トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

FrontPage のバックアップ(No.23)


IPA セキュリティ検討プロジェクトチームとは

セキュリティ検討プロジェクトチームはIPA社会基盤センター モデル取引・契約書見直し検討部会 WG1:民法改正対応モデル契約見直し検討WG の配下に設置されています。
このプロジェクトチームの目的は、以下の成果を得て、WG1と部会に新たなセキュリティ検討のための指針を提示することです。

  • IT取引におけるユーザーとベンダーがセキュリティ仕様を策定するためにあるべきプロセス
  • 具体的なセキュリティ仕様を検討するためのたたき台
  • クラウドやサプライチェーンでのセキュリティの在り方
  • これらを包含したIT取引のためのセキュリティガイドライン

IPAセキュリティプロジェクトチーム成果物

セキュリティ検討プロセス

設定対策

  • IPAセキュリティPT評価版?(随時、改定中です。Linuxの記述はまだUploadできていません。)

EOLレポート

  • EOLレポート はセキュリティ関連機関、ベンダーから公表されている End of Support/Life情報のリンクです。

攻撃ベクトル分析

IPAセキュリティPT評価版?では具体的な設定を紹介していますが、攻撃は、初期侵入から、実行、認証情報の収集、水平展開と幅広い手法の積み重ねで構成されているため、一部の手法の実施を阻止できれば、大規模な拡散や情報漏洩の被害を防ぐことが可能となります。
最も有効な防御策として、ローカルの管理者権限をユーザーに与えない、ドメインユーザーをロカール管理者に登録しないなどがあげられます。これは、企業システムの管理者の負担の増加(苦情や不満)を意味しますが、それを上回るセキュリティ上のメリットがあり、強力にシステムを防衛します。
このメリットを設計者、発注者が正確に理解するための補助として、攻撃ベクトル分析を提供します。

  • ・CVE-2017-11882 Officeの数式エディタの脆弱性をつかった攻撃?
  • ・サイバーセキュリティレッドチーム実践ガイドで取り上げられた攻撃?
  • Webシステムの攻撃ベクトル(作成予定)

設定対策の重みづけ

IPAセキュリティPT評価版?は、LAC社の緊急対応サービス「サイバー119」 https://www.lac.co.jp/service/consulting/cyber119.html で検出された実際に発生した脅威情報と、同社のペネトレーションテスターの方々の攻撃のしやすさを、それぞれ3段階に評価し、それぞれが3(高評価)であったものを、対策すべき重要脅威としています。(・評価シート
これによって、低コストで実践的な防御対策を講じることができ、攻撃ベクトルの中での効果的な封じ込めが実現可能となります。 ただし、未知の攻撃や隠れた脆弱性に対しては、当然、手当てができません。必要とされる監査(ログ)設定や、アンチウイルス、侵入検知などは重要です。

OSSの取り扱い

参照ガイドライン

MITRE ATT@CK

MITRE は米国の非営利法人として、防衛、航空、国土安全保障、裁判所、健康、サイバーセキュリティの研究や公益に取り組んでいる組織です。サイバーセキュリティでは、米国国立標準技術研究所(NIST)の国立サイバーセキュリティFFRDC(NCF)の運営を行い、官民パートナーシップおよびハブとしての機能を提供しています。また、国土安全保障省の資金を得て、世界中の脆弱性情報に対して採番を行うCVE(Common Vulnerabilities and Exposures) の運用を行っています。 ATT&CK はこのCVEをもとに、脆弱性を悪用した実際の攻撃を戦術単位で分類したナレッジベースです。この戦術とは、初期侵入、悪意あるプログラムの実行、永続性、特権昇格、防御回避、資格情報アクセス、探索、水平展開、情報収集、C&C、情報送信、影響に分類されています。そして、戦術ごとの個別の攻撃手法に対して、実際の実例、緩和策、検出方法、セキュリティベンダーやホワイトハッカーのレポートのリンクなどが解説されています。ATT&CKは不定期もしくは4半期に一度、最新の脅威情報を追加しており、多くのセキュリティ製品が戦術と攻撃手法のリファレンスとしてATT&CKを参照しています。

