情報システム開発契約のセキュリティ仕様作成のためのガイドライン
・標準アプリケーションレイヤプロトコル(HTTP,SMTPなど)
をテンプレートにして作成
開始行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:外部からの指令統制[#y3a24f70]
-MITRE ATT&CK
--[[T1071 Application Layer Protocol>https://attack.mitre...
*概説 [#q2de820e]
攻撃者は標準アプリケーションレイヤプロトコル(HTTP、SMTP)...
-外部通信の場合
|200|200|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:プロトコル、ポート|...
|TCP:80(HTTP)|Webアクセス|
|TCP:443(HTTPS)|Webアクセス|
|TCP:25(SMTP)|電子メール送信|
|TCP/UDP:53(DNS)|ドメインの名前解決|
-組織内通信の場合
|200|200|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:プロトコル、ポート|...
|TCP/UDP:135(RPC)|RPC|
|TCP/UDP:22(SSH)|Secure Shell|
|TCP/UDP:3389(RDP)|リモートデスクトップ|
*緩和の方針 [#gf31214c]
一般的に使用される通信プロトコルを悪用するため、完全な防...
-重要な情報資産があるネットワークセグメントに不要なポート...
-監査を強化し検出に努めます。
*運用やNetworkが変更された場合の影響の有無 [#yf2a2199]
重要資産を有する端末、サーバーがあるネットワークセグメン...
*優先すべき措置 [#c63d268d]
重要な情報資産があるネットワークセグメントに不要なポート...
侵入検知システムの導入を検討します。
*ユーザー運用管理責任 [#e906dfde]
**リスクの受容 [#jc0e51e0]
一般的に使用される通信プロトコルを悪用するため、重要な情...
**啓発・教育 [#wf961361]
該当しません。
**整備すべき規定 [#x467dc8d]
該当しません。
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**ポリシー [#bf5108f4]
該当しません。
**モニタリング [#ia703a47]
以下の監査の実施を検討します。
-侵入検知システムを導入した場合は、重要資産が保存されてい...
**ネットワークデザイン、アクセスコントロール、フィルタリ...
重要資産が保存されているサーバー、端末では、不要なアプリ...
**ゲートウェイ及びエンドポイント対策 [#ia923d62]
侵入検知システムの導入を検討してください。
*受託開発ベンダー管理責任 [#ce4f5e8e]
**セキュアコーディング [#a3a53cdd]
該当しません。
**開発環境管理 [#ifedcbaf]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
**サプライチェーン正常性維持 [#td37355c]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
終了行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:外部からの指令統制[#y3a24f70]
-MITRE ATT&CK
--[[T1071 Application Layer Protocol>https://attack.mitre...
*概説 [#q2de820e]
攻撃者は標準アプリケーションレイヤプロトコル(HTTP、SMTP)...
-外部通信の場合
|200|200|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:プロトコル、ポート|...
|TCP:80(HTTP)|Webアクセス|
|TCP:443(HTTPS)|Webアクセス|
|TCP:25(SMTP)|電子メール送信|
|TCP/UDP:53(DNS)|ドメインの名前解決|
-組織内通信の場合
|200|200|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:プロトコル、ポート|...
|TCP/UDP:135(RPC)|RPC|
|TCP/UDP:22(SSH)|Secure Shell|
|TCP/UDP:3389(RDP)|リモートデスクトップ|
*緩和の方針 [#gf31214c]
一般的に使用される通信プロトコルを悪用するため、完全な防...
-重要な情報資産があるネットワークセグメントに不要なポート...
-監査を強化し検出に努めます。
*運用やNetworkが変更された場合の影響の有無 [#yf2a2199]
重要資産を有する端末、サーバーがあるネットワークセグメン...
*優先すべき措置 [#c63d268d]
重要な情報資産があるネットワークセグメントに不要なポート...
侵入検知システムの導入を検討します。
*ユーザー運用管理責任 [#e906dfde]
**リスクの受容 [#jc0e51e0]
一般的に使用される通信プロトコルを悪用するため、重要な情...
**啓発・教育 [#wf961361]
該当しません。
**整備すべき規定 [#x467dc8d]
該当しません。
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**ポリシー [#bf5108f4]
該当しません。
**モニタリング [#ia703a47]
以下の監査の実施を検討します。
-侵入検知システムを導入した場合は、重要資産が保存されてい...
**ネットワークデザイン、アクセスコントロール、フィルタリ...
重要資産が保存されているサーバー、端末では、不要なアプリ...
**ゲートウェイ及びエンドポイント対策 [#ia923d62]
侵入検知システムの導入を検討してください。
*受託開発ベンダー管理責任 [#ce4f5e8e]
**セキュアコーディング [#a3a53cdd]
該当しません。
**開発環境管理 [#ifedcbaf]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
**サプライチェーン正常性維持 [#td37355c]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
ページ名:
