・ファイルとディレクトリの探索
情報システム開発契約のセキュリティ仕様作成のためのガイドライン
MITRE ATT&CKに基づく詳細設定対策
戦術:情報の探索 †
- MITRE ATT&CK
概説 †
悪意のあるプログラム(マルウェア)や攻撃者はファイルやディレクトリ、ネットワーク共有を探索し、特定の情報を検索する場合があります。また、ターゲットとなる端末やサーバーに感染するか、他の行動を試みる場合があります。これは複合機の蓄積文書や文書共有なども含まれます。
緩和の方針 †
この手法は、システムの標準機能を悪用しているため、予防的設定が困難なため、多角的な緩和策を講じる必要があります。
運用やNetworkが変更された場合の影響の有無 †
脆弱なプロトコルの許可や、ポートの公開は、攻撃を受けるリスクが高まります。
重要な情報資産が不適切なセグメントに設置されることで、攻撃者に検知されるリスクが高まります。
優先すべき措置 †
以下の設定を検討して下さい。
- ダイナミックアクセス制御 の導入を検討します。
ダイナミック アクセス制御:シナリオの概要:
https://docs.microsoft.com/ja-jp/windows-server/identity/solution-guides/dynamic-access-control--scenario-overview
- 端末のドライブの共有を停止し、ファイルサーバー、NAS等に集約し、アクセス権を設定しログの取得と分析をします。
- 重要な情報資産を暗号化し、特定のユーザーだけがアクセスできるように権限を設定します。
- 不要なポートを閉じ、脆弱なプロトコルの使用を禁止します。
- ログの監査によって探索の検出を検討します。
- 複合機のファイル共有機能には、ID、パスワードを設定します。
ユーザー運用管理責任 †
リスクの受容 †
ログ保存、分析コストが高い場合は、重要な情報資産の暗号化を行い受容します。なお、端末でのディレクトリ共有、ファイル共有は水平展開のリスクが高いため受容は推奨できません。
啓発・教育 †
- 対象:重要な情報資産にアクセスできる担当者
- 誤操作や運用変更によって発生するリスクと防御策を共有します。
29.6.3 管理規程 †
以下の規程の整備を検討します。
- 重要資産管理規程。
- ログ監査を行う場合
コマンドラインインターフェース、スクリプトの監査規程。
情報システム設計開発部門・運用部門(ベンダー代行を含む) †
ポリシー †
・コマンドラインインターフェースの監査、・PowerShellの悪用、・悪意あるスクリプティングの実行 を参照してください。
モニタリング †
前項のポリシーを設定の上、以下の監査の実施を検討します。
- コマンドラインインターフェースの監査
- [イベントビューアー]-[Windowsログ]-[セキュリティ]-[Event ID 4688] を検索し、不審な dir、tree 等の実行を監査します。なお、上記コマンドをPowerShellで実行しても、セキュリティログに記録されます。
- PowerShellスクリプトの監査
- [イベントビューアー]-[アプリケーションとサービスログ]-[Microsoft]-[Windows]-[PowerShell/Operational] で、Get-Childitem等の不審なスクリプトの実行を監査します。
ネットワークデザイン、アクセスコントロール 、フィルタリング †
- 重要情報資産を特定セグメントに設置し、必要最低限のプロトコルだけを許可し、不要なポートはすべて閉じます。
- 重要資産にアクセスできるユーザーの権限(読み取り、書き込み、実行、削除等)を設定し、文書化します。
- 重要資産に対するロール管理を設計し設定します 。
日本ネットワークセキュリティ協会 エンタープライズロール管理解説書:
https://www.jnsa.org/result/2013/Role-Management-v1.pdf
仮想端末運用 †
これは将来のためのプレースフォルダーです。
ゲートウェイ及びエンドポイント対策 †
該当しません。
受託開発ベンダー管理責任 †
セキュアコーディング †
該当しません。
開発環境管理 †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。
サプライチェーン正常性維持" †
ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じます。 例外はすべて文書化し、適切な監査を実施します。