情報システム開発契約のセキュリティ仕様作成のためのガイドライン
・ローカルシステムからのデータ収集
をテンプレートにして作成
開始行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:情報の収集[#z21ac47e]
-MITRE ATT&CK
--[[T1005 Data from Local System>https://attack.mitre.org...
*概説 [#l0f344d5]
攻撃者は、ローカルシステムから機密データを収集することが...
*緩和の方針 [#rb177584]
-この手法はシステム機能の悪用に基づいているため、予防的設...
*運用やNetworkが変更された場合の影響の有無 [#l2fc0fe3]
-ファイルやフォルダーのアクセス権限が Everyone であると窃...
*優先すべき措置 [#g83144ae]
-重要資産の暗号化、ライツマネジメントの導入を検討します。
-コマンドラインインターフェースの実行ログ、PowerShel...
-侵入検知システム、Endpoint Detection and Response の導入...
*ユーザー運用管理責任 [#r9b7aee5]
**リスクの受容 [#ifffe164]
-基本的に防御が困難なため、この手法のリスクは受容し、漏洩...
**啓発・教育 [#t3475c04]
-対象:すべての端末利用者
--重要な情報資産に対しては、パスフレーズを使った暗号化設...
**管理規程 [#t9f3210d]
以下の管理規程の整備を検討して下さい。
-重要資産に対する監査規程。
-コマンドラインインターフェースの監査規程。
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**ポリシー [#c2621fae]
[[・コマンドラインインターフェースの監査]] を参照。
**ネットワークデザイン、アクセスコントロール、フィルタリ...
-重要なデータのあるフォルダーのアクセス権を適切に設定しま...
**仮想端末運用 [#z0c4285f]
これは将来のためのプレースフォルダーです。
**エンドポイント対策 [#o9a67ac3]
侵入検知システム、Endpoint Detection and Responseの導入を...
*受託開発ベンダー管理責任 [#jda0e08a]
**セキュアコーディング [#a2f41027]
該当しません。
**開発環境管理 [#t8f48fe7]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門...
**サプライチェーン正常性維持" [#q29b2c6f]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門...
終了行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:情報の収集[#z21ac47e]
-MITRE ATT&CK
--[[T1005 Data from Local System>https://attack.mitre.org...
*概説 [#l0f344d5]
攻撃者は、ローカルシステムから機密データを収集することが...
*緩和の方針 [#rb177584]
-この手法はシステム機能の悪用に基づいているため、予防的設...
*運用やNetworkが変更された場合の影響の有無 [#l2fc0fe3]
-ファイルやフォルダーのアクセス権限が Everyone であると窃...
*優先すべき措置 [#g83144ae]
-重要資産の暗号化、ライツマネジメントの導入を検討します。
-コマンドラインインターフェースの実行ログ、PowerShel...
-侵入検知システム、Endpoint Detection and Response の導入...
*ユーザー運用管理責任 [#r9b7aee5]
**リスクの受容 [#ifffe164]
-基本的に防御が困難なため、この手法のリスクは受容し、漏洩...
**啓発・教育 [#t3475c04]
-対象:すべての端末利用者
--重要な情報資産に対しては、パスフレーズを使った暗号化設...
**管理規程 [#t9f3210d]
以下の管理規程の整備を検討して下さい。
-重要資産に対する監査規程。
-コマンドラインインターフェースの監査規程。
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**ポリシー [#c2621fae]
[[・コマンドラインインターフェースの監査]] を参照。
**ネットワークデザイン、アクセスコントロール、フィルタリ...
-重要なデータのあるフォルダーのアクセス権を適切に設定しま...
**仮想端末運用 [#z0c4285f]
これは将来のためのプレースフォルダーです。
**エンドポイント対策 [#o9a67ac3]
侵入検知システム、Endpoint Detection and Responseの導入を...
*受託開発ベンダー管理責任 [#jda0e08a]
**セキュアコーディング [#a2f41027]
該当しません。
**開発環境管理 [#t8f48fe7]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門...
**サプライチェーン正常性維持" [#q29b2c6f]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門...
ページ名:
