トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

FrontPage のバックアップ(No.9)


IPA セキュリティ検討プロジェクトチームとは

セキュリティ検討プロジェクトチームはIPA社会基盤センター モデル取引・契約書見直し検討部会 WG1:民法改正対応モデル契約見直し検討WG の配下に設置されています。
このプロジェクトチームは、次の成果を得て、WG1と部会に新たなセキュリティ検討のための指針を提示することが目的です。

  • IT取引におけるユーザーとベンダーがセキュリティ仕様を策定するためにあるべきプロセス
  • 具体的なセキュリティ仕様を検討するためのたたき台
  • クラウドやサプライチェーンでのセキュリティの在り方
  • これらを包含したIT取引のためのセキュリティガイドライン

ISAC専用セキュリティガイドライン

設定対策

ガイドラインは最終的に2種類となります。

  • IPA一般公開用?
    IPA一般公開用は、MITRE ATT&CK(リンク)?の緩和策とSTIGの監査関連設定をガイドラインとします。
  • ISAC共有用?
    ISAC共有用は、IPA一般公開用に加えて、STIGの監査関連以外の設定をガイドラインとします。これは、STIGの検証がすべて完了していないことに加え、既存のアプリケーションの動作停止や、不具合発生を抑えるためです。そのためにISACで成功情報やデグレ情報を共有し、検証を得て、一般公開用に追記をしていきます。

設定対策の重みづけ

このセキュリティガイドラインは、LAC社の緊急対応サービス「サイバー119」 で検出された実際に発生した脅威情報と、同社のペネトレーションテスターの方々の攻撃のしやすさを、それぞれ3段階に評価し、それぞれが3(高評価)であったものを、対策すべき重要脅威としています。
これによって、低コストで実践的な防御対策を講じることができ、攻撃ベクトルの中での効果的な封じ込めが実現可能となります。 ただし、未知の攻撃や隠れた脆弱性に対しては、当然、手当てができません。必要とされる監査(ログ)設定や、アンチウイルス、侵入検知などは重要です。

参照ガイドライン

MITRE ATT@CK

MITRENIST(米国国立標準技術研究所)の委託を受け、CVEの採番を行っているNPOです。世界中の脆弱性情報を管理しており、この脆弱性情報をもとに戦術とテクニックをマトリクスにしたのがATT@CKで、あらゆる脅威と実績、緩和策などが分析されています。

DoD Security Technical Implementation Guides (STIGs)

STIGは米国国防総省国防情報システム局がベンダーと策定したセキュリティ技術の実装ガイドで、
個別製品のセキュリティ設定やコンプライアンスを記述したもので、Zipファイルで提供されています。

STIGに関する詳しい情報

STIGカテゴリー STIGの脆弱性カテゴリーの解説

国防総省STIGsドキュメントライブラリから各製品のSTIGが入手可能です。
以下に、一部分のリンクがあります。

Windows

Active DirectoryドメインSTIG-バージョン2、リリース12
Microsoft Windows 10 STIG-バージョン1、リリース18
Microsoft Windows Server 2016 STIG-バージョン1、リリース9

LINUX

Red Hat Enterprise Linux 7 STIG-バージョン2、リリース4
SUSE Enterprise Linux 12 STIG-Ver 1、Rel 2

ミドルウェア

Adobe ColdFusion 11 STIG-Ver 1、Rel 4
Apache Server 2.4 UNIX STIG
Microsoft Exchange 2016 STIG Ver 1リリースメモ
Oracle WebLogic Server 12c STIG-Ver 1、Rel 6