トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・一般的に利用されるポートの悪用 のバックアップ(No.10)


情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)?
MITRE に基づく詳細設定対策?

戦術:外部からの指令統制

概説

攻撃者は一般的に使用されるポートを介して通信し、ファイアウォールまたはネットワーク検出システムをバイパスし、通常の通信にまぎれて、詳細な検査を回避します。次のような一般的に開いているポートを使用する場合があります。

プロトコル、ポート名称用途
TCP:20FTPファイル転送(データ)
TCP:21FTPファイル転送(制御)
TCP/UDP:22SSHSecure Shell
TCP:25SMTP電子メール送信
TCP/UDP:53DNSドメインの名前解決
TCP:80HTTPWebアクセス
TCP:110POP電子メール受信
TCP/UDP:135RPCRPC
TCP:443HTTPSWebアクセス
TCP:445SMBファイル共有
TCP/UDP:3389RDPリモートデスクトップ

緩和の方針

一般的に使用される通信プロトコルを悪用するため、完全な防御は困難な場合があります。

  • 重要な情報資産があるネットワークセグメントに不要なポートをブロックします。
  • 監査を強化し検出に努めます。

運用やNetworkが変更された場合の影響の有無

  • 重要資産を有する端末、サーバーがあるネットワークセグメントに不要なポートが公開された場合、侵入、情報漏洩、改ざん、他のシステムへの感染などのリスクが高まります。

優先すべき措置

  • 重要な情報資産があるネットワークセグメントに不要なポートをブロックします。
  • ネットワーク侵入検知システムやSIEMの導入を検討します。

ユーザー運用管理責任

リスクの受容

  • 一般的に使用される通信プロトコルを悪用するため、重要な情報資産を暗号化するなどし、外部流出しても内容の暴露の可能性が低いと判断できる場合などは、リスクを受容します。

啓発・教育

  • 対象:開発者、Web作成者
    • FTP、SSHなどのポートを使用する、開発者端末の危険性の認識を共有します。
    • パーソナルファイアーウォールを利用し、接続先のIPを制限するなどの端末管理の正しい理解を求めます。

整備すべき規定

  • 開発端末のログ取得及び監査規程を整備します。

情報システム設計開発部門・運用部門(ベンダー代行を含む)

ポリシー

  • 該当なし。

モニタリング

  • ネットワーク侵入検知システムを導入した場合は、重要資産が保存されているサーバー、端末でのアクセスログの分析を実施します。

NWデザイン

  • 重要資産を有する端末、サーバーの厳格なセグメント分離、不要なポートの停止を実施します。

アクセスコントロール

  • 該当なし。

フィルタリング

  • 該当なし。

ロール運用

  • 該当なし。

エンドポイント対策

  • 侵入検知システムの導入を検討してください。

受託開発ベンダー管理責任

セキュアコーディング

  • 該当なし。

開発環境管理

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施します。

サプライチェーン正常性維持

  • ユーザー運用管理責任、情報システム設計開発部門・運用部門責任に準じる。 例外はすべて文書化し、適切な監査を実施します。