- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-12-19T09:33:56+09:00","","")
#freeze
#author("2020-11-07T15:32:37+09:00","","")
#norelated
*IPA セキュリティ検討プロジェクトチームとは [#r200f72f]
セキュリティ検討プロジェクトチームは[[IPA社会基盤センター モデル取引・契約書見直し検討部会:https://www.ipa.go.jp/ikc/about/committee-01.html]] WG1:民法改正対応モデル契約見直し検討WG の配下に設置されています。~
このプロジェクトチームの目的は、以下の成果を得て、WG1と部会に新たなセキュリティ検討のための指針を提示することです。
-IT取引におけるユーザーとベンダーがセキュリティ仕様を策定するためにあるべきプロセス
-具体的なセキュリティ仕様を検討するためのたたき台
-クラウドやサプライチェーンでのセキュリティの在り方
-これらを包含したIT取引のためのセキュリティガイドライン
*セキュリティガイドライン Windows Active Directory編 (本体)[#k6f43eef]
-[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
この「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」は、独立行政法人情報処理推進機構(IPA)内に設置された「モデル取引・契約書見直し検討部会」配下の「セキュリティ検討プロジェクトチーム(PT)」にてとりまとめたものです。
*セキュリティガイドライン Windows Active Directory編のライセンス [#obd0b806]
本ガイドラインのライセンスは、正式発表時には、クリエイティブコモンズで発行される予定です。~
この[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]は、一部、内容の説明のため、米国 Microsoft Corporation (以下、Microsoft 社といいます。)の著作物が含まれており、Microsoft 社のご厚意のもと掲載されています。そのため、本評価版を出版、公開、改変、配布、商用利用等をした場合、同社の著作権侵害となる場合があります。Microsoft 社が著作権を有す部分は、正式発表時には将来の技術的な内容の変更に備えるため Microsoft 社のWebリンクに置き換える発表する予定です。~
~
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]は、本ガイドラインの妥当性、正確性などの評価のための限定的なライセンスであり、すべての適合性の保証はしません。すべてのWeb上のもしくは印刷された文書、データおよび情報は、「現状のまま」で提供され、明示または黙示を問わず、その情報の使用が特定の目的への適合性を保証するものではなく、すべての保証をしません。~
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]は評価のための個人及び組織内の配布を除き、公開、改変、商用利用、その他の著作権は付与されておらず、IPAセキュリティ検討プロジェクトチームに留保されています。~
© 2020 IPAセキュリティ検討プロジェクトチーム
*IPAセキュリティプロジェクトチーム成果物 [#pc034fc2]
**セキュリティ検討プロセス [#of50783b]
-[[セキュリティ仕様の検討プロセス]] (作成中)~
セキュリティ仕様をユーザーとベンダが合意するために必要なプロセスを提案します。
**設定対策 [#k6f43eef]
-[[IPAセキュリティPT評価版]](随時、改定中です。Linuxの記述はまだUploadできていません。)~
**攻撃ベクトル分析 [#ye65b709]
[[IPAセキュリティPT評価版]]では具体的な設定を紹介していますが、攻撃は、初期侵入から、実行、認証情報の収集、水平展開と幅広い手法の積み重ねで構成されているため、一部の手法の実施を阻止できれば、大規模な拡散や情報漏洩の被害を防ぐことが可能となります。~
最も有効な防御策として、ローカルの管理者権限をユーザーに与えない、ドメインユーザーをロカール管理者に登録しないなどがあげられます。これは、企業システムの管理者の負担の増加(苦情や不満)を意味しますが、それを上回るセキュリティ上のメリットがあり、強力にシステムを防衛します。~
このメリットを設計者、発注者が正確に理解するための補助として、攻撃ベクトル分析を提供します。
*参照ガイドライン [#h6966d32]
本ガイドラインは、以下のガイドラインを参照しました。
-[[MITRE ATT@CK]]
-[[米国国防総省 Security Technical Implementation Guides]]
-[[Center for Internet Security Benchmarks]]
-[[Microsoft Security Baseline 及び Security Configuration Framework]]
-[[・CVE-2017-11882の脆弱性をつかった攻撃]]
-Webシステムの攻撃ベクトル(作成予定)
**設定対策の重みづけ [#jcba7180]
[[IPAセキュリティPT評価版]]は、LAC社の緊急対応サービス「サイバー119」 https://www.lac.co.jp/service/consulting/cyber119.html で検出された実際に発生した脅威情報と、同社のペネトレーションテスターの方々の攻撃のしやすさを、それぞれ3段階に評価し、それぞれが3(高評価)であったものを、対策すべき重要脅威としています。([[・評価シート]])~
これによって、低コストで実践的な防御対策を講じることができ、攻撃ベクトルの中での効果的な封じ込めが実現可能となります。
ただし、未知の攻撃や隠れた脆弱性に対しては、当然、手当てができません。必要とされる監査(ログ)設定や、アンチウイルス、侵入検知などは重要です。~
*参考資料 [#z4b6e87b]
**EOLレポート [#g72f882e]
-[[EOLレポート]] はセキュリティ関連機関、ベンダーから公表されている End of Support/Life情報のリンクです。
**OSSの取り扱い [#m67f99f9]
-[[・OSSオープンソース プログラムを管理するためのツール]]
*謝辞 [#v0bd432a]
本ガイドライン策定にあたり、以下の団体、企業の貢献に感謝いたします。
-一般社団法人 医療ISAC
-一般社団法人 情報サービス産業協会サイバーセキュリティ部会
-一般社団法人 交通ISAC
-OpenID ファウンデーション・ジャパン
-J-Auto-ISAC
-日本マイクロソフト株式会社セキュリティレスポンスチーム
*参照ガイドライン [#h6966d32]
**MITRE ATT@CK [#ufabcd94]
MITRE https://www.mitre.org/ は、NIST(米国国立標準技術研究所) https://www.nist.gov/ の委託を受け、[[CVE:https://www.ipa.go.jp/security/vuln/CVE.html]]の採番を行っているNPOです。世界中の脆弱性情報を管理しており、この脆弱性情報をもとに戦術とテクニックをマトリクスにしたのが ATT&CK https://attack.mitre.org/で、あらゆる脅威と実績、緩和策などが分析されています。
*ガイドライン策定事務局 [#e056c050]
一般社団法人コンピュータソフトウェア協会 Software-ISAC