米国国防総省 Security Technical Implementation Guides

米国国防総省 Security Technical Implementation Guides (STIGs) は、製品の安全な展開の実装を支援するように設計されたガイドラインで、ホームページによると「悪意のあるコンピューター攻撃に対して脆弱な情報システム/ソフトウェアを「ロックダウン」するための技術的なガイダンスが含まれています。」となっています。2020年3月時点で、402製品/ポリシーガイド/ツール(ドラフトを含む)が掲載されており、Network機器、セキュリティ製品、OS、アプリケーションソフト、データベースがバージョンごとに発行されています。また、さまざまなベンダーやコミュニティからの提案を受け、逐次、改訂されています。多くのサードパーティがSTIG Viewerを提供しており、各製品の設定データをXML、JSON、CSVで入手できます。

Center for Internet Security Benchmarks

Center for Internet Security Inc は米国の州、地方、政府機関のサイバー攻撃の防御、対応、回復を担うMulti-State Information Sharing and Analysis Center(MS-ISAC)と、選挙事務所や選挙インフラシステムのサーバーセキュリティを担うElections Infrastructure Information Sharing and Analysis Center (EI-ISAC) の運用を行っている非営利法人です。 CIS Benchmarkはホームページによると「実証済みのガイドラインにより、サイバー攻撃に対して最も脆弱なオペレーティングシステム、ソフトウェア、およびネットワークを保護できます。進化するサイバーセキュリティの課題と闘うために、ボランティアのITコミュニティによって継続的に検証されています。」となっています。STIG同様にハードウェアからOS、アプリケーションに至る各個別製品の具体的な設定方法が掲載されており、NIST Cybersecurity Framework (CSF)、NIST SP 800-53、ISO 27000、PCI DSSなどの規格、枠組みに対応しています。BenchmarkはLevel 1(設定しても弊害がない基本的なセキュリティ要件)、Level 2(機能低下を起こすがより高度なセキュリティ環境向けセキュリティ要件)の2つの設定が提供されています。ツールを除き、実証済みのガイドラインが無償でダウンロードでき、2020年3月段階で、およそ600製品/バージョンが登録されています。STIG同様に、必要に応じて改訂されています。

Microsoft Security Baseline 及び Security Configuration Framework

Microsoft Security Baselineはホームページ によると「セキュリティ ベースラインは、一連の Microsoft が推奨する構成設定であり、そのセキュリティに対する影響についても説明しています。 これらの設定は、Microsoft セキュリティのエンジニアリングチーム、製品グループ、パートナー、および顧客のフィードバックに基づいています。」とされています。Windowsおよび関連コンポーネントには数千のグループポリシーがありますが、セキュリティ設定に関連するグループポリシーが集約されたもので、同社のSecurity Compliance Toolkit (SCT) に含まれています。Security Baselineは半年ごとに改訂されており、ブログ で改訂理由などが詳細に表明されています。 Microsoft security configuration framework は、Windows 10 にフォーカスし、エンドポイントの強化作業の優先順位付けを支援するためのものとされています。Level 1からLevel 5 までが規定されており、現在はLeve 2までがリリースされています。Level 1 は、Security Baselineよりは水準が低く見えますが、30日以内に展開できるように設計されているとなっており、既存のアプリケーションへの影響を最小限にする設定となっています。

本ガイドラインの改訂について

日々、攻撃者は脆弱性を発見し、新たな攻撃手法やユーザーを騙すテクニックを開発しています。従って、防御のためのセキュリティ設定も日々、進化することが求められます。MITRE ATT&CKは四半期に1回、主に新たな攻撃手法の追加の改訂がされるため、本ガイドラインもATT&CKの改訂に応じて、対応策や設定値を追加していく予定です。 また、対応策や設定によって、システムへの不具合や運用に影響が及ぼすことがあります。こうした特定環境でのセキュリティ設定に対する不具合の情報は、ITに依存する社会全体にとって有益で重要な情報と考えることができます。こうした観点から、設定における課題や代替策についても改訂版に追加してく予定です。