情報システム開発契約のセキュリティ仕様作成のためのガイドライン
情報システム開発契約のセキュリティ仕様作成のためのガイドライン
をテンプレートにして作成
開始行:
[[FrontPage]]
[[はじめに>#o5b32cd6]]~
[[本ガイドラインの策定の経緯とスコープ>#k9b3bf82]]~
[[対象システム>#w030b242]]~
[[サイバー攻撃の実態>#ra8ee63d]]~
[[サイバー攻撃に対する防御>#jc2e3113]]~
[[著作権表示、商標、ライセンス>#n1525cb3]]
*はじめに [#o5b32cd6]
本ガイドラインは、重要インフラ、大企業基幹系の受託開発に...
脅威については、NIST(米国国立標準技術研究所)の委託を受...
-[[米国国防総省 Security Technical Implementation Guides ...
-[[米国 Center for Internet Security Benchmarks>Center fo...
-[[Microsoft® Security Baseline 及び Security Configurati...
また、OS等のセキュリティ設定ではカバーしきれない、SQLイン...
本ガイドラインとセキュアコーディングを合わせることで、よ...
''重要'':攻撃者と彼らが生み出す脅威は日々、進化を遂げて...
本ガイドラインを参考に、定期・不定期でシステム固有の脅威...
~
**本ガイドラインの策定の経緯とスコープ [#k9b3bf82]
***経緯 [#x5b6fad7]
2020年4月の改正民法(債権法)施行に伴い、経済産業省の「情...
セキュリティ検討プロジェクトチームメンバー:~
https://www.ipa.go.jp/ikc/about/committee-01.html#model_w...
***想定している読者とプロセス [#la3d080e]
-重要インフラ・大企業基幹系システム開発に携わる方
***対象となるプロセス [#ia0b5ca0]
-[[共通フレーム2013 (SLCP-JCF2013):https://www.ipa.go.jp/...
--2.2要件定義プロセス
--2.3システム開発プロセス
--2.4ソフトウェア実装プロセス
--2.6保守プロセス
--3.1運用プロセス
***スコープ [#x565561e]
セキュリティ仕様は、物理的、技術的、人的な側面を持ちます...
-[[「情報システムに係る政府調達におけるセキュリティ要件策...
-[[「組織における内部不正防止ガイドライン」IPA 2017年版:h...
**本ガイドラインの改訂について [#b851f732]
日々、攻撃者は脆弱性を発見し、新たな攻撃手法やユーザーを...
また、対応策や設定によって、システムへの不具合や運用に影...
&br;
改訂作業は、セキュリティプロジェクトチームの事務局を担当...
ご意見、ご提案、改良すべき点などのご提案をお待ちしており...
一般社団法人コンピュータソフトウェア協会(Computer Softwa...
〒107-0052 東京都港区赤坂1-3-6 赤坂グレースビル
TEL:03-3560-8440/FAX:03-3560-8441
https:// www.csaj.jp/committee/security/softwareisac.html
https://www.softwareisac.jp/ipa/
*対象システム [#w030b242]
本ガイドラインは、以下の環境を対象とします。~
-Server OS: Windows Server 2016 以上
-Client OS: Windows 10 (1903) 以上
-ドメイン: Active Directory
-Office: Office 2016/2019 (バージョン16)
-その他:
--Windows 8.1, Windows Server 2012R2以降に実装されたセキ...
アンチウイルスソフトの一般的な運用は実施済みであること前...
-対象外:
--サポートが終了している Windows 7、Windows Server 2008/2...
--''重要'' サポートの終了しているOS、アプリケーションの使...
**利用上の注意 [#e8e33c42]
本ガイドラインを適用した際に、以下のネットワーク接続や共...
***SMBv1 の無効化 [#wbf4f53b]
[[SMBv1 の脆弱性>https://docs.microsoft.com/ja-jp/securit...
***SSL3.0、TLS1.0、TLS1.1 の無効化 [#tcc3c052]
SSL3.0、TLS1.0、TLS1.1 は脆弱性が報告されており、主要ブラ...
この設定をした場合、組織内、組織外のWebサーバーとの接続が...
*サイバー攻撃の実態 [#ra8ee63d]
***[[・攻撃ベクトルの研究]] [#z751e201]
攻撃は様々な手法が存在しており、2020年3月現在、MITRE ATT&...
*サイバー攻撃に対する防御 [#jc2e3113]
サイバー攻撃に対する防御は大きくセキュアコーディングで守...
**セキュアコーディング [#iee4d7f1]
***[[OWASP ASVS 4.0]] [#idc91956]
OWASP Application Security Verification Standard 4.0.1 と...
**最低限検討すべきデフォルト緩和策 [#z2ce0dad]
***[[最低限検討すべきデフォルト緩和策 端末編]] [#w900cad6]
マルウェアの侵入経路の大半は、端末での電子メール添付ファ...
***[[最低限検討すべきデフォルト緩和策 セキュリティ仕様・W...
Webアプリケーションのコンポーネントの脆弱性や弱いセキュリ...
**詳細な緩和策 [#v48c59a0]
***[[詳細設定対策に必要な措置]] [#z6e8d891]
セキュリティ対策は、OS、アプリケーション、ネットワーク、...
***[[MITRE ATT&CKに基づく詳細設定対策]] [#xcc304a0]
本項では、MITRE ATT&CK に基づき、実際に発生し、かつ、頻繁...
*著作権表示、商標、ライセンス [#n1525cb3]
このページからリンクされているグループポリシーの説明は、...
Microsoft®、Windows®、Windows® Server 2016、Windows® 10は...
その他、すべてのページに記載の会社名、製品名は、それぞれ...
