トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

情報システム開発契約のセキュリティ仕様作成のためのガイドライン のバックアップの現在との差分(No.3)


  • 追加された行はこの色です。
  • 削除された行はこの色です。
#author("2020-07-05T12:36:12+09:00","default:hagiken","hagiken")
#freeze
#author("2020-12-22T12:41:33+09:00","","")
[[FrontPage]]

[[はじめに>#o5b32cd6]]~
[[本ガイドラインの策定の経緯とスコープ>#k9b3bf82]]~
[[対象システム>#w030b242]]~
[[サイバー攻撃の実態>#ra8ee63d]]~
[[サイバー攻撃に対する防御>#jc2e3113]]~
[[著作権表示、商標、ライセンス>#n1525cb3]]
*はじめに [#o5b32cd6]
本ガイドラインは、重要インフラ、大企業基幹系の受託開発に際して、ユーザーとベンダーがセキュリティ仕様を策定する際の、脅威分析とその対策を検討するためのOS、デスクトッププアプリ、ブラウザーのセキュリティ設定を検討するためのガイドラインです。 ~
脅威については、NIST(米国国立標準技術研究所)の委託を受け、世界中のCVEの採番を行っている非営利法人 MITRE の [[ATT&CK® Matrix for Enterprise>#h6966d32]] をベースに、日本国内で発生したインシデントで実際に使われ、かつ、実績の多いものをセキュリティプロジェクトチームの有識者が抽出したものです。また、脅威に対する対策は、MITRE ATT&CK Matrix for Enterprise の推奨する緩和策に加え、以下のガイドラインの緩和策を参照しています。
-[[米国国防総省 Security Technical Implementation Guides (STIG)>米国国防総省 Security Technical Implementation Guides]]
-[[米国 Center for Internet Security Benchmarks>Center for Internet Security Benchmarks]]
-[[Microsoft® Security Baseline 及び Security Configuration Framework>Microsoft Security Baseline 及び Security Configuration Framework]]
また、OS等のセキュリティ設定ではカバーしきれない、SQLインジェクション攻撃やアプリケーションの構成の不備に起因する脆弱性対策を行うものとして、OWASP の Application Security Verification Standard (ASVS:アプリケーションセキュリティ検証標準) V4 と Java Spring Framework セキュアコーディングガイドラインを参考例として例示しました。
本ガイドラインとセキュアコーディングを合わせることで、より強靭なシステムの要件定義が可能となり、後工程でのセキュリティ実装がより具体的になると期待できます。~
''重要'':攻撃者と彼らが生み出す脅威は日々、進化を遂げています。本ガイドラインは過去の実績のある脅威に対する緩和策の提案であり、このガイドラインを適用することでサイバー攻撃の被害をゼロにすることが保証されるわけではありません。~
本ガイドラインを参考に、定期・不定期でシステム固有の脅威に対するリスクを認識し、そのリスクの緩和に向けた検討を続けることを強く推奨します。

~

**本ガイドラインの策定の経緯とスコープ [#k9b3bf82]
***経緯 [#x5b6fad7]
2020年4月の改正民法(債権法)施行に伴い、経済産業省の「情報システム・モデル取引・契約書」の改訂作業を独立行政法人情報処理推進機構社会基盤センターモデル取引・契約書見直し検討部会が実施しました。この見直しに際し、セキュリティ関連に特化して、「モデル取引・契約書」改定版あるいは追補版に盛り込むべき内容を検討し、その結果を提案することを目指しセキュリティ検討プロジェクトチームが設置され、その議論においてユーザーとベンダーがセキュリティ仕様を策定する際の、検討のためのたたき台として一定のセキュリティ設定を提示すべきとなり、本ガイドラインが作成されました。~
セキュリティ検討プロジェクトチームメンバー:~
https://www.ipa.go.jp/ikc/about/committee-01.html#model_wg1pt~
***想定している読者とプロセス [#la3d080e]
-重要インフラ・大企業基幹系システム開発に携わる方
***対象となるプロセス [#ia0b5ca0]
-[[共通フレーム2013 (SLCP-JCF2013):https://www.ipa.go.jp/files/000027415.pdf]] の以下のプロセス
--2.2要件定義プロセス
--2.3システム開発プロセス
--2.4ソフトウェア実装プロセス
--2.6保守プロセス
--3.1運用プロセス
***スコープ [#x565561e]
セキュリティ仕様は、物理的、技術的、人的な側面を持ちます。このガイドラインは情報システム開発契約における、技術的なセキュリティ仕様の検討を支援しますが、情報の物理的保護対策や、データーセンターなどへの侵入の物理的保護については触れていません。また、重要な情報を入力する際のショルダーハッキングを防止するなどの人的な対策についても触れていません。これらの仕様の検討は以下をご参考下さい。

