トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

FrontPage のバックアップ(No.21)


IPA セキュリティ検討プロジェクトチームとは

セキュリティ検討プロジェクトチームはIPA社会基盤センター モデル取引・契約書見直し検討部会 WG1:民法改正対応モデル契約見直し検討WG の配下に設置されています。
このプロジェクトチームの目的は、以下の成果を得て、WG1と部会に新たなセキュリティ検討のための指針を提示することです。

  • IT取引におけるユーザーとベンダーがセキュリティ仕様を策定するためにあるべきプロセス
  • 具体的なセキュリティ仕様を検討するためのたたき台
  • クラウドやサプライチェーンでのセキュリティの在り方
  • これらを包含したIT取引のためのセキュリティガイドライン

IPAセキュリティプロジェクトチーム成果物

セキュリティ検討プロセス

設定対策

  • IPAセキュリティPT評価版?(随時、改定中です。Linuxの記述はまだUploadできていません。)

EOLレポート

  • EOLレポート はセキュリティ関連機関、ベンダーから公表されている End of Support/Life情報のリンクです。

攻撃ベクトル分析

IPAセキュリティPT評価版?では具体的な設定を紹介していますが、攻撃は、初期侵入から、実行、認証情報の収集、水平展開と幅広い手法の積み重ねで構成されているため、一部の手法の実施を阻止できれば、大規模な拡散や情報漏洩の被害を防ぐことが可能となります。
最も有効な防御策として、ローカルの管理者権限をユーザーに与えない、ドメインユーザーをロカール管理者に登録しないなどがあげられます。これは、企業システムの管理者の負担の増加(苦情や不満)を意味しますが、それを上回るセキュリティ上のメリットがあり、強力にシステムを防衛します。
このメリットを設計者、発注者が正確に理解するための補助として、攻撃ベクトル分析を提供します。

  • ・CVE-2017-11882 Officeの数式エディタの脆弱性をつかった攻撃?
  • ・サイバーセキュリティレッドチーム実践ガイドで取り上げられた攻撃?
  • Webシステムの攻撃ベクトル(作成予定)

設定対策の重みづけ

IPAセキュリティPT評価版?は、LAC社の緊急対応サービス「サイバー119」 https://www.lac.co.jp/service/consulting/cyber119.html で検出された実際に発生した脅威情報と、同社のペネトレーションテスターの方々の攻撃のしやすさを、それぞれ3段階に評価し、それぞれが3(高評価)であったものを、対策すべき重要脅威としています。(・評価シート
これによって、低コストで実践的な防御対策を講じることができ、攻撃ベクトルの中での効果的な封じ込めが実現可能となります。 ただし、未知の攻撃や隠れた脆弱性に対しては、当然、手当てができません。必要とされる監査(ログ)設定や、アンチウイルス、侵入検知などは重要です。

OSSの取り扱い

参照ガイドライン

MITRE ATT@CK

MITRE https://www.mitre.org/ は、NIST(米国国立標準技術研究所) https://www.nist.gov/ の委託を受け、CVEの採番を行っているNPOです。世界中の脆弱性情報を管理しており、この脆弱性情報をもとに戦術とテクニックをマトリクスにしたのが ATT&CK https://attack.mitre.org/で、あらゆる脅威と実績、緩和策などが分析されています。