FrontPage のバックアップソース(No.10)

#author("2019-11-15T09:46:08+09:00","","")
#norelated
*IPA セキュリティ検討プロジェクトチームとは [#r200f72f]
セキュリティ検討プロジェクトチームは[[IPA社会基盤センター モデル取引・契約書見直し検討部会:https://www.ipa.go.jp/ikc/about/committee-01.html]]  WG1:民法改正対応モデル契約見直し検討WG の配下に設置されています。~
このプロジェクトチームは、次の成果を得て、WG1と部会に新たなセキュリティ検討のための指針を提示することが目的です。
-IT取引におけるユーザーとベンダーがセキュリティ仕様を策定するためにあるべきプロセス
-具体的なセキュリティ仕様を検討するためのたたき台
-クラウドやサプライチェーンでのセキュリティの在り方
-これらを包含したIT取引のためのセキュリティガイドライン



*IPAセキュリティプロジェクトチーム [#pc034fc2]
**設定対策 [#k6f43eef]
-[[IPAセキュリティPT評価版]]~


**設定対策の重みづけ [#jcba7180]
このセキュリティガイドラインは、LAC社の[[緊急対応サービス「サイバー119」:https://www.lac.co.jp/service/consulting/cyber119.html]] で検出された実際に発生した脅威情報と、同社のペネトレーションテスターの方々の攻撃のしやすさを、それぞれ3段階に評価し、それぞれが3（高評価）であったものを、対策すべき重要脅威としています。~
これによって、低コストで実践的な防御対策を講じることができ、攻撃ベクトルの中での効果的な封じ込めが実現可能となります。
ただし、未知の攻撃や隠れた脆弱性に対しては、当然、手当てができません。必要とされる監査（ログ）設定や、アンチウイルス、侵入検知などは重要です。


*参照ガイドライン [#h6966d32]
**MITRE ATT@CK [#ufabcd94]
[[MITRE:https://www.mitre.org/]]は[[NIST（米国国立標準技術研究所）:https://www.nist.gov/]]の委託を受け、[[CVE:https://www.ipa.go.jp/security/vuln/CVE.html]]の採番を行っているNPOです。世界中の脆弱性情報を管理しており、この脆弱性情報をもとに戦術とテクニックをマトリクスにしたのが[[ATT@CK:https://attack.mitre.org/]]で、あらゆる脅威と実績、緩和策などが分析されています。