-[[「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」内閣サイバーセキュリティセンター令和元年版:https://www.nisc.go.jp/active/general/sbd_sakutei.html]]
-[[「組織における内部不正防止ガイドライン」IPA 2017年版:https://www.ipa.go.jp/files/000057060.pdf]]

**本ガイドラインの改訂について [#b851f732]
日々、攻撃者は脆弱性を発見し、新たな攻撃手法やユーザーを騙すテクニックを開発しています。従って、防御のためのセキュリティ設定も日々、進化することが求められます。MITRE ATT&CKは四半期に1回、主に新たな攻撃手法の追加の改訂がされるため、本ガイドラインもATT&CKの改訂に応じて、対応策や設定値を追加していく予定です。
また、対応策や設定によって、システムへの不具合や運用に影響が及ぼすことがあります。こうした特定環境でのセキュリティ設定に対する不具合の情報は、ITに依存する社会全体にとって有益で重要な情報と考えることができます。こうした観点から、設定における課題や代替策についても改訂版に追加してく予定です。
&br;
改訂作業は、セキュリティプロジェクトチームの事務局を担当した、一般社団法人コンピュータソフトウェア協会 Software ISACで実施します。&br;
ご意見、ご提案、改良すべき点などのご提案をお待ちしております。以下までご連絡ください。皆様のご協力をお願い申し上げます。
一般社団法人コンピュータソフトウェア協会(Computer Software Association of Japan)
〒107-0052 東京都港区赤坂1-3-6 赤坂グレースビル
TEL:03-3560-8440/FAX:03-3560-8441
https:// www.csaj.jp/committee/security/softwareisac.html
https://www.softwareisac.jp/ipa/



*対象システム [#w030b242]
本ガイドラインは、以下の環境を対象とします。~
-Server OS:	Windows Server 2016 以上
-Client OS:	Windows 10 (1903) 以上
-ドメイン:	Active Directory
-Office:		Office 2016/2019 (バージョン16)
-その他:	
--Windows 8.1, Windows Server 2012R2以降に実装されたセキュリティ機能は、Windows 8.1, Windows Server 2012R2で動作しませんが、本ガイドラインの適用で、限定的ではありますが、脅威に対する緩和策となるものもあります。
--Windows 8.1, Windows Server 2012R2以降に実装されたセキュリティ機能は、Windows 8.1, Windows Server 2012R2で動作しませんが、本ガイドラインの適用で、限定的ではありますが、脅威に対する緩和策となるものもあります。&br;
アンチウイルスソフトの一般的な運用は実施済みであること前提としています。
-対象外:	
--サポートが終了している Windows 7、Windows Server 2008/2008R2は本ガイドラインの対象外となります。
--''重要'' サポートの終了しているOS、アプリケーションの使用は、被害を被るだけでなく、第三者にインシデントを起こす原因となる可能性が高いため、すぐに使用を中止し、ネットワークから切り離すこと検討してだください。
*利用上の注意 [#e8e33c42]
**利用上の注意 [#e8e33c42]
本ガイドラインを適用した際に、以下のネットワーク接続や共有ができなくなることがあります。事前の調査、検証をお勧めします。
**SMBv1 の禁止 [#wbf4f53b]
SMBv1 は脆弱性が報告されており、この脆弱性を利用したランサムウェアの被害が発生しています。このため本ガイドラインでは、使用を禁止する設定がなされています。この設定を実施した場合、古いNAS やファイルサーバー、複合機などに接続できない場合があります。
**SSL3.0、TLS1.0、TLS1.1 の禁止 [#tcc3c052]
SSL3.0、TLS1.0、TLS1.1 は脆弱性が報告されており、主要ブラウザーベンダーは2020年上半期までにサポートを終了する旨の告知をしています。このため、本ガイドラインでは、使用を禁止する設定がなされています。~この設定をした場合、組織内、組織外のWebサーバーとの接続ができない場合があります。
***SMBv1 の無効化 [#wbf4f53b]
[[SMBv1 の脆弱性>https://docs.microsoft.com/ja-jp/security-updates/securitybulletins/2017/ms17-010]]が報告されており、2017年にはこの脆弱性を利用した WannaCry と呼ばれるランサムウェアの被害が発生しています。このため本ガイドラインでは、グループポリシーでSMBv1を無効化する設定を推奨しています。この設定を実施した場合、一部のSMBv2以上のプロトコルに対応していない古い NAS やファイルサーバー、複合機などに接続できない場合があります。なお、Windows 10では SMBv1 は廃止されています。

*[[・攻撃ベクトルの研究]] [#z751e201]
攻撃は様々な手法が存在しており、2020年3月現在、MITRE ATT&CK で330もの攻撃手法が確認されています。一方で、現時点でも多くの攻撃者グループが良く使う手法と、既に脆弱性対策が施され利用されない、もしくは、頻度の少ない攻撃手法も存在します。本ガイドラインでは、有識者の知見に基づきこの攻撃手法を絞り込んでいますが、これらの攻撃手法は初期侵入から情報漏洩に至るまでで、様々な役割と連携を果たします。[[・攻撃ベクトルの研究]]では、代表的なマルウェアの攻撃ベクトルを紹介します。(本稿は適宜、更新します。)
***SSL3.0、TLS1.0、TLS1.1 の無効化 [#tcc3c052]
SSL3.0、TLS1.0、TLS1.1 は脆弱性が報告されており、主要ブラウザーベンダーは2020年上半期までにサポートを終了する旨の告知をしています。このため、本ガイドラインでは、使用を無効化する設定を推奨しています。
この設定をした場合、組織内、組織外のWebサーバーとの接続ができない場合があります。。

*サイバー攻撃の実態 [#ra8ee63d]
***[[・攻撃ベクトルの研究]] [#z751e201]
攻撃は様々な手法が存在しており、2020年3月現在、MITRE ATT&CK で330もの攻撃手法が確認されています。本項では、代表的なマルウェアの攻撃ベクトルを紹介します。

*設定対策に必要な措置 [#z6e8d891]
セキュリティ対策は、OS、アプリケーションの設定、ネットワークデザイン、運用によって緩和策が有効であったり、場合によっては無効になるケースが存在します。そのため、すべての設定対策が効果を発揮するための基本的な措置が必要です。
*サイバー攻撃に対する防御 [#jc2e3113]
サイバー攻撃に対する防御は大きくセキュアコーディングで守るものと、OSやアプリケーションの設定で守るものに判別できます。また、取り扱う情報資産の重要度に応じて様々な設定が考えられますが、ここでは、最低限検討すべき設定や運用と、重要な情報資産を防御するための積極的な設定や運用を解説します。
**セキュアコーディング [#iee4d7f1]
***[[OWASP ASVS 4.0]] [#idc91956]
OWASP Application Security Verification Standard 4.0.1 と、Java Spring Fremwork のセキュアコーディングガイドラインについて解説しています。 

-[[・Windows の 管理者の設定]] 
-[[・プロトコル設定]] 
-[[・暗号スイート設定]]
-[[・管理インターフェースの保護]]
-[[・レジストリとログの保護]]
-[[・パスワードについて]]
-[[・Windows Group Policyの再読み込み]]
-[[・レベル1セキュリティ構成(Windows 10)]]
-[[・Windows Server 2016 Domain Controller]]
**最低限検討すべきデフォルト緩和策 [#z2ce0dad]
***[[最低限検討すべきデフォルト緩和策 端末編]] [#w900cad6]
マルウェアの侵入経路の大半は、端末での電子メール添付ファイルやWebリンクです。本項では、最低限検討すべき端末での効果的な設定や運用方法を提案しています。
***[[最低限検討すべきデフォルト緩和策 セキュリティ仕様・Webアプリケーション編]] [#gdfe8211]
Webアプリケーションのコンポーネントの脆弱性や弱いセキュリティ設定は攻撃の的になります。本項では、最低限検討すべきセキュリティやWebアプリケーションの仕様を提案しています。

*MITRE ATT&CKによる設定対策(絞り込み済み) [#s054f661]
|LEFT:120|LEFT:200|CENTER:|CENTER:|LEFT:|c
|CENTER:戦術|CENTER:手法|CENTER:緩和策|h
|初期侵入|[[・悪意のあるファイルを添付したフィッシングメール]]|アンチウイルスの適用|
|~|~|ネットワーク侵入防止システムの適用|
|~|~|厳格なWebベースのコンテンツ制限|
|~|~|ユーザートレーニング|
|悪意あるプログラムの実行|[[・コマンドラインインターフェースの悪用]]|ホワイトリスト|
|~|~|監査(イベントログ)|
|~|[[・PowerShellの悪用]]|コード署名|
|~|~|機能やプログラムの無効化または削除|
|~|~|特権アカウント管理|
|~|[[・Windowsタスクスケジューラ at, schtasks の悪用]]|監査(イベントログ)|
|~|~|オペレーティングシステムの構成|
|~|~|特権アカウント管理|
|~|~|ユーザーアカウント管理|
|~|[[・悪意あるスクリプティングの実行]]|アプリケーションの分離とサンドボックス化|
|~|~|機能やプログラムの無効化または削除|
|~|[[・悪意あるWindowsサービスの実行]]|特権アカウント管理|
|~|~|厳格なファイルとディレクトリのアクセス許可制限|
|~|[[・メールに添付されたマルウェアファイルやリンクをユーザーが実行する]]|実行防止|
|~|~|ネットワーク侵入防止システムの適用|
|~|~|厳格なWebベースのコンテンツ制限|
|~|~|ユーザートレーニング|
|永続化|[[・不正なWindowsサービスの追加]]|ユーザーアカウント管理|
|~|[[・レジストリRunキーやスタートアップフォルダの悪用]]|簡単に軽減できない|
|防御の回避|[[・ファイル削除]]|簡単に軽減できない|
|~|[[・難読化されたファイルまたは情報]]|アンチウイルスの適用|
|~|~|機能やプログラムの無効化または削除|
|~|[[・悪意あるスクリプティングの実行]]|アンチウイルスの適用|
|認証情報アクセス|[[・認証情報のダンプ]]|Active Directoryの構成|
|~|~|情報の収集|
|~|~|オペレーティングシステムの構成|
|~|~|パスワードポリシー|
|~|~|特権アカウント管理|
|~|~|特権プロセスの整合性確保|
|~|~|ユーザートレーニング|
|~|[[・脆弱性を悪用した認証情報アクセス]]|アプリケーションの分離とサンドボックス化|
|~|~|脆弱性保護プログラムの利用|
|~|~|脅威インテリジェンスプログラム|
|~|~|ソフトウェアアップデート|
|情報の探索|[[・アカウントの探索]]|オペレーティングシステムの構成|
|~|[[・ファイルとディレクトリの探索]]|簡単に軽減できない|
|~|[[・ネットワークサービスのスキャン]]|機能やプログラムの無効化または削除|
|~|~|ネットワーク侵入防止システムの適用|
|~|~|ネットワークのセグメント化|
|~|[[・システム情報の探索]]|簡単に軽減できない|
|~|[[・システムのネットワーク設定の探索]]|簡単に軽減できない|
|~|[[・システムユーザーの探索]]|簡単に軽減できない|
|水平展開|[[・Pass the Hash]]|パスワードポリシー|
|~|~|特権アカウント管理|
|~|~|ソフトウェアアップデート|
|~|~|ユーザーアカウント制御|
|~|~|ユーザーアカウント管理|
|情報の収集|[[・ローカルシステムからのデータ収集]]|簡単に軽減できない|
|~|[[・ネットワーク共有ドライブからのデータ収集]]|簡単に軽減できない|
|外部からの指令統制|[[・一般的に利用されるポートの悪用]]|ネットワーク侵入防止システムの適用|
|~|~|ネットワークのセグメント化|
|~|[[・標準アプリケーションレイヤプロトコル(HTTP,SMTPなど)]]|ネットワーク侵入防止システムの適用|
|持ち出し|[[・データの圧縮]]|ネットワーク侵入防止システムの適用|
|~|[[・データの暗号化]]|簡単に軽減できない|
**詳細な緩和策 [#v48c59a0]
***[[詳細設定対策に必要な措置]] [#z6e8d891]
セキュリティ対策は、OS、アプリケーション、ネットワーク、運用と幅広い対応が必要です。本項では、OS、プロトコル、パスワードといった基本的な設定事項について解説しています。

*著作権表示 [#n1525cb3]
***[[MITRE ATT&CKに基づく詳細設定対策]] [#xcc304a0]
本項では、MITRE ATT&CK に基づき、実際に発生し、かつ、頻繁に利用されている手法を絞り込み、それぞれの脅威に対して、効果的かつ具体的な設定対策を解説しています。


*著作権表示、商標、ライセンス  [#n1525cb3]
このページからリンクされているグループポリシーの説明は、米国Microsoft Corporation. の著作物が含まれています。
*商標 [#j1cc22e0]
Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。
その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。
*LICENSE [#f4c34399]
Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。~
その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。~
© 2020 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.