- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2020-03-16T09:44:57+09:00","","")
#freeze
#author("2020-11-07T15:32:37+09:00","","")
#norelated
*セキュリティガイドライン Windows Active Directory編 [#s6608699]
**はじめに [#o5b32cd6]
本ガイドラインは、重要インフラ、大企業基幹系の受託開発に際して、ユーザーとベンダーがセキュリティ仕様を策定する際の、脅威分析とその対策を検討するためのガイドラインです。
脅威については、NIST(米国国立標準技術研究所)の委託を受け、世界中のCVEの採番を行っている非営利法人 MITRE の [[ATT&CK Matrix for Enterprise>#ufabcd94]] をベースに、日本国内で発生したインシデントで実際に使われ、かつ、実績の多いものをセキュリティプロジェクトチームの有識者が抽出したものです。また、脅威に対する対策は、MITRE ATT&CK Matrix for Enterprise の推奨する緩和策に加え、以下のガイドラインの緩和策を参照しています。
-[[米国国防総省 Security Technical Implementation Guides (STIG)>#pbfebfdf]]
-[[米国 Center for Internet Security Benchmarks>#t3597615]]
-[[Microsoft Security Baseline 及び Security Configuration Framework>#m4245c81]]
*セキュリティガイドライン Windows Active Directory編 (本体)[#k6f43eef]
-[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]~
この「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」は、独立行政法人情報処理推進機構(IPA)内に設置された「モデル取引・契約書見直し検討部会」配下の「セキュリティ検討プロジェクトチーム(PT)」にてとりまとめたものです。
''重要'':攻撃者と彼らが生み出す脅威は日々、進化を遂げています。本ガイドラインは過去の実績のある脅威に対する緩和策の提案であり、このガイドラインを適用することでサイバー攻撃の被害をゼロにすることが保証されるわけではありません。~
本ガイドラインを参考に、定期・不定期でシステム固有の脅威に対するリスクを認識し、そのリスクの緩和に向けた検討を続けることを強く推奨します。
*セキュリティガイドライン Windows Active Directory編のライセンス [#obd0b806]
本ガイドラインのライセンスは、正式発表時には、クリエイティブコモンズで発行される予定です。~
この[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]は、一部、内容の説明のため、米国 Microsoft Corporation (以下、Microsoft 社といいます。)の著作物が含まれており、Microsoft 社のご厚意のもと掲載されています。そのため、本評価版を出版、公開、改変、配布、商用利用等をした場合、同社の著作権侵害となる場合があります。Microsoft 社が著作権を有す部分は、正式発表時には将来の技術的な内容の変更に備えるため Microsoft 社のWebリンクに置き換える発表する予定です。~
~
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]は、本ガイドラインの妥当性、正確性などの評価のための限定的なライセンスであり、すべての適合性の保証はしません。すべてのWeb上のもしくは印刷された文書、データおよび情報は、「現状のまま」で提供され、明示または黙示を問わず、その情報の使用が特定の目的への適合性を保証するものではなく、すべての保証をしません。~
[[情報システム開発契約のセキュリティ仕様作成のためのガイドライン]]は評価のための個人及び組織内の配布を除き、公開、改変、商用利用、その他の著作権は付与されておらず、IPAセキュリティ検討プロジェクトチームに留保されています。~
© 2020 IPAセキュリティ検討プロジェクトチーム
**本ガイドラインの改訂について [#b851f732]
日々、攻撃者は脆弱性を発見し、新たな攻撃手法やユーザーを騙すテクニックを開発しています。従って、防御のためのセキュリティ設定も日々、進化することが求められます。MITRE ATT&CKは四半期に1回、主に新たな攻撃手法の追加の改訂がされるため、本ガイドラインもATT&CKの改訂に応じて、対応策や設定値を追加していく予定です。
また、対応策や設定によって、システムへの不具合や運用に影響が及ぼすことがあります。こうした特定環境でのセキュリティ設定に対する不具合の情報は、ITに依存する社会全体にとって有益で重要な情報と考えることができます。こうした観点から、設定における課題や代替策についても改訂版に追加してく予定です。
*参照ガイドライン [#h6966d32]
本ガイドラインは、以下のガイドラインを参照しました。
-[[MITRE ATT@CK]]
-[[米国国防総省 Security Technical Implementation Guides]]
-[[Center for Internet Security Benchmarks]]
-[[Microsoft Security Baseline 及び Security Configuration Framework]]
**設定対策 [#k6f43eef]
-[[IPAセキュリティPT評価版]]~
*参考資料 [#z4b6e87b]
**EOLレポート [#g72f882e]
-[[EOLレポート]] はセキュリティ関連機関、ベンダーから公表されている End of Support/Life情報のリンクです。
**OSSの取り扱い [#m67f99f9]
-[[・OSSオープンソース プログラムを管理するためのツール]]
*謝辞 [#v0bd432a]
本ガイドライン策定にあたり、以下の団体、企業の貢献に感謝いたします。
-一般社団法人 医療ISAC
-一般社団法人 情報サービス産業協会サイバーセキュリティ部会
-一般社団法人 交通ISAC
-OpenID ファウンデーション・ジャパン
-J-Auto-ISAC
-日本マイクロソフト株式会社セキュリティレスポンスチーム
*ガイドライン策定事務局 [#e056c050]
一般社団法人コンピュータソフトウェア協会 Software-ISAC
*参照ガイドライン [#h6966d32]
**MITRE ATT@CK [#ufabcd94]
MITRE は米国の非営利法人として、防衛、航空、国土安全保障、裁判所、健康、サイバーセキュリティの研究や公益に取り組んでいる組織です。サイバーセキュリティでは、米国国立標準技術研究所(NIST)の国立サイバーセキュリティFFRDC(NCF)の運営を行い、官民パートナーシップおよびハブとしての機能を提供しています。また、国土安全保障省の資金を得て、世界中の脆弱性情報に対して採番を行うCVE(Common Vulnerabilities and Exposures) の運用を行っています。
ATT&CK はこのCVEをもとに、脆弱性を悪用した実際の攻撃を戦術単位で分類したナレッジベースです。この戦術とは、初期侵入、悪意あるプログラムの実行、永続性、特権昇格、防御回避、資格情報アクセス、探索、水平展開、情報収集、C&C、情報送信、影響に分類されています。そして、戦術ごとの個別の攻撃手法に対して、実際の実例、緩和策、検出方法、セキュリティベンダーやホワイトハッカーのレポートのリンクなどが解説されています。ATT&CKは不定期もしくは4半期に一度、最新の脅威情報を追加しており、多くのセキュリティ製品が戦術と攻撃手法のリファレンスとしてATT&CKを参照しています。
**米国国防総省 Security Technical Implementation Guides [#pbfebfdf]
米国国防総省 Security Technical Implementation Guides (STIGs) は、製品の安全な展開の実装を支援するように設計されたガイドラインで、ホームページによると「悪意のあるコンピューター攻撃に対して脆弱な情報システム/ソフトウェアを「ロックダウン」するための技術的なガイダンスが含まれています。」となっています。2020年3月時点で、402製品/ポリシーガイド/ツール(ドラフトを含む)が掲載されており、Network機器、セキュリティ製品、OS、アプリケーションソフト、データベースがバージョンごとに発行されています。また、さまざまなベンダーやコミュニティからの提案を受け、逐次、改訂されています。多くのサードパーティがSTIG Viewerを提供しており、各製品の設定データをXML、JSON、CSVで入手できます。
**Center for Internet Security Benchmarks [#t3597615]
Center for Internet Security Inc は米国の州、地方、政府機関のサイバー攻撃の防御、対応、回復を担うMulti-State Information Sharing and Analysis Center(MS-ISAC)と、選挙事務所や選挙インフラシステムのサーバーセキュリティを担うElections Infrastructure Information Sharing and Analysis Center (EI-ISAC) の運用を行っている非営利法人です。
CIS Benchmarkはホームページによると「実証済みのガイドラインにより、サイバー攻撃に対して最も脆弱なオペレーティングシステム、ソフトウェア、およびネットワークを保護できます。進化するサイバーセキュリティの課題と闘うために、ボランティアのITコミュニティによって継続的に検証されています。」となっています。STIG同様にハードウェアからOS、アプリケーションに至る各個別製品の具体的な設定方法が掲載されており、NIST Cybersecurity Framework (CSF)、NIST SP 800-53、ISO 27000、PCI DSSなどの規格、枠組みに対応しています。BenchmarkはLevel 1(設定しても弊害がない基本的なセキュリティ要件)、Level 2(機能低下を起こすがより高度なセキュリティ環境向けセキュリティ要件)の2つの設定が提供されています。ツールを除き、実証済みのガイドラインが無償でダウンロードでき、2020年3月段階で、およそ600製品/バージョンが登録されています。STIG同様に、必要に応じて改訂されています。
**Microsoft Security Baseline 及び Security Configuration Framework [#m4245c81]
Microsoft Security Baselineはホームページ によると「セキュリティ ベースラインは、一連の Microsoft が推奨する構成設定であり、そのセキュリティに対する影響についても説明しています。 これらの設定は、Microsoft セキュリティのエンジニアリングチーム、製品グループ、パートナー、および顧客のフィードバックに基づいています。」とされています。Windowsおよび関連コンポーネントには数千のグループポリシーがありますが、セキュリティ設定に関連するグループポリシーが集約されたもので、同社のSecurity Compliance Toolkit (SCT) に含まれています。Security Baselineは半年ごとに改訂されており、ブログ で改訂理由などが詳細に表明されています。
Microsoft security configuration framework は、Windows 10 にフォーカスし、エンドポイントの強化作業の優先順位付けを支援するためのものとされています。Level 1からLevel 5 までが規定されており、現在はLeve 2までがリリースされています。Level 1 は、Security Baselineよりは水準が低く見えますが、30日以内に展開できるように設計されているとなっており、既存のアプリケーションへの影響を最小限にする設定となっています。
