情報システム開発契約のセキュリティ仕様作成のためのガイドライン
・悪意のあるファイルを添付したフィッシングメール
をテンプレートにして作成
開始行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:初期侵入[#k950d2ab]
MITRE ATT&CK [[T1566.001 Phishing: Spearphishing Attachme...
~
*概説 [#u85905d9]
攻撃者は、取引先や関係者を装い悪意あるプログラム(マルウ...
差出人は、eコマースサイト、宅配便業者、銀行、保険会社、ク...
マルウェアの初期侵入の経路として、この手法は最も多用され...
-ご意見をおねがいします
-アンケートのお願い
-緊急
-口座を封鎖
-アカウントが凍結されました
-履歴書送付
*緩和の方針 [#h8c939bd]
多重的に緩和策を検討する必要があります。
-管理者特権を最小化し、原則的に標準ユーザーで運用します。
-侵入には利用者の操作が伴うため、利用者のリテラシーを高め...
-電子メールやブラウザーの閲覧ができるセグメントと、重要資...
-添付ファイルのスキャンなどの検知システムの導入を検討しま...
*運用やNetworkが変更された場合の影響の有無 [#y22961b6]
後述する重要資産を保有するコンピューターでのWebや電子メー...
*優先すべき措置 [#zb9d7146]
緩和の方針に基づき、以下を優先します。
-管理者特権の限定運用の適用。~
端末/サーバーの利用者権限が管理者権限で実行されている場合...
業務で管理者特権が必要な端末/サーバーは文書化し、監査や検...
-ユーザートレーニング。~
Office文書、PDF文書の保護ビューの重要性の理解を得ます。ま...
-電子メール、Web閲覧が許可される端末と、重要資産を有する...
インターネットセグメントに接続可能な端末と、インターネッ...
-インターネットセグメント接続可能端末は、添付ファイルの無...
アンチウイルスソフト、Endpoint Detection and Response、侵...
*ユーザー運用管理責任 [#b6ef8f3c]
**リスクの受容 [#bc0a2dcf]
守るべき資産が電子メールやWebサイトから適切に分離されてお...
ただし、経営者、秘書、取締役、執行役、研究者、システム管...
また、プログラム開発担当者はデバッグのために管理者権限が...
|180|||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:業務|COLOR(WHITE):B...
|プログラム開発担当者|Local Administrator|メールやWeb閲覧...
|Help Desk 担当者|Domain/Local Administrator|~|
|システム管理者|Enterprise/Domain/Local Administrator|管...
|部門管理者(OUの委任)|OUのパスワードリセット、グループ...
|VBA/スクリプト利用者|標準ユーザー|VBA/スクリプト署名、侵...
|役職者、研究者、秘書|標準ユーザー|侵入監視、ログ監査、定...
|上記以外の一般業務担当者|標準ユーザー|定期的なトレーニン...
**啓発・教育 [#lf58a54d]
-すべての端末利用者
--フィッシング対策協議会から最新の手口を入手し、理解を求...
--知らない・不明な・不審な・日本語がおかしいファイルを開...
~
#ref(https://softwareisac.jp/ipa/image/data/word-c.jpg,le...
図:マクロが組み込まれたWord文書を開いた際の警告
~
~
--Office、PDF ビューワーの保護されたビュー(サンドボック...
-開発者、ヘルプデスク担当者
--"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベ...
--管理者権限でのインターネット接続、メール受信などのリス...
-重要資産にアクセスする経営者、秘書、研究者など
--"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベ...
**管理規程 [#e13c026d]
以下の管理規程の整備を検討して下さい。
-電子メールクライアント、Webブラウザの使用禁止する端末・...
-確実なアップデートの実施と完全スキャンの強制のための、脆...
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**Windowsグループポリシー の設定実施[#z810a277]
-13 ・レベル1セキュリティ構成(Windows 10)及び14 ・Windo...
-Microsoft Outlook 2016 の場合、マクロを悪用するフィッシ...
--[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microso...
--[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microso...
--[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microso...
--[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microso...
**モニタリング [#tc99cbca]
権限に応じて、以下のモニタリングを検討します。
-電子メールクライアント、Webブラウザを使用禁止する端末・...
--電子メールクライアントがインストールされていない。~
--Webブラウザが使用できない設定となっている。~
-OS、アプリケーションのアップデートの状況を確認します。
-アンチウイルスソフトのアップデートの状況を確認します。
-アプリケーションソフトのインストールの状況を確認します。
-コマンドライン、スクリプトの実行、セキュリティ権限の変更...
**ネットワークデザイン、アクセスコントロール、フィルタリ...
情報資産の重要度に応じて以下を検討します。
-メール閲覧端末と重要資産システムとのネットワークセグメン...
-管理用端末と一般業務用端末のネットワークセグメントの分離...
-状況に応じ重要資産システムセグメント及びそのセグメントに...
-Office文書、PDF文書の保護されたビューの設定。
侵入検知システム、メールフィルタリングシステムの導入によ...
サンドボックスを導入し、上記ファイルや、.zip、.rarなどの...
**仮想端末運用 [#r9a5b184]
プログラム開発者、HelpDesk担当者、システム管理者について...
**ゲートウェイ及びエンドポイント対策 [#tc40619b]
以下のエンドポイント対策を実施、導入の検討をします。
-脆弱性アップデートの実施。
-アンチウイルスの日次パターンファイルの更新、日次クィック...
-Endpoint Detection and Response もしくは、侵入検知システ...
*受託開発ベンダー管理責任 [#h3dff5e4]
**セキュアコーディング [#xa5e8103]
該当しません。
**開発環境管理 [#ye1ec962]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門...
例外はすべて文書化し、適切な監査を実施し、ユーザーと共有...
**サプライチェーン正常性維持 [#m4161498]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門...
例外はすべて文書化し、適切な監査を実施し、ユーザーと共有...
終了行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:初期侵入[#k950d2ab]
MITRE ATT&CK [[T1566.001 Phishing: Spearphishing Attachme...
~
*概説 [#u85905d9]
攻撃者は、取引先や関係者を装い悪意あるプログラム(マルウ...
差出人は、eコマースサイト、宅配便業者、銀行、保険会社、ク...
マルウェアの初期侵入の経路として、この手法は最も多用され...
-ご意見をおねがいします
-アンケートのお願い
-緊急
-口座を封鎖
-アカウントが凍結されました
-履歴書送付
*緩和の方針 [#h8c939bd]
多重的に緩和策を検討する必要があります。
-管理者特権を最小化し、原則的に標準ユーザーで運用します。
-侵入には利用者の操作が伴うため、利用者のリテラシーを高め...
-電子メールやブラウザーの閲覧ができるセグメントと、重要資...
-添付ファイルのスキャンなどの検知システムの導入を検討しま...
*運用やNetworkが変更された場合の影響の有無 [#y22961b6]
後述する重要資産を保有するコンピューターでのWebや電子メー...
*優先すべき措置 [#zb9d7146]
緩和の方針に基づき、以下を優先します。
-管理者特権の限定運用の適用。~
端末/サーバーの利用者権限が管理者権限で実行されている場合...
業務で管理者特権が必要な端末/サーバーは文書化し、監査や検...
-ユーザートレーニング。~
Office文書、PDF文書の保護ビューの重要性の理解を得ます。ま...
-電子メール、Web閲覧が許可される端末と、重要資産を有する...
インターネットセグメントに接続可能な端末と、インターネッ...
-インターネットセグメント接続可能端末は、添付ファイルの無...
アンチウイルスソフト、Endpoint Detection and Response、侵...
*ユーザー運用管理責任 [#b6ef8f3c]
**リスクの受容 [#bc0a2dcf]
守るべき資産が電子メールやWebサイトから適切に分離されてお...
ただし、経営者、秘書、取締役、執行役、研究者、システム管...
また、プログラム開発担当者はデバッグのために管理者権限が...
|180|||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:業務|COLOR(WHITE):B...
|プログラム開発担当者|Local Administrator|メールやWeb閲覧...
|Help Desk 担当者|Domain/Local Administrator|~|
|システム管理者|Enterprise/Domain/Local Administrator|管...
|部門管理者(OUの委任)|OUのパスワードリセット、グループ...
|VBA/スクリプト利用者|標準ユーザー|VBA/スクリプト署名、侵...
|役職者、研究者、秘書|標準ユーザー|侵入監視、ログ監査、定...
|上記以外の一般業務担当者|標準ユーザー|定期的なトレーニン...
**啓発・教育 [#lf58a54d]
-すべての端末利用者
--フィッシング対策協議会から最新の手口を入手し、理解を求...
--知らない・不明な・不審な・日本語がおかしいファイルを開...
~
#ref(https://softwareisac.jp/ipa/image/data/word-c.jpg,le...
図:マクロが組み込まれたWord文書を開いた際の警告
~
~
--Office、PDF ビューワーの保護されたビュー(サンドボック...
-開発者、ヘルプデスク担当者
--"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベ...
--管理者権限でのインターネット接続、メール受信などのリス...
-重要資産にアクセスする経営者、秘書、研究者など
--"初期侵入" から "悪意あるプログラムの実行" までの攻撃ベ...
**管理規程 [#e13c026d]
以下の管理規程の整備を検討して下さい。
-電子メールクライアント、Webブラウザの使用禁止する端末・...
-確実なアップデートの実施と完全スキャンの強制のための、脆...
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**Windowsグループポリシー の設定実施[#z810a277]
-13 ・レベル1セキュリティ構成(Windows 10)及び14 ・Windo...
-Microsoft Outlook 2016 の場合、マクロを悪用するフィッシ...
--[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microso...
--[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microso...
--[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microso...
--[ユーザーの構成]>[ポリシー>管理用テンプレート]>[Microso...
**モニタリング [#tc99cbca]
権限に応じて、以下のモニタリングを検討します。
-電子メールクライアント、Webブラウザを使用禁止する端末・...
--電子メールクライアントがインストールされていない。~
--Webブラウザが使用できない設定となっている。~
-OS、アプリケーションのアップデートの状況を確認します。
-アンチウイルスソフトのアップデートの状況を確認します。
-アプリケーションソフトのインストールの状況を確認します。
-コマンドライン、スクリプトの実行、セキュリティ権限の変更...
**ネットワークデザイン、アクセスコントロール、フィルタリ...
情報資産の重要度に応じて以下を検討します。
-メール閲覧端末と重要資産システムとのネットワークセグメン...
-管理用端末と一般業務用端末のネットワークセグメントの分離...
-状況に応じ重要資産システムセグメント及びそのセグメントに...
-Office文書、PDF文書の保護されたビューの設定。
侵入検知システム、メールフィルタリングシステムの導入によ...
サンドボックスを導入し、上記ファイルや、.zip、.rarなどの...
**仮想端末運用 [#r9a5b184]
プログラム開発者、HelpDesk担当者、システム管理者について...
**ゲートウェイ及びエンドポイント対策 [#tc40619b]
以下のエンドポイント対策を実施、導入の検討をします。
-脆弱性アップデートの実施。
-アンチウイルスの日次パターンファイルの更新、日次クィック...
-Endpoint Detection and Response もしくは、侵入検知システ...
*受託開発ベンダー管理責任 [#h3dff5e4]
**セキュアコーディング [#xa5e8103]
該当しません。
**開発環境管理 [#ye1ec962]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門...
例外はすべて文書化し、適切な監査を実施し、ユーザーと共有...
**サプライチェーン正常性維持 [#m4161498]
-ユーザー運用管理責任、情報システム設計開発部門・運用部門...
例外はすべて文書化し、適切な監査を実施し、ユーザーと共有...
ページ名:
