・ネットワーク共有ドライブからのデータ収集
Last-modified: 2020-11-08 (日) 14:32:22
Top/・ネットワーク共有ドライブからのデータ収集
情報システム開発契約のセキュリティ仕様作成のためのガイドライン
MITRE ATT&CKに基づく詳細設定対策
戦術:情報の収集 †
- MITRE ATT&CK
概説 †
攻撃者はネットワーク上のファイルサーバーやネットワーク共有ドライブなどから機密データを窃取します。コマンドラインインターフェースを介してネットワーク共有を探します。
緩和の方針 †
この手法はシステムの標準機能を悪用することから予防的設定が困難です。 管理されていない端末のドライブ・フォルダー共有や、部門が独自に設置したNAS等は運用を停止し、管理されたファイルサーバーに集約し、適切なアクセス権を設定します。
運用やNetworkが変更された場合の影響の有無 †
アクセス権が設定されていない [Everyone] がアクセスできる共有フォルダーに機密データが保存された場合、リスクが高まります。機密データは、アクセス権が適切に設定されたフォルダに適切な強度の暗号を設定して保存してください。
優先すべき措置 †
コマンドラインインターフェースの実行ログを取得し、検出を強化し、重要な情報資産に対するコントロールを検討します。
ユーザー運用管理責任 †
リスクの受容 †
- 基本的に防御が困難なため、この手法のリスクは受容します。
啓発・教育 †
- 対象:すべての端末利用者
- サーバー以外の端末での共有フォルダーによる共有を禁止し、アクセス権の設定されたファイルサーバー等の利用を促します。
- 機密データの暗号化を促します。
管理規程 †
以下の管理規程の整備を検討します。
- 端末運用規程でのローカル共有ドライブの利用禁止規程。
- ファイルサーバー、NAS、クラウドストレージサービス等の管理規程。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー †
・コマンドラインインターフェースの悪用、・PowerShellの悪用を参考にしてコマンド、スクリプト実行のログを取得します。
モニタリング †
以下の監査の実施を検討します。
- コマンドラインインターフェースの監査
- 前項のポリシーを設定の上、[イベントビューアー]-[Windowsログ]-[セキュリティ]-[Event ID 4688] を検索し、不審なnet、dir等の実行を監査します。なお、上記コマンドをPowerShellで実行しても、セキュリティログに記録されます。
- PowerShellスクリプトの監査
- 前項のポリシーを設定の上、[イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell/Operational] で不審なスクリプトの実行を監査します。
ネットワークデザイン、アクセスコントロール、フィルタリング †
以下のコントロールを検討します。
- 重要資産が保存されたファイルサーバーなどのアクセス権の設定を監査し、問題があれば再設定します。
- ファイルサーバー、NAS、端末の共有フォルダー等のアクセス権限が Everyone となっているフォルダーの検出と、適切なアクセス権を再設定します。
- ファイルサーバー等に情報資産を保存する際の、管理者と利用者のロール設定を検討します。
- 個人情報、クレジットカード情報、営業情報、財務情報など、企業内での重要情報の棚卸を実施します。
- セキュリティ設定管理者の権限、利用者の権限を検討します。
- 重要な資産に対する暗号化、パスワード設定等のルールも併せて検討します。
仮想端末運用 †
これは将来のためのプレースフォルダーです。
エンドポイント対策 †
侵入検知システム、Endpoint Detection and Responseの導入を検討します。
受託開発ベンダー管理責任 †
セキュアコーディング †
該当しません。
開発環境管理 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。
サプライチェーン正常性維持" †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施する。