情報システム開発契約のセキュリティ仕様作成のためのガイドラインのバックアップ(No.4)

FrontPage

対象システム †

本ガイドラインは、以下の環境を対象とします。

Server OS： Windows Server 2016 以上
Client OS： Windows 10 (1903) 以上
ドメイン： Active Directory
Office： Office 2016/2019 （バージョン16）
その他：
- Windows 8.1, Windows Server 2012R2以降に実装されたセキュリティ機能は、Windows 8.1, Windows Server 2012R2で動作しませんが、本ガイドラインの適用で、限定的ではありますが、脅威に対する緩和策となるものもあります。
対象外：
- サポートが終了している Windows 7、Windows Server 2008/2008R2は本ガイドラインの対象外となります。
- 重要サポートの終了しているOS、アプリケーションの使用は、被害を被るだけでなく、第三者にインシデントを起こす原因となる可能性が高いため、すぐに使用を中止し、ネットワークから切り離すこと検討してだください。

↑

利用上の注意 †

本ガイドラインを適用した際に、以下のネットワーク接続や共有ができなくなることがあります。事前の調査、検証をお勧めします。

↑

SMBv1 の禁止 †

SMBv1 は脆弱性が報告されており、この脆弱性を利用したランサムウェアの被害が発生しています。このため本ガイドラインでは、使用を禁止する設定がなされています。この設定を実施した場合、古いNAS やファイルサーバー、複合機などに接続できない場合があります。

↑

SSL3.0、TLS1.0、TLS1.1 の禁止 †

SSL3.0、TLS1.0、TLS1.1 は脆弱性が報告されており、主要ブラウザーベンダーは2020年上半期までにサポートを終了する旨の告知をしています。このため、本ガイドラインでは、使用を禁止する設定がなされています。~この設定をした場合、組織内、組織外のWebサーバーとの接続ができない場合があります。

↑

サイバー攻撃の実態 †

↑

・攻撃ベクトルの研究 †

攻撃は様々な手法が存在しており、2020年3月現在、MITRE ATT&CK で330もの攻撃手法が確認されています。本項では、代表的なマルウェアの攻撃ベクトルを紹介します。

↑

サイバー攻撃に対する防御 †

サイバー攻撃に対する防御は大きくセキュアコーディングで守るものと、OSやアプリケーションの設定で守るものに判別できます。また、取り扱う情報資産の重要度に応じて様々な設定が考えられますが、ここでは、最低限検討すべき設定や運用と、重要な情報資産を防御するための積極的な設定や運用を解説します。

↑

セキュアコーディングガイド? †

OWASP Application Security Verification Standard 4.0.1 と、Java Spring Fremwork のセキュアコーディングガイドラインについて解説しています。

↑

最低限検討すべきデフォルト緩和策端末編 †

セキュリティ対策を実施することで、アプリケーションの動作に影響を及ぼすことがあります。本項では、こうしたセキュリティ対策の悪影響が発生せず、かつ、効果的な設定や運用方法を提案しています。

↑

詳細設定対策に必要な措置 †

セキュリティ対策は、OS、アプリケーション、ネットワーク、運用と幅広い対応が必要です。本項では、OS、プロトコル、パスワードといった基本的な設定事項について解説しています。

↑

MITRE に基づく設定対策? †

本項では、MITRE ATT&CK に基づき、実際に発生し、かつ、頻繁に利用されている手法を絞り込み、それぞれの脅威に対して、効果的かつ具体的な設定対策を解説しています。

↑

著作権表示 †

このページからリンクされているグループポリシーの説明は、米国Microsoft Corporation. の著作物が含まれています。

↑

商標 †

Microsoft®、Windows®、Windows® Server 2016、Windows® 10は、米国Microsoft Corporation.の米国およびその他の国における登録商標です。その他、すべてのページに記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。

↑

情報システム開発契約のセキュリティ仕様作成のためのガイドライン のバックアップ(No.4)