トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・データの圧縮

Last-modified: 2020-11-08 (日) 14:31:43
Top/・データの圧縮

情報システム開発契約のセキュリティ仕様作成のためのガイドライン
MITRE ATT&CKに基づく詳細設定対策

戦術:持ち出し

概説

攻撃者は窃取した情報の送信量を最小限に抑えるため、データを圧縮することがあります。圧縮はカスタムプログラムもしくは、7zip、RAR、ZIP、zlibなどの一般的な圧縮ライブラリまたはユーティリティを使用します。

緩和の方針

ネットワーク侵入防止システムで、特定のファイル形式の送信を検知することができます。ただし、暗号化された通信の場合、検知できない場合があります。
圧縮は様々な業務端末では日常的に実行されますが、ドメインコントローラーやアプリケーションサーバーなどでの圧縮プログラムの実行は限定的です。このため、重要資産が配置されているサーバーでの検出を検討します。

運用やNetworkが変更された場合の影響の有無

該当しません。

優先すべき措置

重要資産が配置されているサーバーでのコマンドラインインターフェースのログの取得と分析を検討します。

ユーザー運用管理責任

リスクの受容

暗号化された通信の場合、圧縮されたデータを検知することが困難です。従って、暗号化通信のリスクは受容し、事後的な検出に努めることを検討します。

啓発・教育

該当しません。

管理規程

以下の管理規程の整備を検討します。

  • 重要資産の監査規程。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

・コマンドラインインターフェースの悪用・PowerShellの悪用を参考にしてコマンド、スクリプト実行のログを取得します。

モニタリング

以下の監査の実施を検討します。

  • コマンドラインインターフェースの監査
  • 前項のポリシーを設定の上、[イベントビューアー]-[Windowsログ]-[セキュリティ]-[Event ID 4688] を検索し、不審なnet、dir等の実行を監査します。なお、上記コマンドをPowerShellで実行しても、セキュリティログに記録されます。

PowerShellスクリプトの監査

  • [イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell/Operational] で不審なスクリプトの実行を監査します。

37.7.3 ネットワークデザイン、アクセスコントロール、フィルタリング

以下のコントロールを検討します。

  • 重要資産が保存されたファイルサーバーなどのアクセス権の設定を監査し、問題があれば再設定します。
  • ファイルサーバー、NAS、端末の共有フォルダー等のアクセス権限が Everyone となっているフォルダーの検出と、適切なアクセス権を再設定します。
  • ファイルサーバー等に情報資産を保存する際の、管理者と利用者のロール設定を検討します。
  • 個人情報、クレジットカード情報、営業情報、財務情報など、企業内での重要情報の棚卸を実施します。
  • セキュリティ設定管理者の権限、利用者の権限を検討します。
  • 重要な資産に対する暗号化、パスワード設定等のルールも併せて検討します。

仮想端末運用

これは将来のためのプレースフォルダーです。

ゲートウェイ及びエンドポイント対策

受託開発ベンダー管理責任

セキュアコーディング

該当しません。

開発環境管理

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。

サプライチェーン正常性維持"

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。