© 2020 The MITRE Corporation. This work is reproduced and...
終了行:
[[FrontPage]]
[[はじめに>#o5b32cd6]]~
[[本ガイドラインの策定の経緯とスコープ>#k9b3bf82]]~
[[対象システム>#w030b242]]~
[[サイバー攻撃の実態>#ra8ee63d]]~
[[サイバー攻撃に対する防御>#jc2e3113]]~
[[著作権表示、商標、ライセンス>#n1525cb3]]
*はじめに [#o5b32cd6]
本ガイドラインは、重要インフラ、大企業基幹系の受託開発に...
脅威については、NIST(米国国立標準技術研究所)の委託を受...
-[[米国国防総省 Security Technical Implementation Guides ...
-[[米国 Center for Internet Security Benchmarks>Center fo...
-[[Microsoft® Security Baseline 及び Security Configurati...
また、OS等のセキュリティ設定ではカバーしきれない、SQLイン...
本ガイドラインとセキュアコーディングを合わせることで、よ...
''重要'':攻撃者と彼らが生み出す脅威は日々、進化を遂げて...
本ガイドラインを参考に、定期・不定期でシステム固有の脅威...
~
**本ガイドラインの策定の経緯とスコープ [#k9b3bf82]
***経緯 [#x5b6fad7]
2020年4月の改正民法(債権法)施行に伴い、経済産業省の「情...
セキュリティ検討プロジェクトチームメンバー:~
https://www.ipa.go.jp/ikc/about/committee-01.html#model_w...
***想定している読者とプロセス [#la3d080e]
-重要インフラ・大企業基幹系システム開発に携わる方
***対象となるプロセス [#ia0b5ca0]
-[[共通フレーム2013 (SLCP-JCF2013):https://www.ipa.go.jp/...
--2.2要件定義プロセス
--2.3システム開発プロセス
--2.4ソフトウェア実装プロセス
--2.6保守プロセス
--3.1運用プロセス
***スコープ [#x565561e]
セキュリティ仕様は、物理的、技術的、人的な側面を持ちます...
-[[「情報システムに係る政府調達におけるセキュリティ要件策...
-[[「組織における内部不正防止ガイドライン」IPA 2017年版:h...
**本ガイドラインの改訂について [#b851f732]
日々、攻撃者は脆弱性を発見し、新たな攻撃手法やユーザーを...
また、対応策や設定によって、システムへの不具合や運用に影...
&br;
改訂作業は、セキュリティプロジェクトチームの事務局を担当...
ご意見、ご提案、改良すべき点などのご提案をお待ちしており...
一般社団法人コンピュータソフトウェア協会(Computer Softwa...
〒107-0052 東京都港区赤坂1-3-6 赤坂グレースビル
TEL:03-3560-8440/FAX:03-3560-8441
https:// www.csaj.jp/committee/security/softwareisac.html
https://www.softwareisac.jp/ipa/
*対象システム [#w030b242]
本ガイドラインは、以下の環境を対象とします。~
-Server OS: Windows Server 2016 以上
-Client OS: Windows 10 (1903) 以上
-ドメイン: Active Directory
-Office: Office 2016/2019 (バージョン16)
-その他:
--Windows 8.1, Windows Server 2012R2以降に実装されたセキ...
アンチウイルスソフトの一般的な運用は実施済みであること前...
-対象外:
--サポートが終了している Windows 7、Windows Server 2008/2...
--''重要'' サポートの終了しているOS、アプリケーションの使...
**利用上の注意 [#e8e33c42]
本ガイドラインを適用した際に、以下のネットワーク接続や共...
***SMBv1 の無効化 [#wbf4f53b]
[[SMBv1 の脆弱性>https://docs.microsoft.com/ja-jp/securit...
***SSL3.0、TLS1.0、TLS1.1 の無効化 [#tcc3c052]
SSL3.0、TLS1.0、TLS1.1 は脆弱性が報告されており、主要ブラ...
この設定をした場合、組織内、組織外のWebサーバーとの接続が...
*サイバー攻撃の実態 [#ra8ee63d]
***[[・攻撃ベクトルの研究]] [#z751e201]
攻撃は様々な手法が存在しており、2020年3月現在、MITRE ATT&...
*サイバー攻撃に対する防御 [#jc2e3113]
サイバー攻撃に対する防御は大きくセキュアコーディングで守...
**セキュアコーディング [#iee4d7f1]
***[[OWASP ASVS 4.0]] [#idc91956]
OWASP Application Security Verification Standard 4.0.1 と...
**最低限検討すべきデフォルト緩和策 [#z2ce0dad]
***[[最低限検討すべきデフォルト緩和策 端末編]] [#w900cad6]
マルウェアの侵入経路の大半は、端末での電子メール添付ファ...
***[[最低限検討すべきデフォルト緩和策 セキュリティ仕様・W...
Webアプリケーションのコンポーネントの脆弱性や弱いセキュリ...
**詳細な緩和策 [#v48c59a0]
***[[詳細設定対策に必要な措置]] [#z6e8d891]
セキュリティ対策は、OS、アプリケーション、ネットワーク、...
***[[MITRE ATT&CKに基づく詳細設定対策]] [#xcc304a0]
本項では、MITRE ATT&CK に基づき、実際に発生し、かつ、頻繁...
*著作権表示、商標、ライセンス [#n1525cb3]
このページからリンクされているグループポリシーの説明は、...
Microsoft®、Windows®、Windows® Server 2016、Windows® 10は...
その他、すべてのページに記載の会社名、製品名は、それぞれ...
© 2020 The MITRE Corporation. This work is reproduced and...
ページ名:
