- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2019-09-28T14:34:59+09:00","","")
#freeze
#author("2020-11-07T15:32:37+09:00","","")
#norelated
*IPA セキュリティ検討プロジェクトチーム [#r200f72f]
セキュリティ検討プロジェクトチームは[[IPA社会基盤センター モデル取引・契約書見直し検討部会:https://www.ipa.go.jp/ikc/about/committee-01.html]] WG1:民法改正対応モデル契約見直し検討WG の配下に設置されています。
*セキュリティガイドライン [#r2c3d759]
**設定対策 [#k6f43eef]
**設定対策の重みづけ [#jcba7180]
*セキュリティガイドライン Windows Active Directory編 (本体)[#k6f43eef]
-[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
この「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」は、独立行政法人情報処理推進機構(IPA)内に設置された「モデル取引・契約書見直し検討部会」配下の「セキュリティ検討プロジェクトチーム(PT)」にてとりまとめたものです。
*セキュリティガイドライン Windows Active Directory編のライセンス [#obd0b806]
本ガイドラインのライセンスは、正式発表時には、クリエイティブコモンズで発行される予定です。~
この[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]は、一部、内容の説明のため、米国 Microsoft Corporation (以下、Microsoft 社といいます。)の著作物が含まれており、Microsoft 社のご厚意のもと掲載されています。そのため、本評価版を出版、公開、改変、配布、商用利用等をした場合、同社の著作権侵害となる場合があります。Microsoft 社が著作権を有す部分は、正式発表時には将来の技術的な内容の変更に備えるため Microsoft 社のWebリンクに置き換える発表する予定です。~
~
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]は、本ガイドラインの妥当性、正確性などの評価のための限定的なライセンスであり、すべての適合性の保証はしません。すべてのWeb上のもしくは印刷された文書、データおよび情報は、「現状のまま」で提供され、明示または黙示を問わず、その情報の使用が特定の目的への適合性を保証するものではなく、すべての保証をしません。~
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]は評価のための個人及び組織内の配布を除き、公開、改変、商用利用、その他の著作権は付与されておらず、IPAセキュリティ検討プロジェクトチームに留保されています。~
© 2020 IPAセキュリティ検討プロジェクトチーム
*参照ガイドライン [#h6966d32]
**MITRE ATT@CK [#ufabcd94]
[[MITRE:https://www.mitre.org/]]は[[NIST(米国国立標準技術研究所):https://www.nist.gov/]]の委託を受け、[[CVE:https://www.ipa.go.jp/security/vuln/CVE.html]]の採番を行っているNPOです。世界中の脆弱性情報を管理しており、この脆弱性情報をもとに戦術とテクニックをマトリクスにしたのが[[ATT@CK:https://attack.mitre.org/]]で、あらゆる脅威と実績、緩和策などが分析されています。
**DoD Security Technical Implementation Guides (STIGs) [#w6edda15]
STIGは米国国防総省国防情報システム局がベンダーと策定したセキュリティ技術の実装ガイドで、個別製品のセキュリティ設定やコンプライアンスを記述したもので、Zipファイルで提供されています。以下に、一部分のリンクがあります。
[[国防総省STIGsドキュメントライブラリ:https://public.cyber.mil/stigs/downloads/]]から各製品のSTIGが入手可能です。
***Windows [#teac03c9]
[[Active DirectoryドメインSTIG-バージョン2、リリース12:https://dl.dod.cyber.mil/wp-content/uploads/stigs/zip/U_Active_Directory_Domain_V2R12_STIG.zip]]~
[[Microsoft Windows 10 STIG-バージョン1、リリース18:https://dl.dod.cyber.mil/wp-content/uploads/stigs/zip/U_MS_Windows_10_V1R18_STIG.zip]]~
[[Microsoft Windows Server 2016 STIG-バージョン1、リリース9:https://dl.dod.cyber.mil/wp-content/uploads/stigs/zip/U_MS_Windows_Server_2016_V1R9_STIG.zip]]~
本ガイドラインは、以下のガイドラインを参照しました。
-[[MITRE ATT@CK]]
-[[米国国防総省 Security Technical Implementation Guides]]
-[[Center for Internet Security Benchmarks]]
-[[Microsoft Security Baseline 及び Security Configuration Framework]]
***LINUX [#m36b6bfb]
[[Red Hat Enterprise Linux 7 STIG-バージョン2、リリース4:https://dl.dod.cyber.mil/wp-content/uploads/stigs/zip/U_Red_Hat_Enterprise_Linux_7_V2R4_STIG.zip]]~
[[SUSE Enterprise Linux 12 STIG-Ver 1、Rel 2:https://dl.dod.cyber.mil/wp-content/uploads/stigs/zip/U_SLES_12_V1R2_STIG.zip]]
*参考資料 [#z4b6e87b]
**EOLレポート [#g72f882e]
-[[EOLレポート]] はセキュリティ関連機関、ベンダーから公表されている End of Support/Life情報のリンクです。
**OSSの取り扱い [#m67f99f9]
-[[・OSSオープンソース プログラムを管理するためのツール]]
***ミドルウェア [#c0285ca0]
[[Adobe ColdFusion 11 STIG-Ver 1、Rel 4:https://dl.dod.cyber.mil/wp-content/uploads/stigs/zip/U_Adobe_ColdFusion_11_V1R4_STIG.zip]]~
[[Apache Server 2.4 UNIX STIG:https://dl.dod.cyber.mil/wp-content/uploads/stigs/zip/U_Apache_Server_2-4_UNIX_STIG.zip]]~
[[Microsoft Exchange 2016 STIG Ver 1リリースメモ:https://dl.dod.cyber.mil/wp-content/uploads/stigs/pdf/U_MS_Exchange_2016_STIG_Ver1_memo_signed.pdf]]~
[[Oracle WebLogic Server 12c STIG-Ver 1、Rel 6:https://dl.dod.cyber.mil/wp-content/uploads/stigs/zip/U_Oracle_WebLogic_Server_12c_V1R6_STIG.zip]]
*謝辞 [#v0bd432a]
本ガイドライン策定にあたり、以下の団体、企業の貢献に感謝いたします。
-一般社団法人 医療ISAC
-一般社団法人 情報サービス産業協会サイバーセキュリティ部会
-一般社団法人 交通ISAC
-OpenID ファウンデーション・ジャパン
-J-Auto-ISAC
-日本マイクロソフト株式会社セキュリティレスポンスチーム
*ガイドライン策定事務局 [#e056c050]
一般社団法人コンピュータソフトウェア協会 Software-ISAC
