム適用規程。
-重要情報資産の監査規程。
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**ポリシー [#kd302119]
該当しません。
**モニタリング [#xccb0ece]
コマンドラインインターフェースから以下のコマンドを実行し...
>c:\Windows\system32>netstat -ano~
-a すべての接続とリッスン ポートを表示~
-nアドレスとポート番号を数値形式で表示~
-o 各接続に関連付けられたそれらを所有するプロセス ID を表...
**ネットワークデザイン、アクセスコントロール、 フィルタリ...
-重要情報資産を特定セグメントに設置し、必要最低限のプロト...
-重要情報資産へのアクセスは必要最小限の許可されたユーザー...
**仮想端末運用 [#fa64dca5]
これは将来のためのプレースフォルダーです。
**エンドポイント対策 [#y6300570]
侵入検知システム、Endpoint Detection and Responseの導入を...
*受託開発ベンダー管理責任 [#ta18c9ff]
**セキュアコーディング [#s9331cff]
-該当しません。
**開発環境管理 [#y6fd94a7]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
**サプライチェーン正常性維持" [#i7bd1cff]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
ページ名:
