情報システム開発契約のセキュリティ仕様作成のためのガイドライン
・脆弱性を悪用した認証情報アクセス
をテンプレートにして作成
開始行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:認証情報アクセス [#ia6b6365]
-MITRE ATT&CK
--[[T1212 Exploitation for Credential Access>https://atta...
*概説 [#w5bfbb09]
脆弱性を悪用した認証情報アクセスは、OS、アプリケーション...
*緩和の方針 [#x0e9694c]
攻撃者は脆弱性を狙うためセキュリティ更新プログラムの適用...
一方で、セキュリティ更新プログラムの適用によって、ごくま...
*運用やNetworkが変更された場合の影響の有無 [#i5d09109]
-セキュリティパッチが適切に適用されていない場合に、リスク...
*優先すべき措置 [#f9aa424c]
セキュリティ更新プログラムの適用をテストし速やかに適用し...
*ユーザー運用管理責任 [#k774d3a9]
**リスクの受容 [#a075bada]
システムの特性上、速やかなパッチ適用が困難な場合は、以下...
-ログ監査を強化する。
-当該システムを Internet から切り離す、当該システムでの電...
-脆弱なプロトコルの使用を停止する。
|180|||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:業務|COLOR(WHITE):B...
|すべて|-|脆弱なプロトコルの使用停止。|
|プログラム開発担当者|Local Administrator|ドメインコント...
|Help Desk 担当者|Domain/Local Administrator|~|
|システム管理者|Enterprise/Domain/Local Administrator|~|
|部門管理者(OUの委任)|OUのパスワードリセット、セキュリ...
|VBAを利用する業務担当者|標準ユーザー|コマンドライン、ス...
|役職者、研究者、秘書|標準ユーザー|Local Administrators ...
|上記以外の一般業務担当者|標準ユーザー|Local Administrato...
**啓発・教育 [#j5c1e75f]
-対象:すべての端末利用者
--脆弱性修正プログラムの重要性と適用方法をトレーニングし...
**管理規定 [#c3fbcfd2]
以下の規程および文書の整備を検討します。
-セキュリティパッチ適用の手順書の作成。~
-速やかにセキュリティパッチができないシステムの文書化、必...
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**ポリシー [#rd3a213d]
脆弱性を利用するマルウェアの場合、コマンドラインインター...
[[Windows 10 のセキュリティ機能を使用して脅威を軽減する>h...
**モニタリング [#z6cfd070]
前項を参照してください。
**ネットワークデザイン、アクセスコントロール、フィルタリ...
速やかにセキュリティ更新プログラムが適用できないシステム...
脆弱なプロトコルの運用停止を検討して下さい。
**仮想端末運用 [#vc26fc99]
これは将来のためのプレースフォルダーです。
**27.7.5 ゲートウェイ及びエンドポイント対策 [#d06b4316]
侵入検知システム、Endpoint Detection and Responseの導入を...
*受託開発ベンダー管理責任 [#g37507d8]
**セキュアコーディング [#g017d580]
コンパイラ/リンカにおける保護機能の利用を強制して下さい。
-Visual Studio GS Protection (/GS)
**開発環境管理 [#xc5c1f61]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
**サプライチェーン正常性維持" [#w7e811fe]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
終了行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[MITRE ATT&CKに基づく詳細設定対策]]
*戦術:認証情報アクセス [#ia6b6365]
-MITRE ATT&CK
--[[T1212 Exploitation for Credential Access>https://atta...
*概説 [#w5bfbb09]
脆弱性を悪用した認証情報アクセスは、OS、アプリケーション...
*緩和の方針 [#x0e9694c]
攻撃者は脆弱性を狙うためセキュリティ更新プログラムの適用...
一方で、セキュリティ更新プログラムの適用によって、ごくま...
*運用やNetworkが変更された場合の影響の有無 [#i5d09109]
-セキュリティパッチが適切に適用されていない場合に、リスク...
*優先すべき措置 [#f9aa424c]
セキュリティ更新プログラムの適用をテストし速やかに適用し...
*ユーザー運用管理責任 [#k774d3a9]
**リスクの受容 [#a075bada]
システムの特性上、速やかなパッチ適用が困難な場合は、以下...
-ログ監査を強化する。
-当該システムを Internet から切り離す、当該システムでの電...
-脆弱なプロトコルの使用を停止する。
|180|||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:業務|COLOR(WHITE):B...
|すべて|-|脆弱なプロトコルの使用停止。|
|プログラム開発担当者|Local Administrator|ドメインコント...
|Help Desk 担当者|Domain/Local Administrator|~|
|システム管理者|Enterprise/Domain/Local Administrator|~|
|部門管理者(OUの委任)|OUのパスワードリセット、セキュリ...
|VBAを利用する業務担当者|標準ユーザー|コマンドライン、ス...
|役職者、研究者、秘書|標準ユーザー|Local Administrators ...
|上記以外の一般業務担当者|標準ユーザー|Local Administrato...
**啓発・教育 [#j5c1e75f]
-対象:すべての端末利用者
--脆弱性修正プログラムの重要性と適用方法をトレーニングし...
**管理規定 [#c3fbcfd2]
以下の規程および文書の整備を検討します。
-セキュリティパッチ適用の手順書の作成。~
-速やかにセキュリティパッチができないシステムの文書化、必...
*情報システム設計開発部門・運用部門(ベンダー代行を含む) ...
**ポリシー [#rd3a213d]
脆弱性を利用するマルウェアの場合、コマンドラインインター...
[[Windows 10 のセキュリティ機能を使用して脅威を軽減する>h...
**モニタリング [#z6cfd070]
前項を参照してください。
**ネットワークデザイン、アクセスコントロール、フィルタリ...
速やかにセキュリティ更新プログラムが適用できないシステム...
脆弱なプロトコルの運用停止を検討して下さい。
**仮想端末運用 [#vc26fc99]
これは将来のためのプレースフォルダーです。
**27.7.5 ゲートウェイ及びエンドポイント対策 [#d06b4316]
侵入検知システム、Endpoint Detection and Responseの導入を...
*受託開発ベンダー管理責任 [#g37507d8]
**セキュアコーディング [#g017d580]
コンパイラ/リンカにおける保護機能の利用を強制して下さい。
-Visual Studio GS Protection (/GS)
**開発環境管理 [#xc5c1f61]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
**サプライチェーン正常性維持" [#w7e811fe]
ユーザー運用管理責任、情報システム設計開発部門・運用部門...
ページ名:
